「勒」此不疲，IE 真調皮

By Tom, Peter & Jason3e7

近期全球籠罩在勒索軟體的威脅下，大到法人企業、小至個人用戶，無一倖免。從針對式的 APT 攻擊（Advanced Persistent Threat，進階持續性攻擊）到各式網路犯罪組織，使用的勒索手法越發精湛與多樣化，並發展出 Ransomware as a Service（RaaS）商業模式，實現了「一時勒索一時爽，一直勒索一直爽」的勒索大業。

本次分析的案例，攻擊手法屬於較被動的方式，透過微軟瀏覽器 IE （Internet Explorer）的弱點來進行勒索，而非從企業的脆弱點進行攻擊，進而入侵到核心系統大量散布勒索軟體。這種「願者上鉤」的攻擊方式，攻擊者等待受害單位使用 IE 瀏覽器造訪惡意網站，再發動攻擊、達成目的。

tenki[.]tw 早期是用來提供氣象資訊的網站，根據我們的研究，推測可能遭攻擊者註冊，當使用者造訪該網站時，將進行兩次轉址，經過兩個廣告公司網站後，最終轉至惡意網站，流程如下圖。

其中 {random}.doetax.site 包含以下已經過程式碼混淆（Obfuscation）的 JavaScript：

經過解碼還原後，可以確定攻擊 payload 會使用 URL 進行 XOR，再使用 execScript 來執行編碼過的 JavaScript，如下圖：

該編碼過的 JavaScript 使用的是 CVE-2020-0968 來針對 IE 瀏覽器進行攻擊。

執行惡意程式碼後，攻擊者會再依據取得的權限不同，將使用者連線到不同的網址，如下圖：

若取得是高權限，則會直接到 hxxp://1fbw726f22j65y.doetax.site/ 取得勒索軟體，否則會先到 hxxp://2oct37evecvdw72y0b.doetax.site/ 下載惡意程式，提權後連線到 hxxp://1fbw726f22j65y.doetax.site/ 取得勒索軟體，如下圖所示。

經分析後確定勒索軟體為 Magniber，該惡意程式使用 AES CBC mode 加密檔案（key, IV: 128），加密完成後，會使用 RSA 演算法加密 key 與 IV，加密後的 blob 會放在加密檔案的最後面（長度：100h）。

另外我們也發現，除了使用 CVE-2020-0968 來攻擊外，也有使用 CVE-2021-26411 進行勒索攻擊的情境。

我們進一步探討網站轉址狀況可以發現，攻擊者會利用免費資源網站來吸引使用者瀏覽，同時利用一透明框架覆蓋於網站上，讓使用者點擊，進而達成轉址目的。

轉跳後的網站如下圖：

雖然該網站並不會植入勒索軟體，但會使用 CVE-2019-1367 弱點來植入其他的後門，另外，雖然在 IE11、IE10 和 IE9 使用 Jscript9.dll，並不受 CVE-2019-1367 漏洞的影響，但可以強制 IE 使用 IE8 兼容模式，來達成漏洞的觸發。

上述案例皆為採證 IE 的連線紀錄後所發現，攻擊者透過 IE 瀏覽器的漏洞來達到攻擊目的，包含勒索或者植入其他後門程式。攻擊者透過這些弱點進行記憶體操作的攻擊，可以有效實踐無檔案式（Fileless）攻擊，以利規避一些資安產品偵測的可能性。

微軟官方也預計於 2022 年 6 月 25 日，徹底終止支援 IE 瀏覽器，接下來我們也可以預期，若 IE 將來仍被發現存在重大弱點時，攻擊者可能會依循類似手法，大量進行攻擊、勒索，以達到其商業利益。

[1] https://asec.ahnlab.com/en/19273/

[2] https://asec.ahnlab.com/en/21189/

*圖片來源：Pixabay