{
	"id": "3f1c90da-44e4-4d70-be6f-968fb7bb44f1",
	"created_at": "2026-04-06T00:13:02.674717Z",
	"updated_at": "2026-04-10T03:20:34.926286Z",
	"deleted_at": null,
	"sha1_hash": "09d3a21903609d2610fa5343091119deaa87f033",
	"title": "「勒」此不疲，IE 真調皮",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1699198,
	"plain_text": "「勒」此不疲，IE 真調皮\r\nBy IR Team\r\nPublished: 2021-07-21 · Archived: 2026-04-05 22:28:11 UTC\r\nBy Tom, Peter \u0026 Jason3e7\r\n近期全球籠罩在勒索軟體的威脅下，大到法人企業、小至個人用戶，無一倖免。從針對式的 APT 攻擊\r\n（Advanced Persistent Threat，進階持續性攻擊）到各式網路犯罪組織，使用的勒索手法越發精湛與多樣\r\n化，並發展出 Ransomware as a Service（RaaS）商業模式，實現了「一時勒索一時爽，一直勒索一直爽」\r\n的勒索大業。\r\n本次分析的案例，攻擊手法屬於較被動的方式，透過微軟瀏覽器 IE （Internet Explorer）的弱點來進行勒\r\n索，而非從企業的脆弱點進行攻擊，進而入侵到核心系統大量散布勒索軟體。這種「願者上鉤」的攻擊\r\n方式，攻擊者等待受害單位使用 IE 瀏覽器造訪惡意網站，再發動攻擊、達成目的。\r\n技術分析\r\ntenki[.]tw 早期是用來提供氣象資訊的網站，根據我們的研究，推測可能遭攻擊者註冊，當使用者造訪該\r\n網站時，將進行兩次轉址，經過兩個廣告公司網站後，最終轉至惡意網站，流程如下圖。\r\n其中 {random}.doetax.site 包含以下已經過程式碼混淆（Obfuscation）的 JavaScript：\r\nhttps://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/\r\nPage 1 of 7\n\n經過解碼還原後，可以確定攻擊 payload 會使用 URL 進行 XOR，再使用 execScript 來執行編碼過的\r\nJavaScript，如下圖：\r\n該編碼過的 JavaScript 使用的是 CVE-2020-0968 來針對 IE 瀏覽器進行攻擊。\r\n執行惡意程式碼後，攻擊者會再依據取得的權限不同，將使用者連線到不同的網址，如下圖：\r\nhttps://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/\r\nPage 2 of 7\n\n若取得是高權限，則會直接到 hxxp://1fbw726f22j65y.doetax.site/ 取得勒索軟體，否則會先到\r\nhxxp://2oct37evecvdw72y0b.doetax.site/ 下載惡意程式，提權後連線到 hxxp://1fbw726f22j65y.doetax.site/ 取\r\n得勒索軟體，如下圖所示。\r\n經分析後確定勒索軟體為 Magniber，該惡意程式使用 AES CBC mode 加密檔案（key, IV: 128），加密完\r\n成後，會使用 RSA 演算法加密 key 與 IV，加密後的 blob 會放在加密檔案的最後面（長度：100h）。\r\nhttps://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/\r\nPage 3 of 7\n\n另外我們也發現，除了使用 CVE-2020-0968 來攻擊外，也有使用 CVE-2021-26411 進行勒索攻擊的情境。\r\n我們進一步探討網站轉址狀況可以發現，攻擊者會利用免費資源網站來吸引使用者瀏覽，同時利用一透\r\n明框架覆蓋於網站上，讓使用者點擊，進而達成轉址目的。\r\nhttps://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/\r\nPage 4 of 7\n\n轉跳後的網站如下圖：\r\n雖然該網站並不會植入勒索軟體，但會使用 CVE-2019-1367 弱點來植入其他的後門，另外，雖然在\r\nIE11、IE10 和 IE9 使用 Jscript9.dll，並不受 CVE-2019-1367 漏洞的影響，但可以強制 IE 使用 IE8 兼容模\r\n式，來達成漏洞的觸發。\r\nhttps://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/\r\nPage 5 of 7\n\n結論\r\n上述案例皆為採證 IE 的連線紀錄後所發現，攻擊者透過 IE 瀏覽器的漏洞來達到攻擊目的，包含勒索或者\r\n植入其他後門程式。攻擊者透過這些弱點進行記憶體操作的攻擊，可以有效實踐無檔案式（Fileless）攻\r\n擊，以利規避一些資安產品偵測的可能性。\r\nhttps://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/\r\nPage 6 of 7\n\n微軟官方也預計於 2022 年 6 月 25 日，徹底終止支援 IE 瀏覽器，接下來我們也可以預期，若 IE 將來仍被\r\n發現存在重大弱點時，攻擊者可能會依循類似手法，大量進行攻擊、勒索，以達到其商業利益。\r\n建議\r\n建議將系統安全性更新至最新版本\r\n建議評估汰換已停止更新的作業系統與軟體\r\n非必要不使用 IE 瀏覽器\r\n參考資料\r\nSource: https://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/\r\nhttps://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/"
	],
	"report_names": [
		"internet-explorer-the-vulnerability-ridden-browser"
	],
	"threat_actors": [],
	"ts_created_at": 1775434382,
	"ts_updated_at": 1775791234,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/09d3a21903609d2610fa5343091119deaa87f033.pdf",
		"text": "https://archive.orkl.eu/09d3a21903609d2610fa5343091119deaa87f033.txt",
		"img": "https://archive.orkl.eu/09d3a21903609d2610fa5343091119deaa87f033.jpg"
	}
}