对于攻击者来说,HackingTeam数据泄漏无疑给他们带来了“春天”。攻击者们在数据泄漏的第二天就将出炉的0day漏洞加入了主流攻击工具包之中。
HackingTeam泄漏的各种0day资料,都能够被人轻易再利用。一般来说,攻击工具包作者们会将exploit进行重新打包定制,符合自己的操作习惯。
但并非所有的攻击者都会这么做——我们在一家中国网站上发现一个有针对性的攻击,攻击者将HackingTeam里的代码几乎原封不动的照搬上去使用,仅仅只是修改了默认的‘calc.exe’payload。
不仅是加载模版完全相同(就连Run calc.exe按钮都一样),当然Flash EXP也是一样的了。
唯一不同的也就是有效载荷不同了,其将计算器程序替换为恶意二进制文件。
攻击者实用的文件:
mogujie.exe
desktop.exe
SWF(1)
SWF(2)
虽说外媒对此攻击者略有嘲讽,但咱们不是有句古话么?管他黑猫还是白猫,抓得到耗子就是好猫……
该事件从另一个方面反应出,基于HackingTeam泄漏出0day依旧存在。就拿本例来说,外媒都已经报道2天,该站点依旧没有任何回应!
* 参考来源 malwarebytes ,译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)