揭秘“双杀”漏洞国内首次野外利用

近日，360互联网安全中心发现一黑产组织利用“双杀”漏洞CVE-2018-8174实施网页挂马攻击，试图在受害用户计算机中植入盗号木马，盗取Steam游戏平台帐号、绑定Steam的邮箱帐号密码以及QQ帐户中的Q币。这是“双杀”漏洞被曝光以来第一次在国内发现野外利用。

图1 攻击流程

         “双杀”漏洞是一个存在于Vbscript引擎的远程代码执行漏洞，最早被APT-C-06组织使用，2018年4月被360安全人员发现并报告至微软。5月25日，国外安全研究人员发现臭名昭著的漏洞利用套件Rig Exploit Kit已经集成了“双杀”漏洞利用代码，这是该漏洞被发现后第一次出现大规模野外利用。仅仅过了几天，国内就出现了对“双杀”漏洞的野外利用。

借助广告平台进行挂马攻击

         黑客借助广告平台进行挂马攻击的事件屡见不鲜，而近日的“双杀”漏洞挂马攻击同样是借助广告平台实现的。借助广告平台进行挂马攻击有三点优势：

1.         攻击覆盖范围广。由广告平台投放的广告可能出现在任何规模、任意类型的网站上，用户浏览展示挂马广告页面的站点后就会中招；

2.         审核难度大。广告平台每天需要接收和审核大量的广告内容，而黑客一般会对挂马广告页面的代码进行混淆，这无疑加大了审核难度；

3.         可实现主动攻击。网页挂马攻击能否实际起效，关键在于用户是否浏览挂马页面。而借助广告平台进行挂马攻击则在这方面更具优势：因为广告不仅存在于网页中，也存在于一些桌面程序弹出的新闻窗口中，这些主动弹出的新闻窗口能够在无用户交互的情况下触发漏洞代码。

         从此次挂马攻击的攻击源Url来看，黑客借助tanx广告平台进行挂马攻击。源页面经过两次跳转后来到挂马页面hxxp://210.223.140.22:8080，该页面中嵌入了“双杀”漏洞利用代码。

图2 挂马攻击源Url

图3 挂马页面中的CVE-2018-8174漏洞利用代码

         从shellcode特征不难看出，是基于5月25日国外安全研究人员公开的CVE-2018-8174 Metasploit模块（https://github.com/0x09AL/CVE-2018-8174-msf）生成的。只不过，这份公开的利用代码仍然存在问题，这也导致此次挂马攻击并非完全成功。若攻击成功，将从hxxp://219.65.109.87/css/2.exe下载恶意程序到当前目录，命名为svchost.exe后执行。

图4 shellcode内容

最终目的——盗号+盗Q币

       svchost.exe是个下载者，从hxxp://ozvdkfpg2.bkt.clouddn.com/pug.webp下载盗号木马，并用0x00填充文件末尾使文件体积膨胀以对抗安全软件。文件体积膨胀前后大小相差60多倍。

图5 体积膨胀前后文件大小对比

     盗号木马与C&C地址hxxp://221.229.166.239:6656进行打点通信。在确认系统中运行着Steam后，盗号木马会结束Steam进程并弹出一个伪造的Steam登陆窗口。除了在对键盘输入的支持上稍有瑕疵外，该伪造的登陆窗口与正常的Steam登陆窗口没有丝毫差别。

图5 伪造的登陆窗口（图左）和正常的登陆窗口（图右）

    盗号木马内部用JS实现了Steam商城的登陆封包，用于验证用户输入的帐号和密码是否正确。若输入的帐号密码有误则要求用户重新输入，若输入的帐号密无误，这组帐号密码将以POST的形式提交到hxxp://221.229.166.239:6656/fen/111/pm1.asp。

    不过黑客并不会满足于只盗取Steam帐号，因为用户一旦发现帐号被盗，可以通过绑定Steam的邮箱进行找回。因此盗号木马在用户输入正确的帐号和密码之后弹出另一个提示框，以安全认证为由要求用户输入绑定Steam的邮箱帐号和密码，邮箱帐号密码会提交到hxxp://221.229.166.239:7767/fen/222/pm.asp。

图6 盗号木马以安全认证为由要求输入绑定Steam的邮箱帐号密码

     当然，通过一个盗号木马获取更多的东西是黑客最喜欢的。盗号木马确认Steam绑定的邮箱是个QQ邮箱并且邮箱帐号密码正确之后，会查询邮箱对应的QQ号账户中是否有Q币，如果帐户中有Q币则消费这些Q币为指定QQ号充值游戏“龙与地下城”点券（QQ号由盗号木马请求hxxp://ozvdkfpg2.bkt.clouddn.com/cq.txt在线获取），充值数额为3000点券——折合30Q币。

图7 充值点券请求包内容

攻击者曾制造多起挂马攻击事件

    通过对此次挂马攻击特征的多方面分析可以断定攻击来自于国内一知名的黑产组织，该组织曾制造多起挂马攻击事件，包括今年4月12日和5月9日发生的两起大规模挂马事件。

表1 该黑产组织曾经制造的挂马攻击事件

该黑产组织并不具备漏洞挖掘能力以及将漏洞POC（概念验证）转化为Exploit（可进行实际攻击的漏洞利用）的能力，但是其具有极强的信息获取能力与成果转化能力，能在漏洞利用代码公开的第一时间获取到相关信息并将其集成到攻击包中。今年曝光的被用于网页挂马的两个强力漏洞CVE-2018-4878和CVE-2018-8174在漏洞利用代码公开之后不久就被该黑产组织用于挂马攻击。

图8 CVE-2108-4878和CVE-2018-8174从公开到国内首现挂马利用时间线

     在载荷类型方面，该黑产组织通过挂马攻击向用户计算机下发远控木马、银行木马、恶意推广程序、挖矿木马和盗号木马等。该组织早期偏爱恶意推广程序，并配合Rootkit对计算机进行持久控制。不过近期其释放的载荷类型更多的是银行木马、挖矿木马和盗号木马这类不需要持久控制的恶意程序，这类恶意程序能够在尽量短的时间内将利益最大化，并且能够减少与杀毒软件的持续对抗。可见，该黑产组织追求“兵贵神速”。不难推断，盗号木马、银行木马将会是该黑产组织重点使用的载荷类型。

IOC

C&C

hxxp://ozvdkfpg2.bkt.clouddn.com

hxxp://221.229.166.239:6656

MD5

56bc93045082fc9055de7de3bedfdd74

9168f8cfedd537e86d8051a0b5b01c83