近年來興起的Exploit Kit(簡稱EK)集合了各種漏洞利用工具，可對多種文件格式進行自動化分析、漏洞利用測試。比較有名的EK有Blackhole EK，Phoenix EK，Nuclear EK等。

最近我們收到Nuclear EK的新樣本，隨后在VT上對該樣本進行了檢測，結果如圖所示：

發現只有5家安全廠商檢出，所以我們做了進一步分析。

Flash文件分析

文件基本信息

注：‍‍

SWF文件的文件頭由一個三字節的標識開始，該標識是以下其中一個：

‍‍•0x46 ,0x57, 0x53(“FWS”)：FWS標識表明這是一個未壓縮的SWF文件

‍‍‍‍‍‍•0x43, 0x57, 0x53(“CWS”)：CWS標識表明整個SWF文件在第一個8字節之后，也就是在“文件長度”域之后，使用ZLIB開放標準進行了壓縮。CWS文件壓縮只允許出現在SWF 6以及之后的版本。‍‍‍‍

‍‍•0x5a, 0x57, 0x53(“ZWS”)：ZWS標識表明整個SWF文件在第一個8字節之后，也就是在“文件長度”域之后，使用LZMA開放標準進行了壓縮。ZWS文件壓縮只允許出現在SWF 13以及之后的版本。

通過對文件進行格式解析，發現該文件使用數據混淆、加密，采用腳本加載執行的方式。腳本信息：

文件解密過程

Brhd5443d腳本負責整體執行與調度，通過AX3腳本中的retustr()進行解密，AX3文件關鍵部分內容：

AX3腳本文件主要用來函數混淆、數據混淆、KEY混淆，調用者通過向該函數傳遞不同數值獲取到不同內容。采用的混淆方法是在具體內容中隨機地加入隨機數字(0-9)、符號(.)，使人不容易辨認具體函數與數據內容。

在本腳本中分別解密了數值為1、2、3、6的函數，解密后函數loadBytes、addChild 、removeEventListener、fgghtdrsegfgf，其中6為后續解密數據中的KEY，內容為fgghtdrsegfgf;而后調用AX2腳本對數據進行解密。AX2腳本關鍵解密內容如圖：

AX2的解密過程：

·在該函數中調用AX1中的fserggsgg函數進行Base64解碼。AX1中調用了AX3腳本文件解密出了混淆的數據內容，序號為7

·AX2根據傳入的KEY對加密內容進行解密，通過對KEY的每一位與加密內容的每一位進行異或，當KEY為最后一位時從KEY的第一位重新算起，直到解密完成。

解密后的文件是一個SWF格式文件。具體分析如下：

文件基本信息

通過對該文件格式進行解析，發現采用的是腳本加載方式，腳本內容如表所示：

文件解密過程

aaaa腳本文件存放了溢出格式代碼，該代碼同樣適用混淆，內容如下：

經過去混淆后得2,425 字節如下代碼：

從該圖可以基本判定該樣本是利用漏洞 CVE-2014-0515進行傳播。

結論

Nuclear EK采用異常精密復雜的攻擊方式，對Flash漏洞進行利用，并且具有高度混淆代碼的特點。

通過該樣本，我們還發現另外一件有趣的事情，該漏洞在溢出成功后，會下載Botnet惡意文件，進一步收集信息發現該botnet是很有名的Kelihos(也稱HLUX)。Kelihos的傳播過程也挺有趣，具體傳播流程:

受害者在訪問掛馬服務器后會被多次重定向跳轉到一臺存在Nuclear EK的服務站點，之后在訪問惡意頁面時，頁面中的Flash文件均會被存儲到受害者的機器上，其中就包括特定的swf文件。當該文件成功溢出后，受害者機器會下載Kelihos惡意文件。

關于Kelihos惡意文件，我們提取了YARA檢測規則，未進行深入分析，若諸君有意，可自行分析。

Kelihos YARA規則如下：

import"pe"

rule Trojan_Win32_Hlux

{

meta:

copyright = "WarHead.Team"

description ="Trojan[Backdoor]/Win32.Hlux"

version = "1.0"

last_modified = "2015-03-19"

strings:

$a={74 29 81 7D F0 55 55 55 15 75 20 33 C040 6B C0 00 8B 0D E8 A1 41 00 8D 84 01 50 34

41 00 A3 E8 A1 41 00 8B 0D E8 A141 00 FF E1 6A 64}

condition:

$a at pe.entry_point - 0x1083

}

通過對Flash可疑樣本的分析，我們似乎嗅到了暴風驟雨的味道。但它到底會產生什么樣的動態，還需要大家斟酌關注一下。