在利用漏洞之后，会直接执行一段Shellcode代码，不过与常见的基于VBS或者Powershell下载方式不同，该Shellcode会再次向当前网址发送请求，下载一个二进制数据到Internet临时目录，解密转换后得到要运行的payload，因此进程链上会看到一个index[1].htm的进程被启动。注意到此时请求的网址与Flash攻击代码的网址一致，但是返回内容却不一样，可猜测在服务端会自动根据请求来源返回不同的内容，仅当包含Flash请求信息的时候才返回Flash攻击代码，而默认则直接返回加密后的二进制数据。

图7 攻击进程链

　　最终运行的Payload是Sage2.0勒索软件，该勒索软件选择的密钥交换算法与加密算法都比较巧妙，并且基于IP地址生成算法来生成数据回传ip，是目前勒索软件的集大成者[6]。一旦感染，用户的所有文件都会被加密，桌面被替换为提醒壁纸，同时也会执行一个vbs脚本间隔一段时间发出文件被加密的提醒声音。

图8 用户感染后的桌面

图9 播放语音的脚本

　　3. 数据重放

　　在研究挂马事件中，我们经常会将抓到的数据包使用Fiddler工具进行数据重放，便于反复研究，但是该Exploit Kit却在同一网址分别返回Flash和二进制内容，使得Fiddler无法区分这两种请求并返回对应的数据包。因此，在无法依赖Fiddler的情况下，我们简单编写了一个基于Tornado的Web服务器，提取出抓包得到的返回内容，根据每次请求的不同网址和请求头来返回对应的数据。使用时，在某个端口开启服务，并将IE的代理设置到该端口，访问对应的网址就可以进行数据重放。

图10 重放功能代码

　　4. 总结

　　本次挂马使用广告系统发布挂马Flash文件，使用域名生成算法隐藏攻击代码域名，使用勒索软件来获取经济收益，是目前较为常见的Exploit Kit框架和最流行的Flash漏洞攻击技术。整体而言攻击者技术水平较高，虽然没有利用常见的IE漏洞，但是所使用的Flash漏洞均是目前最新最流行的，并且一个比较特别的地方是Shellcode没有采用常见的调用VB或者Poweshell下载执行文件，而直接下载文件并解密执行文件，这样直接下载也无法得到PE文件，显示出比较高的技术水平。

　　 此次挂马攻击的弱点是Flash代码没有使用代码混淆，保护程度较低，atv，容易被反编译，并且相关攻击网址，没有使用更为常见的参数验证形式，而是直接简单的采用了简单的动态接口，尚未达到流行的几个经典Exploit Kit的地步。这次挂马事件最重要的创新点是整个攻击流程中完全采用Flash文件作为载体，直播，没有任何交互页面，不易察觉，可以躲过目前常见的针对HTML与Java脚本的检测与保护。

　　 我爱卡网站每天用户访问量较大，一旦用户感染勒索软件被加密难以挽回损失。针对目前流行的漏洞攻击包和勒索软件，建议用户及时打上系统补丁，并且及时更新Flash到最新版本，也可以安装一些广告屏蔽软件来避免访问类似这样传播的恶意攻击页面。目前360安全卫士采用了全面多层次的防护体系，使用动态行为检测、结合QEX非PE引擎静态扫描功能，能够做到对此类攻击行为的有效拦截，防止用户感染病毒，并且用户在开通反勒索软件服务的情况下仍然中毒造成损失，360会负责赔付最高3比特币的赎金，并协助还原加密软件。

　　 本文由360QEX团队撰写，360QEX团队专门负责非PE类病毒的分析和查杀，文中所述恶意非PE样本QEX引擎均可以查杀。

　　IOC 信息

　　 URL/IP:

　　128.199.206.16

　　139.59.224.205

　　45.77.30.117

　　 Flash:

　　418b81d6371bf5e41deaf244c2813479

　　9558a62c2198709cd8f4cbace3b3d33f

　　d5b20d0755e3bdfdbdfd13ddfd477f7f

　　c1d426fbdd0ccb06b8882089dcbfd755

　　33a0e632b37dea78a808d5c197a01404

　　d415c88480d64f7beefb8e2ceab0923a

　　b0849abe0d436dba8862f0dcbda93aae

　　c8fced7d0489e930f48cef70f6695e01

　　01e1cdd0f97215c5421d0358179f8af3

　　 PE

　　005b3f47b1a6b06053d2cce7473b6256

　　37f6a4715c24ab1c8e5efd95440d3440

　　参考文献

　　[1] Top-ranked Advertising Network Leads toExploit Kit

　　https://www.fireeye.com/blog/threat-research/2015/11/top-ranked_advertisi.html

　　[2] 漏洞工具包利用广告位挂马针对国内用户传播Cerber4.0勒索软件

　　[3] 暗黑客栈CVE-2015-8651漏洞原理分析

　　[4] CVE-2016-1019: A New Flash ExploitIncluded in Magnitude Exploit Kit

　　https://www.fireeye.com/blog/threat-research/2016/04/cve-2016-1019_a_new.html

　　[5] Adobe在野漏洞：CVE-2016-4117漏洞分析

　　[6] 2017年最佳算法提名勒索软件（sega）分析

　　https://xianzhi.aliyun.com/forum/read/799.html