1. 概述
360互联网安适中心近期监测到“我爱卡”网站（51credit.com）呈现挂马情况，进一步分析发明，访谒该网站会加载跳转到缝隙打击包（Exploit Kit）页面的恶意Flash告白，没有专业安适防护的访谒者电脑会传染号称勒索软件“集大成者”的Sage2.0，造成文件被加密勒索的惨重损掉。对比以往的缝隙打击包，这次整个打击链完全使用Flash文件实现，不再需要HTML与Javascript脚本交互成果，泛起出新的打击形式和较高的技术程度。
2. 技术分析
2.1 告白挂马点

图1 整体挂马流程
我爱卡网站给与了较为常见的OpenX开源告白系统，该告白系统具备较完整的商业生态，被很多大型网站给与。但是因为审核不严格，已有多次缝隙打击包通过该告白系统进行流传[1]。

图2 返回挂马告白内容
浏览我爱卡网站任意页面时，会插入了一个告白Flash文件hxxp://conxxxxxxxxx.info/admedia/player.swf。而在此外一个被挂马网站中，这个Flash则被直接托管在挂马网站上。显然，打击者将这个Flash文件伪装成告白供给给告白运营商，告白运营商审核不严直接在投放网站上上线。打开该Flash文件，其实是没有任何可以显示的内容，实际成果则是操作AS3代码实现了获取Flash版本号并进行相关判断、加载Flash文件成果，使得只有是IE浏览器并且安置了Flash11~21版本才会进一步加载第二个Flash文件。通过该文件拦住了所有无法触发缝隙的用户访谒，减少了实际打击页面的袒露，同时这个文件非常简洁并且没有明显特征，易于躲过查杀。

图3 Flash加载代码
2.2 第二个Flash加载器
接下来加载的第二个Flash文件仍然是一个加载器，成果与第一个Flash文件不异，实现了版本判断、加载下一个Flash的成果。但是与第一个Flash差别，这个文件是动态生成的，按照该文件的网络请求响应头，可以猜度该文件是操作php动态生成，比拟变革的样本，发明每隔一段时间要加载下一个Flash的地点城市产生变革。这个Flash网址使用了Exploit Kit所常见的域名生成算法，并不竭的调动三级域名地点，这样确保对实际打击文件的网址难以再次访谒。此外，由于该文件是动态生成的，所以Content-Type被有意或者无意设置成默认的text/html，这可以让部分依赖Content-Type进行文件类型判断的网络检测设备忽略，从而降低被发明的概率。

图4 动态返回Flash内容

图5 生成的差别域名
2.3 Flash缝隙打击文件
直到这时，访谒的第三个网址才真正引入了打击Flash文件。但是打击者的防止法子仍然不止于此，在访谒最终的Flash缝隙文件网址时，有时会呈现无缘无故无法访谒的情况，猜度打击者使用了IP屏蔽或者随机阻拦请求的计谋，增加了分析重现的难度。并且按照用户Flash版本信息，处事器会返回差此外缝隙操作脚本，这种手段与我们之前分析过的一起告白挂马事件中的要领一致，并且也操作了不异的缝隙打击代码[2]，独一差此外是此次并没有进行代码的混淆，能够较为容易的分析打击代码。
具体分析该文件代码，发明缝隙打击代码被使用RC4加密后切分生存在了Flash的BinaryData字段中，按照差此外倡议请求的Flash版本号，解密后获得的缝隙打击脚天职别是CVE-2015-8651 [3]、CVE-2016-1019 [4]、CVE-2016-4117 [5]的打击代码，这几个缝隙也是目前各个打击包常用的方法，具备较高的打击告成率。

图6打击代码类型
2.4 释放载荷
在操作缝隙之后，会直接执行一段Shellcode代码，不过与常见的基于VBS或者Powershell下载方法差别，该Shellcode会再次向当前网址发送请求，下载一个二进制数据到Internet姑且目录，解密转换后得到要运行的payload，因此进程链上会看到一个index[1].htm的进程被启动。注意到此时请求的网址与Flash打击代码的网址一致，但是返回内容却不一样，可猜度在处事端会自动按照请求来源返回差此外内容，仅当包罗Flash请求信息的时候才返回Flash打击代码，而默认则直接返回加密后的二进制数据。

图7 打击进程链
最终运行的Payload是Sage2.0勒索软件，该勒索软件选择的密钥交换算法与加密算法都对照巧妙，并且基于IP地点生成算法来生成数据回传ip，是目前勒索软件的集大成者[6]。一旦传染，用户的所有文件城市被加密，桌面被替换为提醒壁纸，同时也会执行一个vbs脚本间隔一段时间发出文件被加密的提醒声音。