IE安全系列：脚本先锋（II）

接着上一篇的来，本文多为Javascript的脚本阅读和解释，阅读都是自行完成，所以不免可能会出现一些错误或者联想过度的情况，如果你发现了哪儿有问题请重重地拍出来。

IV.1 HTML与网马攻击4 — Virus In the Wild



本篇中我们将从真实的Exploit Kit的利用代码入手介绍分析方式，文中例子采用Angler Exploit Kit 和 Magnitude Exploit Kit（下简称为AEK和MEK）在2015年4月初最新的代码。

AEK和MEK是互联网上最著名的漏洞利用工具包，在Phoenix Exploit Kit作者锒铛入狱之后，这两个Exploit Kit的“市场份额”一下子窜到了前面，因为作者更新快，采用加密方式繁多，导致杀毒软件更新特征也较为困难，这让它们有充足的机会去攻击有漏洞的电脑。本文将介绍这两个Exploit Kit的加密方式和解密方法。

首先，让我们从AEK开始，AEK和MEK都需要有一个Landing Page，用于将用户定向到恶意页面上，打开Landing Page，我们会发现AEK为了做混淆，给Landing Page加了很多无用的垃圾数据，并将加密后的数据混淆插入在这些代码中：

图片：2015062502552533086.png

图：code部分是加密后的代码

将页面向下拖动，快到最后的地方就是它的解密脚本了：

图片：2015062502552533086.png

图：AEK的脚本

是的，这就是一个高度混淆后的脚本，因为JavaScript代码（或者说类C语言语法）的宽松性，作者在这里面使用了大量的空白、回车、缩进符，同时还替换了变量名，使用大量的数学函数来做混淆。

对于人来说，要阅读这样的代码简直是一个非常恶心的工作，所以在此推荐使用一些代码规范化工具，例如Malzilla提供的js标准化，或者这里还有一个小技巧：使用Notepad++或者类似工具的括号匹配功能：

图片：2015062502552533086.png

将光标移动到function的大括号处，此类软件会自动标示出函数范围，可见上图中该函数范围是LN268-LN385。这样，我们就能清晰的知道这个代码的结构了：

图片：2015062502552533086.png

而之前我们也说过，Function除外的Global代码，会从上往下执行，因此，攻击者如果想要实现读取-解密-执行的步骤，执行必然是最后一步，因此我们只需要在它执行之前将要执行的数据找到即可。

图片：2015062502552533086.png

翻到最后，可以发现LN568-574的Script段其实和上面LN558-565几乎一样。这意味着这段代码很可能包含着解密和执行两步的内容。

从最后一句入手，

LN564：

rqNNhndhLxLVVb[nmfAbWwoA]('TQgaaGLDVYlaQT',QXuSacI)

逐个查看变量的作用，

LN267表明：

rqNNhndhLxLVVb = window;

这是因为Javascript中允许将任何对象赋值给某个变量，因此rqNNhndhLxLVVb此时实际上可以看作是window的“别名”或者“同义词”。

看看第二个变量nmfAbWwoA的来源：

LN561可以发现是该变量的第一次使用的地方：

nmfAbWwoA = "ezVI"+"Migbc".substr(6,8) //ezVI
nmfAbWwoA = nmfAbWwoA+[].join(dLpy) + "xlyG"

变量dLpy经过阅读可知在：

LN437处赋值：

dLpy= ('EoVzQHTfRyGU').substr(12,12) //””

因此nmfAbWwoA的值实际上只是“ezVIxlyG”。

第三个变量： LN558可以发现是该变量第一次赋值的地方：

#!javascript
var QXuSacI;
QXuSacI= ['Y', 'r', 'a', 'd', 'P'].join(dLpy)

由于dLpy我们已经知道是空字符了，所以实际上QXuSacI的值就是”Yradp”。

这样，将三处组合，LN564的原始语句实际上是：

window[”ezVIxlyG”]('TQgaaGLDVYlaQT', ‘Yradp’);

这个ezVIxlyG的原型是什么呢？搜索代码，找到它的赋值点：

LN438：

#!javascript
var D1Kx;
ezVIxlyG= !!D1Kx?true:( function (){ ……} );

这里有一个约定俗成的内容，可以看到D1Kx是刚刚定义而且未赋值的，将其作为布尔型来处理时，其默认值是false，因此，!!D1Kx的值实际也是false。

这样该三目表达式实际上只是相当于一个普通的赋值：

#!javascript
ezVIxlyG = function(){……}

由于此时我们还没处理该函数，因此这个混淆后的代码应该是十分难读的，所以，我们对其进行一个简单的处理： 复制LN439-545

[*]替换所有双空格、三空格->单空格，直到没有2个以上连续空格为止。

[*]n、r全部删除

[*]使用工具将代码重新格式化。

完成后，代码如下所示：

图片：2015062502552533086.png

可见代码还是难以理解，这是因为其中包含了大量的变量：

图片：2015062502552533086.png

你可以看到这个地方定义的变量大部分都会分散地被之后的代码使用到。

所以我们要关注的还是函数的最后：

#!javascript
if(flag == 1)
{ rqNNhndhLxLVVb [YPub] ( UjcS )
}
else
{ rqNNhndhLxLVVb [YPub] ( UjcS )
}

这里又是一个无用分支，rqNNhndhLxLVVb我们已经知道是window对象了，YPub是什么呢，可以看看上面的代码，最好倒着看，我的注也是从5开始倒着写到1处的，请注意：

#!javascript
YPub=tP+yMwnso （注：eval）
tP= 'e' 、 yMwnso= ('Rv'+('uapt') ['re'+'place'] ( 'u', dLpy)) [iCQl0] ( K1DMU, 2 ) +'l' （注：val）
iCQl0= (wRxKW+'snubnstrn') [F9k2c] ( /n/g , qm3sXy) （注：substr）
F9k2c=qm3sXy+'r'+ yMwnso + 'pl' + qm3sXy + 'ac' +yMwnso （注：replace）
K1DMU=3-2

因此我们看到了这句实际上是：

window[”eval”](UjcS);

现在知道做什么了吗？对，先把eval换成alert！

图片：2015062502552533086.png

然后，直接运行该HTML，得到解密后数据：

图片：2015062502552533086.png

图片：2015062502552533086.png

等等，共4次，将这些内容合起来就是解密后的代码了。可以看到这个代码利用了多个新漏洞，甚至包括卡巴斯基控件的安全漏洞。

IV.2 HTML与网马攻击5 - Virus In The Wild



让我们再看看Magnitude Exploit Kit这款EK的代码，相比AEK而言，难度是高还是低

图片：2015062502552533086.png

图：MEK的Landing Page

可以看出来，相比而言它的代码貌似要简单得多，可以清晰的看到document和eval被分别赋予了两个不同的变量。

通过将eval修改为alert，执行后得到：

图片：2015062502552533086.png

完了？显然没有，将eval换成alert之后得到的数据是一个function，而点击确定之后，得到了一个脚本错误：

图片：2015062502552533086.png

图：脚本错误

仔细阅读一下，首先，这个eval的范围是：

图片：2015062502552533086.png

在它之后出现了一个从未见到过的函数：

图片：2015062502552533086.png

而对比我们之前弹出的alert可以发现，这个函数就是eval解出来的结果，因此，我们应该做的是把eval部分换成解密后的内容：


#!javascript
function t1g6(a,b){var inn = document.getElementById('avp6').innerText;var out='';var c=inn.split('*');for(var k=a;k