TeamT5 威脅分析師高峰會(TAS) 即將登場!
技術分析

「勒」此不疲,IE 真調皮

2021.07.21GSS & IR Team
Share:
By Tom, Peter & Jason3e7
近期全球籠罩在勒索軟體的威脅下,大到法人企業、小至個人用戶,無一倖免。從針對式的 APT 攻擊(Advanced Persistent Threat,進階持續性攻擊)到各式網路犯罪組織,使用的勒索手法越發精湛與多樣化,並發展出 Ransomware as a Service(RaaS)商業模式,實現了「一時勒索一時爽,一直勒索一直爽」的勒索大業。
本次分析的案例,攻擊手法屬於較被動的方式,透過微軟瀏覽器 IE (Internet Explorer)的弱點來進行勒索,而非從企業的脆弱點進行攻擊,進而入侵到核心系統大量散布勒索軟體。這種「願者上鉤」的攻擊方式,攻擊者等待受害單位使用 IE 瀏覽器造訪惡意網站,再發動攻擊、達成目的。

技術分析

tenki[.]tw 早期是用來提供氣象資訊的網站,根據我們的研究,推測可能遭攻擊者註冊,當使用者造訪該網站時,將進行兩次轉址,經過兩個廣告公司網站後,最終轉至惡意網站,流程如下圖。
IE_1.png

其中 {random}.doetax.site 包含以下已經過程式碼混淆(Obfuscation)的 JavaScript:
IE_2.png

經過解碼還原後,可以確定攻擊 payload 會使用 URL 進行 XOR,再使用 execScript 來執行編碼過的 JavaScript,如下圖:
IE_3.png

該編碼過的 JavaScript 使用的是 CVE-2020-0968 來針對 IE 瀏覽器進行攻擊。
IE_4.png

執行惡意程式碼後,攻擊者會再依據取得的權限不同,將使用者連線到不同的網址,如下圖:
IE_5.png

若取得是高權限,則會直接到 hxxp://1fbw726f22j65y.doetax.site/ 取得勒索軟體,否則會先到 hxxp://2oct37evecvdw72y0b.doetax.site/ 下載惡意程式,提權後連線到 hxxp://1fbw726f22j65y.doetax.site/ 取得勒索軟體,如下圖所示。
IE_6.png

經分析後確定勒索軟體為 Magniber,該惡意程式使用 AES CBC mode 加密檔案(key, IV: 128),加密完成後,會使用 RSA 演算法加密 key 與 IV,加密後的 blob 會放在加密檔案的最後面(長度:100h)。
IE_7.png
IE_8.png

另外我們也發現,除了使用 CVE-2020-0968 來攻擊外,也有使用 CVE-2021-26411 進行勒索攻擊的情境。
IE_9.png
IE_10.png

我們進一步探討網站轉址狀況可以發現,攻擊者會利用免費資源網站來吸引使用者瀏覽,同時利用一透明框架覆蓋於網站上,讓使用者點擊,進而達成轉址目的。
IE_11.png

轉跳後的網站如下圖:

IE_12.png

雖然該網站並不會植入勒索軟體,但會使用 CVE-2019-1367 弱點來植入其他的後門,另外,雖然在 IE11、IE10 和 IE9 使用 Jscript9.dll,並不受 CVE-2019-1367 漏洞的影響,但可以強制 IE 使用 IE8 兼容模式,來達成漏洞的觸發。
IE_13.png
IE_14.png

結論

上述案例皆為採證 IE 的連線紀錄後所發現,攻擊者透過 IE 瀏覽器的漏洞來達到攻擊目的,包含勒索或者植入其他後門程式。攻擊者透過這些弱點進行記憶體操作的攻擊,可以有效實踐無檔案式(Fileless)攻擊,以利規避一些資安產品偵測的可能性。
微軟官方也預計於 2022 年 6 月 25 日,徹底終止支援 IE 瀏覽器,接下來我們也可以預期,若 IE 將來仍被發現存在重大弱點時,攻擊者可能會依循類似手法,大量進行攻擊、勒索,以達到其商業利益。

建議

  • 建議將系統安全性更新至最新版本
  • 建議評估汰換已停止更新的作業系統與軟體
  • 非必要不使用 IE 瀏覽器

參考資料


*圖片來源:Pixabay
2021.07.21GSS & IR Team
Share:

Related Post

產品與服務
2021.10.01

有效抵禦勒索軟體攻擊,唯有「全面防堵」

ransomware, 針對型勒索, EDR, anti ransomware, 防勒索軟體, 勒索軟體解決方案, 勒索病毒掃描, 勒索病毒預防
技術分析
2021.04.19

刻在你我心底的痛!可怕的加密勒索攻擊

加密勒索, 針對型勒索, Target Ransom, anti ransomware, 防勒索軟體, 勒索軟體解決方案, 勒索病毒掃描, 勒索病毒預防, 威脅情資, 資安情資
為提供您最佳的服務體驗,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權與Cookies使用政策。