Selamat Datang Di Avast! Indonesia | Kabar Gembira Bahwa Avast! Indonesia Telah Menghadirkan Forum Untuk Tanya Jawab Yang Ingin Join Silahkan Klik Disini

Rabu, 16 Januari 2013

Serangan lubang berair terus (dengan twist)

Melalui kolaborasi dengan Eric Romang (@eromang), peneliti keamanan independen kita bisa memastikan bahwa kampanye lubang berair masih berlangsung dan menargetkan beberapa sasaran, termasuk sebagai contoh Hong Kong utama situs partai politik.

Website ini benar-benar menggunakan versi baru dari serangan Internet Explorer asli (CVE-2012-4792) kerentanan, tapi sekarang itu juga menggunakan Java terbaru (CVE-2013-0422) kerentanan.

Versi bahasa Cina dari situs web adalah melakukan inklusi javascript remote ke “http://www.[REDACTED].org/board/data/m/m.js”.



Jika Internet Explorer 8 yang digunakan, iframe-load dari "http://www.[REDACTED].org/board/data/m/mt.html" url. Jika tidak dan jika Oracle Java terdeteksi, maka akan memuat iframe "http://www.[REDACTED].org/board/data/m/javamt.html"

Analisis "mt.html"

"Mt.html" (d85e34827980b13c9244cbcab13b35ea) file file Javascript dikaburkan yang mencoba untuk mengeksploitasi kerentanan Internet Explorer terbaru, CVE-2012-4792, tetap dalam MS13-008 dan disediakan oleh Microsoft Senin pagi.

https://www.virustotal.com/file/58588ce6d0a1e042450946b03fa4cd92ac1b4246cb6879a7f50a0aab2a84086a/analysis/ 
(avast mendeteksi kode ini sebagai JS: Bogidow-A [expl] melalui komponen Perisai Script)

Membandingkan dengan CFR asli dan versi Turbin Capstone, kode ini tidak menargetkan bahasa browser tertentu yang didukung, tetapi kode ini didasarkan pada versi digunakan pada CFR dengan "anak" dan "gadis" pola.

Tradisional "today.swf" telah diganti dengan "logo1229.swf" (da0287b9ebe79bee42685510ac94dc4f), "news.html" telah diganti dengan "DOITYOUR02.html" (cf394f4619db14d335dde12ca9657656) dan "robots.txt" telah diganti dengan "DOITYOUR01.txt "(a1f6e988cfaa4d7a910183570cde0dc0). Pipet "xsainfo.jpg" tradisional kini tertanam dalam file "mt.html" dan dikaburkan dalam Javascript.

https://www.virustotal.com/file/2db578a2570e48f273d76aae285f743b629211c31750fb00cb73c4e19e9daaac/analysis/ 

 https://www.virustotal.com/file/e66bfe5de8e6ac955863268139e148c24dce794c4a18d953b86246f281f15fea/analysis/

https://www.virustotal.com/file/14eb695aed92ef3abb7a75853c8f4443f6a0096d59253fb6b05d355b50e94247/analysis/ 

File eksekusi dapat diekstraksi dari string dengan memotong pertama 13 karakter, mengubah karakter hex ke biner dan XORing gumpalan biner utuh dengan 0xBF. Menghasilkan file dengan SHA256 CE6C5D2DCF5E9BDECBF15E95943F4FFA845F8F07ED2D10FD6E544F30A9353AD2 adalah RAT yang berkomunikasi dengan domain host di Hong Kong oleh New World Telecom.

Analisis "javamt.html" 


"Javamt.html" (b32bf36160c7a3cc5bc765672f7d6f2c) adalah memeriksa apakah Oracle Java 7 hadir, jika ya terbaru Java kerentanan, CVE-2013-0422, akan dilaksanakan melalui "AppletHigh.jar" (521eab796271254793280746dbfd9951). Jika Oracle Java 6 hadir, "AppletLow.jar" (2062203f0ecdaf60df34b5bdfd8eacdc) akan memanfaatkan CVE-2011-3544. Kedua applet berisi biner yang sama yang disebutkan di atas (tidak terenkripsi).

https://www.virustotal.com/file/a38e6d5bd5ce078c0e411228807432bc8779633c177ed1789aa7de3bc278883f/analysis/  

https://www.virustotal.com/file/44eb2d347d0bce8ba78995528e30468c28634f1227d244c4b05068430849ccf1/analysis/ 

https://www.virustotal.com/file/5ea738965ab3b15e88fa1449ccde986304d85628ef58c004dfabead34b68e862/analysis/ 

Seperti yang Anda lihat, kampanye lubang air masih berlanjut, namun telah berkembang dalam bentuk tetapi juga dengan menggunakan kerentanan Oracle Java terbaru. Meskipun Avast tidak mendeteksi semua komponen (url situs disitribution yang diblokir, url untuk RAT c & c diblokir, binari terdeteksi, memanfaatkan file yang terdeteksi), hanya ada satu generik menyarankan: patch, patch, patch ... 
Diposting oleh di