# 「勒」此不疲,IE 真調皮 **[teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/](https://teamt5.org/tw/posts/internet-explorer-the-vulnerability-ridden-browser/)** GSS & IR Team 7.21.2021GSS & IR Team Share: By Tom, Peter & Jason3e7 近期全球籠罩在勒索軟體的威脅下,大到法人企業、小至個人用戶,無一倖免。從針對式的 APT 攻擊(Advanced Persistent Threat,進階持續性攻擊)到各式網路犯罪組織,使用的勒 索手法越發精湛與多樣化,並發展出 Ransomware as a Service(RaaS)商業模式,實現了 「一時勒索一時爽,一直勒索一直爽」的勒索大業。 本次分析的案例,攻擊手法屬於較被動的方式,透過微軟瀏覽器 IE (Internet Explorer)的弱 點來進行勒索,而非從企業的脆弱點進行攻擊,進而入侵到核心系統大量散布勒索軟體。這種 「願者上鉤」的攻擊方式,攻擊者等待受害單位使用 IE 瀏覽器造訪惡意網站,再發動攻擊、 達成目的。 ## 技術分析 ----- tenki[.]tw 早期是用來提供氣象資訊的網站,根據我們的研究,推測可能遭攻擊者註冊,當使 用者造訪該網站時,將進行兩次轉址,經過兩個廣告公司網站後,最終轉至惡意網站,流程如 下圖。 其中 {random}.doetax.site 包含以下已經過程式碼混淆(Obfuscation)的 JavaScript: 經過解碼還原後,可以確定攻擊 payload 會使用 URL 進行 XOR,再使用 execScript 來執行 編碼過的 JavaScript,如下圖: ----- 該編碼過的 JavaScript 使用的是 CVE-2020-0968 來針對 IE 瀏覽器進行攻擊。 執行惡意程式碼後,攻擊者會再依據取得的權限不同,將使用者連線到不同的網址,如下圖: 若取得是高權限,則會直接到 hxxp://1fbw726f22j65y.doetax.site/ 取得勒索軟體,否則會先到 hxxp://2oct37evecvdw72y0b.doetax.site/ 下載惡意程式,提權後連線到 hxxp://1fbw726f22j65y.doetax.site/ 取得勒索軟體,如下圖所示。 ----- 經分析後確定勒索軟體為 Magniber,該惡意程式使用 AES CBC mode 加密檔案(key, IV: 128),加密完成後,會使用 RSA 演算法加密 key 與 IV,加密後的 blob 會放在加密檔案的最 後面(長度:100h)。 另外我們也發現,除了使用 CVE-2020-0968 來攻擊外,也有使用 CVE-2021-26411 進行勒索 攻擊的情境。 ----- 我們進一步探討網站轉址狀況可以發現,攻擊者會利用免費資源網站來吸引使用者瀏覽,同時 利用一透明框架覆蓋於網站上,讓使用者點擊,進而達成轉址目的。 轉跳後的網站如下圖: ----- 雖然該網站並不會植入勒索軟體,但會使用 CVE-2019-1367 弱點來植入其他的後門,另外, 雖然在 IE11、IE10 和 IE9 使用 Jscript9.dll,並不受 CVE-2019-1367 漏洞的影響,但可以強 制 IE 使用 IE8 兼容模式,來達成漏洞的觸發。 ----- ## 結論 上述案例皆為採證 IE 的連線紀錄後所發現,攻擊者透過 IE 瀏覽器的漏洞來達到攻擊目的,包 含勒索或者植入其他後門程式。攻擊者透過這些弱點進行記憶體操作的攻擊,可以有效實踐無 檔案式(Fileless)攻擊,以利規避一些資安產品偵測的可能性。 微軟官方也預計於 2022 年 6 月 25 日,徹底終止支援 IE 瀏覽器,接下來我們也可以預期,若 IE 將來仍被發現存在重大弱點時,攻擊者可能會依循類似手法,大量進行攻擊、勒索,以達 到其商業利益。 ## 建議 建議將系統安全性更新至最新版本 建議評估汰換已停止更新的作業系統與軟體 非必要不使用 IE 瀏覽器 ## 參考資料 ----- [1] [https://asec.ahnlab.com/en/19273/](https://asec.ahnlab.com/en/19273/) [2] [https://asec.ahnlab.com/en/21189/](https://asec.ahnlab.com/en/21189/) [*圖片來源:Pixabay](https://pixabay.com/illustrations/browser-web-www-computer-773273/) Share: ### Related Post Technical Analysis 4.19.2021 刻在你我心底的痛!可怕的加密勒索攻擊 加密勒索, 針對型勒索, Target Ransom, anti ransomware, 防勒索軟體, 勒索軟體解決方案, 勒 索病毒掃描, 勒索病毒預防, 威脅情資, 資安情資 -----