Websense在最新進(jìn)行的一項(xiàng)案例分析中，發(fā)現(xiàn)了一款叫做“垂釣者”(Angler)的漏洞利用工具包。它可以檢測(cè)殺毒軟件和虛擬機(jī)，并可以部署經(jīng)過加密的點(diǎn)滴木馬文件(dropper)。

[[128052]]

經(jīng)過反復(fù)驗(yàn)證，這款工具可以最快的速度集成最新發(fā)布的零日惡意軟件，工具所包含的惡意軟件只在內(nèi)存中運(yùn)行，無需寫入受害者硬盤?；谶@些原因，以及其明顯獨(dú)特隱匿技術(shù)，垂釣者或?qū)⒊蔀榫W(wǎng)絡(luò)犯罪分子漏洞利用工具最先進(jìn)的選擇。

最近幾周以來，新聞中時(shí)常出現(xiàn)有關(guān)垂釣者的報(bào)道，因其快速吸收了Adobe Flash系列零日漏洞，讓一些人相信負(fù)責(zé)垂釣者的團(tuán)伙可能也已經(jīng)發(fā)現(xiàn)了可供利用的零日漏洞。

Websense的亞伯·托羅稱，這款工具的隱匿技術(shù)值得注意主要是因?yàn)樗褂玫氖呛?jiǎn)單的基于換位的方式來加密URL路徑的。下圖是一個(gè)簡(jiǎn)化版的垂釣者隱匿示意圖：

除此之外，它的隱匿方案類似于Nuclear之類的競(jìng)爭(zhēng)工具包。被感染的用戶重定向到一個(gè)寫有明文的登錄頁面，給用戶創(chuàng)造一種仍在安全合法網(wǎng)站的幻覺。與此同時(shí)，垂釣者開始在后臺(tái)解密惡意腳本。

托羅寫道，“這些腳本位于[p]類標(biāo)簽當(dāng)中，并經(jīng)過BASE64加密，解碼BASE64字符串就會(huì)展示出實(shí)際隱匿的漏洞利用工具包代碼。這樣，登錄頁面包含幾個(gè)加密字符串，字符串中又包含指向Flash、Silverlight、IE等各種漏洞利用的URL。”

一旦這些字符串被全部解密，它就會(huì)再次進(jìn)行隱匿，致使檢測(cè)工作更加困難。除了它的殺毒引擎檢測(cè)能力，垂釣者還可以發(fā)現(xiàn)是否有研究人員試圖通過VMware、VirtualBox、Parallels或其他虛擬機(jī)，以及安全研究人員所鐘愛的Fiddler網(wǎng)頁調(diào)試代理工具對(duì)其代碼的執(zhí)行。這些機(jī)制都讓分析Angler的研究人員感到頭痛。

為了更好地躲避入侵檢測(cè)措施，垂釣者的攻擊負(fù)載(Payload)在通過受害者網(wǎng)絡(luò)時(shí)進(jìn)行加密，并在最后階段通過填充數(shù)據(jù)代碼(Shellcode)進(jìn)行解密。托羅說，攻擊負(fù)載即Bedep，它本身并不是惡意軟件，但卻可用于下載其他惡意軟件。

托羅解釋說，“攻擊負(fù)載由填充數(shù)據(jù)代碼和Bedep的DLL文件組成。如果攻擊負(fù)載的最初幾個(gè)字節(jié)是‘909090’(不在x86匯編中運(yùn)行)，DLL文件將從內(nèi)存中加載，否則它就會(huì)像正常的點(diǎn)滴木馬文件一樣將被寫入磁盤。填充數(shù)據(jù)代碼負(fù)責(zé)從內(nèi)在中運(yùn)行DLL文件。”

“垂釣者也許是世界上迄今為止最為先進(jìn)復(fù)雜的漏洞工具!”