Flash 0day漏洞与BEDEP病毒 - APT防御产品

Flash 0day漏洞与BEDEP病毒

多次使用BEDEP病毒

Flash 0day漏洞已经不止一次使用BEDEP病毒作为其攻击负载(Payload)了。1月末,我们发现了一个Flash 0day漏洞,这个漏洞会在被感染的电脑上下载BEDEP病毒进行更深层次的入侵。而在最新的漏洞(CVE-2015-0313)中也同样使用了BEDEP病毒。

感染过程

根据我们的分析,感染过程始于一些存在恶意广告的网站。通常情况下,用户要去点击恶意广告,才会感染病毒。不过在这个案例中,用户无需做任何事,因为这个网站已经被黑了(网站被挂上了木马)。

一旦用户访问网站,恶意广告就会自动将他们重定向到一个"Hanjuan漏洞工具包"的页面。这个页面会执行Flash 0day漏洞利用程序(SWF_EXPLOIT.MJST),然后下载执行两个经过编码的攻击Payload,分别是BKDR64_BEDEP.E和TROJ64_BEDEP.B。

FreeBuf小科普:对Payload进行编码是躲避检测的一种常见手段,经过编码的payload通过网络层传输的时候很难检测或者扫描。

BEDEP家族史

我们注意到2015年第一周,感染BEDEP家族病毒的数量开始增加。主要的感染者来自美国,其次是日本。

BEDEP最初并没有被检测出来,因为它经过了复杂的加密,并且使用了微软的文件属性伪装自己。我们最近的调查结果也显示,这款恶意软件的主要目的是感染系统,使其成为僵尸网络中的肉鸡,以用作其他用途。

由于BEDEP所采用的高强度加密,在检测这款病毒时可能会遇到困难。但幸运的是,病毒的文件结构和属性都可以被用来识别病毒。

下面就是病毒用于伪装的文件属性:

BEDEP的导出函数使用一些随机的单词,使它看起来正常。但是细看之下,这些词语根本没有任何含义。另外,我们注意到BEDEP的文件结构与VAWTRAK的非常相似。

FreeBuf将继续跟进有关BEDEP病毒的新发现。


转载请注明出处 APT防御产品 » Flash 0day漏洞与BEDEP病毒

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址