“双杀”国内首现在野攻击：黑产老炮掀起挂马盗 风暴

近日，360互联 安全中心发现一黑产组织利用“双杀”漏洞CVE-2018-8174实施 页挂马攻击，试图在受害用户计算机中植入盗 木马，盗取Steam游戏平台帐 、绑定Steam的邮箱帐 密码以及QQ帐户中的Q币。这是“双杀”漏洞被曝光以来第一次在国内发现野外利用。

图1 攻击流程

“双杀”漏洞是一个存在于Vbscript引擎的远程代码执行漏洞，最早被APT-C-06组织使用，2018年4月被360安全人员发现并 告至微软。5月25日，国外安全研究人员发现臭名昭著的漏洞利用套件Rig Exploit Kit已经集成了“双杀”漏洞利用代码，这是该漏洞被发现后第一次出现大规模野外利用。仅仅过了几天，国内就出现了对“双杀”漏洞的野外利用。

借助广告平台进行挂马攻击

黑客借助广告平台进行挂马攻击的事件屡见不鲜，而近日的“双杀”漏洞挂马攻击同样是借助广告平台实现的。借助广告平台进行挂马攻击有三点优势：

1. 攻击覆盖范围广。由广告平台投放的广告可能出现在任何规模、任意类型的 站上，用户浏览展示挂马广告页面的站点后就会中招；

3. 可实现主动攻击。 页挂马攻击能否实际起效，关键在于用户是否浏览挂马页面。而借助广告平台进行挂马攻击则在这方面更具优势：因为广告不仅存在于 页中，也存在于一些桌面程序弹出的新闻窗口中，这些主动弹出的新闻窗口能够在无用户交互的情况下触发漏洞代码。

从此次挂马攻击的攻击源Url来看，黑客借助tanx广告平台进行挂马攻击。源页面经过两次跳转后来到挂马页面
hxxp://210.223.140.22:8080，该页面中嵌入了“双杀”漏洞利用代码。

图2 挂马攻击源Url

图3 挂马页面中的CVE-2018-8174漏洞利用代码

从shellcode特征不难看出，是基于5月25日国外安全研究人员公开的CVE-2018-8174 Metasploit模块生成的。只不过，这份公开的利用代码仍然存在问题，这也导致此次挂马攻击并非完全成功。若攻击成功，将从
hxxp://219.65.109.87/css/2.exe下载恶意程序到当前目录，命名为svchost.exe后执行。

图4 shellcode内容

最终目的——盗 +盗Q币

svchost.exe是个下载者，从
hxxp://ozvdkfpg2.bkt.clouddn.com/pug.jpg下载盗 木马，并用0x00填充文件末尾使文件体积膨胀以对抗安全软件。文件体积膨胀前后大小相差60多倍。

图5 体积膨胀前后文件大小对比

盗 木马与C&C地址
hxxp://221.229.166.239:6656进行打点通信。在确认系统中运行着Steam后，盗 木马会结束Steam进程并弹出一个伪造的Steam登陆窗口。除了在对键盘输入的支持上稍有瑕疵外，该伪造的登陆窗口与正常的Steam登陆窗口没有丝毫差别。

图5 伪造的登陆窗口（图左）和正常的登陆窗口（图右）

盗 木马内部用JS实现了Steam商城的登陆封包，用于验证用户输入的帐 和密码是否正确。若输入的帐 密码有误则要求用户重新输入，若输入的帐 密无误，这组帐 密码将以POST的形式提交到
hxxp://221.229.166.239:6656/fen/111/pm1.asp。

不过黑客并不会满足于只盗取Steam帐 ，因为用户一旦发现帐 被盗，可以通过绑定Steam的邮箱进行找回。因此盗 木马在用户输入正确的帐 和密码之后弹出另一个提示框，以安全认证为由要求用户输入绑定Steam的邮箱帐 和密码，邮箱帐 密码会提交到
hxxp://221.229.166.239:7767/fen/222/pm.asp。

图6 盗 木马以安全认证为由要求输入绑定Steam的邮箱帐 密码

当然，通过一个盗 木马获取更多的东西是黑客最喜欢的。盗 木马确认Steam绑定的邮箱是个QQ邮箱并且邮箱帐 密码正确之后，会查询邮箱对应的QQ 账户中是否有Q币，如果帐户中有Q币则消费这些Q币为指定QQ 充值游戏“龙与地下城”点券（QQ 由盗 木马请求
hxxp://ozvdkfpg2.bkt.clouddn.com/cq.txt在线获取），充值数额为3000点券——折合30Q币。

图7 充值点券请求包内容

攻击者曾制造多起挂马攻击事件

通过对此次挂马攻击特征的多方面分析可以断定攻击来自于国内一知名的黑产组织，该组织曾制造多起挂马攻击事件，包括今年4月12日和5月9日发生的两起大规模挂马事件。

表1 该黑产组织曾经制造的挂马攻击事件

该黑产组织并不具备漏洞挖掘能力以及将漏洞POC（概念验证）转化为Exploit（可进行实际攻击的漏洞利用）的能力，但是其具有极强的信息获取能力与成果转化能力，能在漏洞利用代码公开的第一时间获取到相关信息并将其集成到攻击包中。今年曝光的被用于 页挂马的两个强力漏洞CVE-2018-4878和CVE-2018-8174在漏洞利用代码公开之后不久就被该黑产组织用于挂马攻击。

图8 CVE-2108-4878和CVE-2018-8174从公开到国内首现挂马利用时间线

在载荷类型方面，该黑产组织通过挂马攻击向用户计算机下发远控木马、银行木马、恶意推广程序、挖矿木马和盗 木马等。该组织早期偏爱恶意推广程序，并配合Rootkit对计算机进行持久控制。不过近期其释放的载荷类型更多的是银行木马、挖矿木马和盗 木马这类不需要持久控制的恶意程序，这类恶意程序能够在尽量短的时间内将利益最大化，并且能够减少与杀毒软件的持续对抗。可见，该黑产组织追求“兵贵神速”。不难推断，盗 木马、银行木马将会是该黑产组织重点使用的载荷类型。