Uno de los kits de exploits más interesantes que rastreamos también es un poco esquivo, y como tal no recibe el mismo escrutinio que sus homólogos de RIG y Fallout. Underminer se mencionó en nuestro resumen de otoño de 2018 , y en ese momento estaba usando CVE-2018-8174 (Internet Explorer) y CVE-2018-4878 (Flash Player hasta la versión 28.0.0.137).

A mediados de diciembre, notamos algunos cambios con Underminer que nos impulsaron a profundizar. Esto sucedió aproximadamente en el mismo período de tiempo en que estaban disponibles los nuevos días cero y la prueba de los conceptos, que suele ser un momento oportuno para que los autores de kits de explotación se integren.

Versión anterior y artefactos.

La vulnerabilidad CVE-2018-4878 es algo fácil de detectar dentro del tráfico de la red porque deja algunos artefactos atrás. De hecho, los usamos en nuestro laboratorio y los relacionamos con otros IOC.

Vista de tráfico de Underminer EK en noviembre, que muestra artefactos CVE-20184878

Como se documentó en nuestra publicación de blog anterior , Underminer usa el intercambio de claves cliente-servidor cuando entrega su exploit de IE, que cifra el código pero también evita que los analistas lo reproduzcan desde una captura de red guardada. Sin embargo, su explotación SWF hasta ahora se implementó sin tales protecciones en su lugar y, por lo tanto, podría volver a analizarse por sí solo.

Nuevo exploit de flash encubierto

El exploit parece haber cambiado a mediados de diciembre. Primero, no vimos los artefactos de Flash como lo hicimos antes, lo que nos llevó a probar este exploit con una versión más reciente de Flash (31.0.0.153).

Vista de tráfico del último Underminer EK utilizando una implementación diferente de explotación de Flash

En segundo lugar, vimos un nuevo fragmento de código dentro de la página de destino de exploits SWF que hace referencia a una función getSalt () . Esto avivó nuestra curiosidad y, al comparar varias capturas de tráfico, notamos que la función siempre devolvería valores diferentes.

Al observar la vulnerabilidad del SWF, vimos un código que interactúa con el JavaScript de la página del iniciador ( ExternalInterface.call ) y toma ese valor para pasarlo a otra función que descodifique la vulnerabilidad. Cuando intentamos reproducir el SWF malintencionado «artificialmente», no se activaría correctamente.

Malwarebytes Anti-Exploit con Flash Player 31.0.0.153

Debido a que la versión de Flash que utilizamos era 31.0.0.135 (el último Flash Player no se vio afectado en nuestras pruebas), creemos que Underminer implementó el reciente  CVE-2018-15982 .

La forma en que la carga útil final se empaqueta y ejecuta sigue siendo exclusiva de Underminer. Es lo que llamamos Hidden Bee . Hidden Bee es una carga útil personalizada que tiene módulos específicos y carece de la estructura del formato PE típico. Por esta razón, es más difícil de analizar y les da a los atacantes más flexibilidad que si en su lugar estuvieran usando shellcode simple.

Los usuarios de Malwarebytes ya están protegidos contra este kit de vulnerabilidad, ya que bloqueamos las vulnerabilidades de Internet Explorer y Flash Player.