HitmanPro.Alert 防御 Angler EK、Neutrino EK、SoakSoak EK 加密勒索挂马（更新3）

墨家小子

Detection ratio: 1 / 54 SoakSoak ExploitKit 和 Angler Exploit Kit 双料漏洞挂马并加密勒索

------------------------------------------------------------------------------

真是多啊，又一个，Mitigation   ROP，好在挂的是同一个木马，不然云拉黑速度快又能怎样：


文字版：
[mw_shl_code=css,true]Mitigation   ROP

Platform     6.3.9600/x64 06_3d
PID          6504
Application  C:\Program Files (x86)\Internet Explorer\iexplore.exe
Description  Internet Explorer 11

Callee Type  AllocateVirtualMemory

Branch Trace                      Opcode  To                              
-------------------------------- -------- --------------------------------
0x64EFF769 IPSEng32.dll              RET  0x0220008E (anonymous)         

0x64EFF769 IPSEng32.dll              RET  0x021F0174 (anonymous)         

0x596CC65F Flash.ocx               ~ RET* VirtualAlloc()                  
                                          0x76F837C0 kernel32.dll         
            ebf9                     JMP          0x76f837bb


0x5980D9E6 Flash.ocx               ~ RET* 0x596CC65E Flash.ocx            
            94                       XCHG         ESP, EAX
            c3                       RET         


0x596C7C1C Flash.ocx                 RET* 0x5980D9E3 Flash.ocx            
            8908                     MOV          [EAX], ECX
            5d                       POP          EBP
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x596C7C1B Flash.ocx            
            59                       POP          ECX
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


0x5980D9E6 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


0x596C7C1C Flash.ocx                 RET* 0x5980D9E3 Flash.ocx            
            8908                     MOV          [EAX], ECX
            5d                       POP          EBP
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x596C7C1B Flash.ocx            
            59                       POP          ECX
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


Stack Trace
#  Address  Module                   Location
-- -------- ------------------------ ----------------------------------------
1  7729D570 KernelBase.dll           VirtualAlloc +0x3e

2  596C7C1C Flash.ocx               
            c3                       RET         


Process Trace
1  C:\Program Files (x86)\Internet Explorer\iexplore.exe [6504]
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:8232 CREDAT:78849 /prefetch:2
2  C:\Program Files\Internet Explorer\iexplore.exe [8232]
"C:\Program Files\Internet Explorer\iexplore.exe" -private
[/mw_shl_code]

=================================================

又抓到一个，最近这种类型的挂马实在太多，喜欢逛外网的同学注意了，别说大局域网能拦截，我都没科学上网，不多说，HMPA报的是Mitigation   Lockdown，看图吧：




文字版：
[mw_shl_code=css,true]Mitigation   Lockdown

Platform     6.3.9600/x64 06_3d
PID          1272
Application  C:\Program Files (x86)\Internet Explorer\iexplore.exe
Description  Internet Explorer 11

VBScript God Mode
http://www.blaXXXXXXtdesign.com/dag/iframead/dag_bpn_smallvb.html

Process Trace
1  C:\Program Files (x86)\Internet Explorer\iexplore.exe [1272]
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:7648 CREDAT:78849 /prefetch:2
2  C:\Program Files\Internet Explorer\iexplore.exe [7648]
"C:\Program Files\Internet Explorer\iexplore.exe" -private
[/mw_shl_code]

=================================================

心血来潮，测试了HitmanPro.Alert对于时下流行的Angler EK and Neutrino EK 混合型加密勒索挂马效果。

先后测试了两个挂马网页，关闭诺顿所有防护（特别是IPS），开启SpyShelter Firewall作为HitmanPro.Alert防御失败后最后一道屏障。

进入挂马网页，HitmanPro.Alert先于SpyShelter Firewall拦截，报的是：Mitigation   ROP，见截图：



如果HitmanPro.Alert并未拦截到这种漏洞攻击，SpyShelter Firewall对于漏洞挂马会有弹窗提示，另详见：http://bbs.kafan.cn/thread-1933747-1-1.html

另附昨晚另一个混合型加密勒索挂马网页记录截图，报的是Mitigation   Lockdown：


文字版记录：
[mw_shl_code=css,true]Mitigation   ROP

Platform     6.3.9600/x64 06_3d
PID          7636
Application  C:\Program Files (x86)\Internet Explorer\iexplore.exe
Description  Internet Explorer 11

Callee Type  AllocateVirtualMemory

Branch Trace                      Opcode  To                              
-------------------------------- -------- --------------------------------
0x64EFF769 IPSEng32.dll              RET  0x00B8008E (anonymous)         

0x64EFF769 IPSEng32.dll              RET  0x00B70174 (anonymous)         

0x596CC65F Flash.ocx               ~ RET* VirtualAlloc()                  
                                          0x76F837C0 kernel32.dll         
            ebf9                     JMP          0x76f837bb


0x5980D9E6 Flash.ocx               ~ RET* 0x596CC65E Flash.ocx            
            94                       XCHG         ESP, EAX
            c3                       RET         


0x596C7C1C Flash.ocx                 RET* 0x5980D9E3 Flash.ocx            
            8908                     MOV          [EAX], ECX
            5d                       POP          EBP
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x596C7C1B Flash.ocx            
            59                       POP          ECX
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


0x5980D9E6 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


0x596C7C1C Flash.ocx                 RET* 0x5980D9E3 Flash.ocx            
            8908                     MOV          [EAX], ECX
            5d                       POP          EBP
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x596C7C1B Flash.ocx            
            59                       POP          ECX
            c3                       RET         


0x5978E441 Flash.ocx                 RET* 0x5978E440 Flash.ocx            
            48                       DEC          EAX
            c3                       RET         


Stack Trace
#  Address  Module                   Location
-- -------- ------------------------ ----------------------------------------
1  7729D570 KernelBase.dll           VirtualAlloc +0x3e

2  596C7C1C Flash.ocx               
            c3                       RET         


Process Trace
1  C:\Program Files (x86)\Internet Explorer\iexplore.exe [7636]
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:5868 CREDAT:78849 /prefetch:2
2  C:\Program Files\Internet Explorer\iexplore.exe [5868]
"C:\Program Files\Internet Explorer\iexplore.exe" -private
[/mw_shl_code]

[mw_shl_code=css,true]Mitigation   Lockdown

Platform     6.3.9600/x64 06_3d
PID          2724
Application  C:\Program Files (x86)\Internet Explorer\iexplore.exe
Description  Internet Explorer 11

VBScript God Mode
http://XXX.YYY.ZZZ/

Process Trace
1  C:\Program Files (x86)\Internet Explorer\iexplore.exe [2724]
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:6420 CREDAT:78849 /prefetch:2
2  C:\Program Files\Internet Explorer\iexplore.exe [6420]
"C:\Program Files\Internet Explorer\iexplore.exe" -private
3  C:\Windows\explorer.exe [4172]
4  C:\Windows\System32\userinit.exe [3460]
[/mw_shl_code]

pal家族

棒棒哒！

墨家小子

pal家族 发表于 2016-1-11 09:36
棒棒哒！

不杀才是王道

蓝泽祈

没网址你说个

aiqinghe

感觉hitman pro好贵啊 ╥﹏╥

墨家小子

蓝泽祈 发表于 2016-1-11 10:37
没网址你说个

不会仔细看啊

墨家小子

aiqinghe 发表于 2016-1-11 10:38
感觉hitman pro好贵啊 ╥﹏╥

不贵啊，黑五的时候买一年送一年，算下来一年才八十多

蓝泽祈

墨家小子 发表于 2016-1-11 10:54
不会仔细看啊

我以为网址里面的xxxxx是你故意弄得

墨家小子

蓝泽祈 发表于 2016-1-11 11:02
我以为网址里面的xxxxx是你故意弄得

就是故意弄的，不然你复制粘贴就行了，那那么多好事，想去你得一个一个字母敲下来，这里不是毒网区
你要测试IPS就免了，估计对于这种类型的挂马，IPS好像都报Web Attack: Mass Injection Website 19，不像之前Angler EK，直接就报出来，不知道怎么回事

驭龙

说实话防御入侵的话，IPS纯属入门级防御，对付未知漏洞，尤其是没有提取IPS Signature的漏洞，基本上毫无防御能力，而HMPA和EMET这类堆栈防御，对付0Day和其他未知入侵，杠杠的