Angler Exploit Kit介绍（上集）-安全KER

漏洞利用工具（EK），可以说是互联网领域最有影响力的恶意工具了，这种恶意软件会持续升级，其功能也会不断增加，只有这样才能绕过安全产品的检测。安全研究专家一直都在不断努力去追踪不同EK家族的变种版本。在这篇文章中，我们将从实际操作的角度来介绍一款漏洞利用工具。更加具体地说，我们已经对Angler Exploit Kit的活动追踪已久，并且我们也发现了很多有价值的信息。我们认为，Angler Exploit Kit在地下黑市中有着非常广阔的“市场”。

研究人员于2013年首次发现了这款Angler EK钓鱼攻击工具包，在短短两年的时间内，它就成为了黑客最常用的EK之一。Angler EK具有高度混淆性、侦察特性(其包含了尝试检测杀毒软件和虚拟机的代码)、反侦察性（其对网络传输的Payload进行了加密以期绕过IDS/IPS的检测，使用了”Fileless infections”等技术来尝试躲避杀毒软件的检测），同时其对最新漏洞的利用代码更新迅速，甚至在其中还会出现”0 day”漏洞的利用代码。因此，Angler EK也被一些安全研究人员视为目前世界上最先进的EK。

由于在Sophos，Malwarebytes，以及USENIX等网站已经发布了大量关于Angler不同变种的文章和报告了，所以在这篇文章中，我们将主要对Angler在全球范围内的相关恶意事件进行分析。我们所有的分析和研究都是在我们恶意网页内容检测系统的基础上得到的。

重要发现：

1.检测到了超过9万个网站受到了Angler工具的影响，其中有大量的网站都是热门网站（点击这里，了解排名前一百万的网站信息）。我们根据TrafficEstimate.com的统计信息对其中30个被入侵网站的月访问量进行了估算，我们估计这些受入侵的网站月访问量至少为一千一百万。

2.发现了一个高度组织化的入侵操作，攻击者会定期更新被入侵网站中的恶意信息。这也就意味着，攻击者能够对入侵的网站进行非常复杂并且持久的命令控制。

3.在传播恶意内容的过程中发现了细力度控制。这也就意味着，注入脚本可以隐藏数日之久，以躲避安全软件的检测，被入侵的网站也只能对特定IP范围的目标用户进行攻击，而且也只能采用特定的配置方式。对于VirusTotal（TV）这类扫描工具而言，会大大降低其检测率。在我们首次发现这些结果的数周之后，我们所发现的大多数网站仍然没有被VT列为恶意网站。

4.我们还发现，扫描网站漏洞的行为与利用被扫描网站作为EK的入口这两者之间，有着某种潜在的联系。这也就意味着，这种EK的背后还有着一条庞大的黑客产业链。

概况和影响

在11月5日（当时我们开始对存在高危漏洞的网站进行了检测）至11月16日之间，我们总共发现了90558个独立域名遭到了入侵攻击（攻击者在入侵时使用的正是Angler EK）。

这些遭到入侵的网站对应着总共29531个独立的IP地址。在这些IP地址当中，有1457个IP地址分别对应着超过10个被入侵的域名。例如，IP地址为184.168.47.225的服务器托管了422个被感染的网站。

大多数被入侵的网站都没有被VT所检测到。在11月16日，我们对VT的检测结果（大约有5235个恶意站点被发现）进行了分析，并且发现VT只将其中的226个网站报告为了恶意站点。在11月17日的凌晨，我们又进行了同样的测试，VT仍然只发现了其中的232个恶意网站。这一结果表明，VT的检测率还不到百分之五。在12月14日，我们使用VT对所有的恶意网站（总共90558个）进行了检测，而VT只检测到了2850个被入侵的网站，其检测率只达到了百分之三。

图片1:Angler EK的入侵拓扑

图片1描述了整个入侵过程的重定向流程。目标用户在访问了被入侵的网站之后（基于WordPress的网站或者是Apache服务器托管的网站），会被重定向至一个带有EK的恶意服务器。最终起作用的恶意payload可以有很多种，包括勒索软件（例如Cryptowall），间谍软件或者连接至C2服务器的僵尸网络。在图片2和图片3中显示的是一个更加具体的重定向和数据抓包（使用Fiddler）过程。通过EK，攻击者可以在同一个网域中将目标用户重定向至一个加载了恶意文件的服务器（图片2中的红色部分）。当然了，攻击者也可以跨域实现上述这一操作（图片2中的蓝色部分）。

图片2:重定向链

图片3:在重定向过程中使用Fiddler实现数据抓包

图片4显示的是使用Fiddler获取感染数据的过程。在这一操作中，受感染的虚拟机发送了一个类似C2请求的信息，并且接收到了一个很长的，并且是经过加密的返回消息。

图片4:发送感染信息

图片5和图片6给大家介绍的是所有有关受感染服务器IP地址的总体概况信息。

图片5:被入侵主机的ISP分布概况

图片6：被入侵IP的国家分布概况

我们可以从这些图片中看到，被入侵的网站大多数都架设在美国境内，其中的一小部分网站则架设在欧洲和亚洲地区。美国境内的这些网站系统大多数都是使用GoDaddy所提供的基础服务，当然还有一些网站使用了其他的一些服务提供商的服务。

Angler EK的躲避技术

在这一部分，我们将会主要对攻击者注入至被入侵服务器中的恶意脚本的进行介绍。

注入至被入侵服务器中的初代恶意JavaScript代码可以攻击所有主流版本的IE浏览器（IE 8-11都会受到影响），可能是因为这些浏览器的用户安装了存在漏洞的Flash插件。而其最新的变种版本可以对现代主流的浏览器进行攻击，其中就包括配置了网页调试工具的浏览器（例如谷歌的Chrome和火狐浏览器）。

注入了被感染网站的JavaScript代码看起来都很相似，但实际上并不相同。图片7显示的是注入代码的实例。在这类混淆代码中，变量名往往是随机的。甚至对应的请求与应答信息都采用了随机变量。目前，我们在这段脚本中只找到了4个有实际意义的关键字：ActiveXObject，window.sidebar，charAt，以及Function。我们将会在接下来的章节中介绍这些关键字。这种多态性为很有可能会使许多基于签名的静态分析方法无效。