近日，Cisco Talos团队安全研究人员发现一个新的漏洞利用套件攻击活动——Spelevo。该漏洞利用攻击活动使用被黑的B2B网站来传播Spelevo。

在入侵了特定站点后，攻击者会在web页中添加4行代码，这4行代码可以入侵所有的访问者。虽然Angler多年以前使用过Adobe Flash Player的0 day漏洞，但漏洞利用套件主要是依赖于现有的、已修复的漏洞利用。但是如果系统中没有安装补丁就会导致被黑。

漏洞利用套件背景

漏洞利用套件的目标就是用网络上公开的漏洞来传播恶意payload达到入侵随机受害者的目的。一般通过TDS、网关、加载页和利用页等组件来完成。

近期Talos发现的漏洞利用套件活动都是通过恶意广告活动或使用恶意广告的。这些广告一般都位于不同的web页和平台，但都与流服务和成人内容有关。但这并不是将用户定向到漏洞利用套件的唯一方式。Spelevo使用了另一种主流的方法——被黑的网站来感染受害者。

漏洞利用套件有一个很大的限制就是IE。为了让漏洞利用套件有效地运行，攻击者需要利用期望的web浏览器，这种期望的web浏览器应当缺失应对特定类型攻击的主流保护特征。但是仍然有许多用户使用IE浏览器而不是Edge、Firefox 或Google Chrome。

SPELEVO详情

Cisco Talos分析发现该攻击活动好像来源于一个B2B的商业网站。该站点最开始只有一个页面被黑，随着分析的深入，研究人员发现有很多的页面被黑了，其中就包括主页，被黑的主页会将用户重定向到攻击活动的网关。研究人员最后才发现，攻击者只是在一个页面中加了几行代码，但是就感染了更多的页面。

这些代码建立和开始感染的过程其实是2个连接。需要说明的是该漏洞利用套件在入侵系统时会打开一个新的tab页。在该攻击活动中，真实的网关位于ezylifebags[.]com[.]au。

从中可以看出，这并不是在被入侵的网站中释放的唯一脚本。还有一个位于your-prizes-box[.]life的JS文件的请求。但该请求只会通过301重定向来请求同样的文件，并可以被用作额外的追踪器来确保受害者通过合适的信道到达网关。

然后漏洞利用套件才参与进来。首先是到加载页的一个请求。根据加载页很难判断处于侦察阶段。如下所示，在文档的顶部是一个base64编码的blob，也会被分配一个变量。

然后研究人员开始分析页面上的代码。研究人员分析发现，攻击者首先使用rot13编码，如下所示：

研究人员用rot13解码，然后解码得到base64编码的结果，研究人员发现代码需要来探测系统以确定漏洞。

代码会探测操作系统、web浏览器、和插件信息。如下面的try所示，之后是一个决策树。如果发现有漏洞的flash版本，第一个路径会导致CVE-2018-15982，该漏洞也是包括Speclevo在内的多个漏洞利用套件在用的。如果没有发现，就按照第二个路径，传播另一个漏洞利用。

研究人员追踪该感染路径发现并不是一个flash路径，而是服务于另一个漏洞利用。研究人员分析该漏洞利用发现是IE浏览器的VBScript引擎的UAF漏洞——CVE-2018-8174。该漏洞利用被攻击者广泛使用，并且存在于多个漏洞利用套件之中。

系统被入侵和传播payload后，Spelevo的行为和其他漏洞利用套件有所不同。它会重定向到谷歌，用户会看到一个新打开的tab页，然后是漏洞利用的加载页，最后会重定向到谷歌。

这不会让用户意识到自己被黑了，而一位是打开了一个普通的web页。

PAYLOAD

漏洞利用套件传播的payload是各不相同。在该例中，研究人员发现第一个payload是银行木马，在攻击活动中传播了IcedID和Dridex。Payload的类型在漏洞利用套件中也都很常见。

熟悉的技术

Spelevo是一款相对比较新的漏洞利用套件。从发现起，它就经历了一些小的变化，包括URL结构的修改、加载页和利用页的混淆变化等。其中也使用了很多其他漏洞利用套件中常用的技术。

与Rig漏洞利用套件不同的是，Spelevo保存的位置使用的是域名而不是硬编码的IP地址。另外，还使用了域名shadowing技术，利用被黑的注册商账号来保存恶意活动。

结论

漏洞利用套件仍然是威胁图谱中的一部分。使用已经公开的漏洞来在互联网上感染随机的受害者来传播恶意payload。寻找使用IE浏览器和未修复的漏洞的用户和系统变得越来越难。因此，攻击者开始寻找其他的方式来在系统上安装恶意软件。常见的威胁包括技术支持垃圾邮件和伪造的Flash player。不同点在于攻击需要用户交互才可以从攻击中获利。

研究人员建议不要在机器和系统中使用IE作为默认web浏览器，尤其是一些电脑小白。而且在互联网中，已经不需要安装Adobe Flash这样的插件。通过这样的举措可以保护一部分用户。