瑞星卡卡安全论坛技术交流区恶意网站交流 国外网马探秘 - BlackHole Exploit Kit

1   1  /  1  页   跳转

[教程] 国外网马探秘 - BlackHole Exploit Kit

国外网马探秘 - BlackHole Exploit Kit

例子: http://ireknennphole.com/index.php?tp=001e4bb7b4d7333d
看URL就知道这是BlackHole Exploit Kit.一份BlackHole Exploit Kit授权售价1500美元,需要注意的是,我提供的BlackHole Exploit Kit并非最新版,也并非提供了所有的漏洞支持.
目前已知利用的漏洞如下.
CVE-2010-1885 HCP
CVE-2010-1423 Java argument injection vulnerability in the URI handler in Java NPAPI plugin
CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
CVE-2010-0840 Java trusted Methods Chaining Remote Code Execution Vulnerability
CVE-2009-1671 Java buffer overflows in the Deployment Toolkit ActiveX control in deploys.dll
CVE-2009-0927 Adobe Reader Collab GetIcon
CVE-2008-2992 Adobe Reader util.printf
CVE-2007-5659 Adobe Reader CollectEmailInfo
CVE-2006-0003 IE MDAC

主页代码在此 http://pastebin.com/FXUE3vYB

中间脚本用来还原div标签中的内容.
注意这两句
e=window.eval;
e(s);
如果下断点,可以下在这里.

单步进入(F11)即可得到eval执行结果.

不下断点,也可切到DOM,找到变量s.

此为div标签中内容的还原结果.
http://pastebin.com/wKSD2T6b
除此之外,hccp.php的还原结果也可得到.

http://pastebin.com/ixpeJPLn
以上即为BlackHole Exploit Kit第一层的反混淆过程.
下面取得需要解析的文件,包括Flash,PDF,将Shellcode转为EXE文件以便调试(有些文件已经失效了).
先来调试Shellcode,载入文件,可以看到
http://pastebin.com/ajcfaSJN
XOR运算
http://pastebin.com/NDhGaX9q
至此,Shellcode的分析结束,得到http://ireknennphole.com/w.php?f=26&e=6.
使用PDFStreamDumper载入PDF,找到0x2C7到0x2F13的数据流,

http://pastebin.com/viWhnZED
提取脚本内容,复制到Malzilla中,可以得到Shellcode.
http://pastebin.com/TC8hN7we
这里的Shellcode用另一种方法看.
将Shellcode复制到malzilla的Misc Decoders中,选择UCS2 To Hex,然后使用Hex To File,保存下来.
用WinHex或类似的工具打开,可以看到地址.

PDFStreamDumper也可以得出Shellcode中的地址.

另一个PDF类似,不多说.
最后的hhcp.htm中的内容.

对于Jar文件,使用Java Decompiler反编译,得到源码,稍加分析便可得到同样的结果.
总的来说,这个版本的BlackHole Exploit Kit不难,较1.0.2混淆程度小了不少,但执行效率的提高是显而易见的.
这个算福利,看了这两张图,你就明白1500美元有多值了.

分享到:
gototop
 

回复:国外网马探秘 - BlackHole Exploit Kit

占楼,若有不同版本的Blackhole Exploit Kit出现,及时补充.
gototop
 

回复:国外网马探秘 - BlackHole Exploit Kit

同上
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT