Websense在最新進行的一項案例分析中，發(fā)現(xiàn)了一款叫做“垂釣者”(Angler)的漏洞利用工具包。它可以檢測殺毒軟件和虛擬機，并可以部署經(jīng)過加密的點滴木馬文件(dropper)。

[[128052]]

經(jīng)過反復驗證，這款工具可以最快的速度集成最新發(fā)布的零日惡意軟件，工具所包含的惡意軟件只在內(nèi)存中運行，無需寫入受害者硬盤。基于這些原因，以及其明顯獨特隱匿技術(shù)，垂釣者或?qū)⒊蔀榫W(wǎng)絡犯罪分子漏洞利用工具最先進的選擇。

最近幾周以來，新聞中時常出現(xiàn)有關(guān)垂釣者的報道，因其快速吸收了Adobe Flash系列零日漏洞，讓一些人相信負責垂釣者的團伙可能也已經(jīng)發(fā)現(xiàn)了可供利用的零日漏洞。

Websense的亞伯·托羅稱，這款工具的隱匿技術(shù)值得注意主要是因為它使用的是簡單的基于換位的方式來加密URL路徑的。下圖是一個簡化版的垂釣者隱匿示意圖：

除此之外，它的隱匿方案類似于Nuclear之類的競爭工具包。被感染的用戶重定向到一個寫有明文的登錄頁面，給用戶創(chuàng)造一種仍在安全合法網(wǎng)站的幻覺。與此同時，垂釣者開始在后臺解密惡意腳本。

托羅寫道，“這些腳本位于[p]類標簽當中，并經(jīng)過BASE64加密，解碼BASE64字符串就會展示出實際隱匿的漏洞利用工具包代碼。這樣，登錄頁面包含幾個加密字符串，字符串中又包含指向Flash、Silverlight、IE等各種漏洞利用的URL。”

一旦這些字符串被全部解密，它就會再次進行隱匿，致使檢測工作更加困難。除了它的殺毒引擎檢測能力，垂釣者還可以發(fā)現(xiàn)是否有研究人員試圖通過VMware、VirtualBox、Parallels或其他虛擬機，以及安全研究人員所鐘愛的Fiddler網(wǎng)頁調(diào)試代理工具對其代碼的執(zhí)行。這些機制都讓分析Angler的研究人員感到頭痛。

為了更好地躲避入侵檢測措施，垂釣者的攻擊負載(Payload)在通過受害者網(wǎng)絡時進行加密，并在最后階段通過填充數(shù)據(jù)代碼(Shellcode)進行解密。托羅說，攻擊負載即Bedep，它本身并不是惡意軟件，但卻可用于下載其他惡意軟件。

托羅解釋說，“攻擊負載由填充數(shù)據(jù)代碼和Bedep的DLL文件組成。如果攻擊負載的最初幾個字節(jié)是‘909090’(不在x86匯編中運行)，DLL文件將從內(nèi)存中加載，否則它就會像正常的點滴木馬文件一樣將被寫入磁盤。填充數(shù)據(jù)代碼負責從內(nèi)在中運行DLL文件。”

“垂釣者也許是世界上迄今為止最為先進復雜的漏洞工具!”