国外网马探秘 - Blackhole Exploit Kit

是昔流芳 · 发表于 2012-1-30 19:31

例子： http://ireknennphole.com/index.php?tp=001e4bb7b4d7333d
看URL就知道这是BlackHole Exploit Kit.一份BlackHole Exploit Kit完全授权售价1500美元,需要注意的是,我提供的BlackHole Exploit Kit并非最新版,也并非提供了所有的漏洞支持.
目前已知利用的漏洞如下(版本不同,所支持的漏洞可能不同).
CVE-2010-1885 HCP
CVE-2010-1423 Java argument injection vulnerability in the URI handler in Java NPAPI plugin
CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
CVE-2010-0840 Java trusted Methods Chaining Remote Code Execution Vulnerability
CVE-2009-1671 Java buffer overflows in the Deployment Toolkit ActiveX control in deploys.dll
CVE-2009-0927 Adobe Reader Collab GetIcon
CVE-2008-2992 Adobe Reader util.printf
CVE-2007-5659 Adobe Reader CollectEmailInfo
CVE-2006-0003 IE MDAC

主页代码在此 http://pastebin.com/FXUE3vYB

中间脚本用来还原div标签中的内容.
注意这两句
e=window.eval;
e(s);
如果下断点,可以下在这里.

单步进入(F11)即可得到eval执行结果.

不下断点,也可切到DOM,找到变量s.

此为div标签中内容的还原结果.
http://pastebin.com/wKSD2T6b
除此之外,hccp.php的还原结果也可得到.

http://pastebin.com/ixpeJPLn
以上即为BlackHole Exploit Kit第一层的反混淆过程.
下面取得需要解析的文件,包括Flash,PDF,将Shellcode转为EXE文件以便调试(有些文件已经失效了).
先来调试Shellcode,载入文件,可以看到
http://pastebin.com/ajcfaSJN
XOR运算
http://pastebin.com/NDhGaX9q
至此,Shellcode的分析结束,得到http://ireknennphole.com/w.php?f=26&e=6.
使用PDFStreamDumper载入PDF,找到0x2C7到0x2F13的数据流,

http://pastebin.com/viWhnZED
提取脚本内容,复制到Malzilla中,可以得到Shellcode.
http://pastebin.com/TC8hN7we
这里的Shellcode用另一种方法看.
将Shellcode复制到malzilla的Misc Decoders中,选择UCS2 To Hex,然后使用Hex To File,保存下来.
用WinHex或类似的工具打开,可以看到地址.

PDFStreamDumper也可以得出Shellcode中的地址.

另一个PDF类似,不多说.
最后的hhcp.htm中的内容.

对于Jar文件,使用Java Decompiler反编译,得到源码,稍加分析便可得到同样的结果.
总的来说,这个版本的BlackHole Exploit Kit不难,较1.0.2混淆程度小了不少,但执行效率的提高是显而易见的.
这个算福利,看了这几张图,你就明白1500美元有多值了.

(出色的设置页面)

(丰富的统计页面)

(你见过用PDA操作的网马吗?)

Blackhole Exploit Kit 1.0.2 Download

小怡 · 发表于 2015-1-10 07:13

这是什么网木,好强大!

zan163007 · 发表于 2015-1-8 13:42

感谢分享

独行浪客 · 发表于 2015-1-29 14:20

进来学习一下啦，谢谢，大神级呀。

王旭东 · 发表于 2015-1-7 16:16

咦、不错哦、

♂成成の · 发表于 2014-12-30 01:38

只能看明白界面...内容基本不懂..

weiquan44 · 发表于 2012-1-30 19:36

不知工具可否公布下。。。。

左边是左手 · 发表于 2012-2-4 19:54

挺多的

是昔流芳 · 发表于 2012-1-30 19:32

占楼,有不同版本的,补充.

是昔流芳 · 发表于 2012-1-30 19:33

同上

Between a high, solid wall and an egg that breaks against it, I will always stand on the side of the egg.

oldmanguo · 发表于 2012-1-31 10:24

我是来膜拜的……很强大 [s:20]

apple_lzf · 发表于 2012-1-31 10:35

确实强大，价格对于大牛来说不算贵！！！

泪痕 · 发表于 2012-1-31 21:34

看看算了不过有的地方看不懂

denghaisu · 发表于 2012-1-31 21:39

学习学习，可是好多看不太懂

Linkasyan · 发表于 2012-2-1 09:01

漏洞利用是主要亮点

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 国外网马探秘 - Blackhole Exploit Kit

免费评分

本帖被以下淘专辑推荐:

个人中心