开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

垂钓者:世界上最先进的漏洞利用工具

简介:
+关注继续查看

Websense在最新进行的一项案例分析中,发现了一款叫做“垂钓者”(Angler)的漏洞利用工具包。它可以检测杀毒软件和虚拟机,并可以部署经过加密的点滴木马文件(dropper)。

垂钓者:世界上最先进的漏洞利用工具

经过反复验证,这款工具可以最快的速度集成最新发布的零日恶意软件,工具所包含的恶意软件只在内存中运行,无需写入受害者硬盘。基于这些原因,以及其明显独特隐匿技术,垂钓者或将成为网络犯罪分子漏洞利用工具最先进的选择。

最近几周以来,新闻中时常出现有关垂钓者的报道,因其快速吸收了Adobe Flash系列零日漏洞,让一些人相信负责垂钓者的团伙可能也已经发现了可供利用的零日漏洞。

Websense的亚伯·托罗称,这款工具的隐匿技术值得注意主要是因为它使用的是简单的基于换位的方式来加密URL路径的。下图是一个简化版的垂钓者隐匿示意图:

垂钓者:世界上最先进的漏洞利用工具

除此之外,它的隐匿方案类似于Nuclear之类的竞争工具包。被感染的用户重定向到一个写有明文的登录页面,给用户创造一种仍在安全合法网站的幻觉。与此同时,垂钓者开始在后台解密恶意脚本。

托罗写道,“这些脚本位于[p]类标签当中,并经过BASE64加密,解码BASE64字符串就会展示出实际隐匿的漏洞利用工具包代码。这样,登录页面包含几个加密字符串,字符串中又包含指向Flash、Silverlight、IE等各种漏洞利用的URL。”

一旦这些字符串被全部解密,它就会再次进行隐匿,致使检测工作更加困难。除了它的杀毒引擎检测能力,垂钓者还可以发现是否有研究人员试图通过VMware、VirtualBox、Parallels或其他虚拟机,以及安全研究人员所钟爱的Fiddler网页调试代理工具对其代码的执行。这些机制都让分析Angler的研究人员感到头痛。

为了更好地躲避入侵检测措施,垂钓者的攻击负载(Payload)在通过受害者网络时进行加密,并在最后阶段通过填充数据代码(Shellcode)进行解密。托罗说,攻击负载即Bedep,它本身并不是恶意软件,但却可用于下载其他恶意软件。

托罗解释说,“攻击负载由填充数据代码和Bedep的DLL文件组成。如果攻击负载的最初几个字节是‘909090’(不在x86汇编中运行),DLL文件将从内存中加载,否则它就会像正常的点滴木马文件一样将被写入磁盘。填充数据代码负责从内在中运行DLL文件。”

“垂钓者也许是世界上迄今为止最为先进复杂的漏洞工具!”

作者:沉香玉


来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
企业如何利用基于人工智能工具管理漏洞
人工智能(特别是机器学习)可以实时分析数据,根据风险级别对漏洞进行优先级排序。人工智能驱动的解决方案包括威胁和漏洞管理功能,可以扫描和预测数千种攻击媒介和威胁的风险。
0 0
带你读《物联网渗透测试》之三:固件分析与漏洞利用
本书介绍物联网渗透测试的原理和实用技术。主要内容包括IOT威胁建模、固件分析及漏洞利用、嵌入式web应用漏洞、IOT移动应用漏洞、IOT设备攻击、无线电入侵、固件安全和移动安全最佳实践、硬件保护以及IOT高级漏洞的利用与安全自动化。
633 0
看恶意软件Nitol如何使用新技术逃避沙盒检测
本文讲的是看恶意软件Nitol如何使用新技术逃避沙盒检测,安全人员最近观察到,Nitol僵尸网络在利用基于宏的恶意文档发动分布式攻击时,使用了新的逃避技术。
990 0
Metasploit物联网安全渗透测试增加对硬件的支持
本文讲的是Metasploit物联网安全渗透测试增加对硬件的支持,开源的Metasploit渗透测试框架新增加了对硬件的支持,使研究人员能够借此研究物联网设备,汽车被选作首个研究用例。
1036 0
勒索软件可能已被“终极”解决
本文讲的是勒索软件可能已被“终极”解决,Crypto Drop尝试寻找文件被加密的蛛丝马迹
906 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
文章排行榜
最热
最新
相关电子书
更多
基于社交网络的大规模网络攻击自动对抗技术
立即下载
如何产生威胁情报-高级恶意攻击案例分析
立即下载
新一代自动化渗透平台的设计与实现
立即下载