網絡安全公司FireEye于上周發文稱，自2017年4月以來，活躍度開始有所下降的RIG漏洞利用工具包（EK）最近再次引起了安全社區的注意。因為調查發現，它已經開始利用PROPagate注入技術來交付并執行加密貨币挖礦惡意軟件，其目标針對的是門羅币。

PROPagate可以說是一種相對較新的代碼注入技術，它由來自Hexacorn的安全研究員Adam在去年底發現。該技術利用了合法Windows GUI管理API和函數的通用屬性，并且影響的主流Windows版本上的多個應用程序。例如，Windows資源管理器、Total Commander（一款功能強大的文件管理器）、Process Hacker（一款開源的進程浏覽器和内存編輯器）和Ollydbg（一款動态追蹤工具）等。

盡管PROPagate代碼注入技術被認為極具威脅性，但從相關報道來看，在實際攻擊活動中，它并沒有被廣泛利用。因此，它開始被RIG EK所使用自然引起了安全研究人員的注意。

在本案例中，當用戶訪問一個在iframe中加載RIG EK着陸頁面的受損網站時，攻擊鍊就開始了。RIG EK将使用各種技術來交付NSIS（Nullsoft腳本安裝系統）加載程序，該加載程序會利用PROPagate代碼注入技術将shellcode注入到explorer.exe中。這個shellcode會執行下一階段的有效載荷，下載并執行門羅币礦工。

攻擊者使用了多個有效載荷和反分析技術來繞過分析環境。RIG EK下載的第一個有效載荷是一個編譯後的NSIS可執行文件，衆所周知，它被稱為SmokeLoader。除NSIS文件之外，有效載荷還包含兩個組件：一個DLL和一個data文件，分别被命名為'kumar.dll'和'abaram.dat'。其中的DLL包含一個由NSIS可執行文件調用的導出函數。這個導出函數包含讀取和解密data文件的代碼，這将導緻生成第二階段的有效載荷（一個可移植的可執行文件）。

第二階段的有效載荷是一個高度混淆的可執行文件。在入口點，可執行文件包含用于檢查從Process Environment Block（PEB）中提取的操作系統主版本的代碼。如果操作系統版本值小于6（在Windows Vista之前），可執行文件則會自行終止。它還包含檢查可執行文件是否處于調試模式的代碼，從PEB的偏移量0x2中提取。如果設置了BeingDebugged标志，可執行文件則會自行終止。

惡意軟件還會通過打開值為0 的注冊表項HKLM\SYSTEM\ControlSet001\Services\Disk\Enum來實現反虛拟機檢查。它将檢查注冊表值的數據是否包含字符串vmware、virtual、qemu或xen。這些字符串中的每一個都代表了虛拟機。

在運行反分析和環境檢查後，惡意軟件開始執行核心代碼，以執行惡意活動。第三階段有效載荷也是一個PE可執行文件，但開發者修改了該文件的标頭，以避免在内存掃描中被檢測為PE文件。

為了在系統中保持持久性，惡意軟​​件會在％startup％文件夾中安裝計劃任務和快捷方式文件。計劃任務被命名為“Opera Scheduled Autoupdate {Decimal Value of GetTickCount()}”。然後，惡意軟件與惡意URL進行通信，以下載最終的有效載荷，也就是文章開頭提到的門羅币礦工。

FireEye在文章最後總結說，盡管在他們的觀察中基于漏洞利用工具包（EK）的惡意活動一直在減少，但RIG EK開始利用相對較新的PROPagate進程注入技術來繞過安全檢測并散布門羅币礦工的事實說明，犯罪集團并沒有放棄此類工具。

本文由 黑客視界 綜合網絡整理，圖片源自網絡；轉載請注明“轉自黑客視界”，并附上鍊接。