Исследователи «Лаборатории Касперского» обнаружили в Angler Exploit Kit, одном из наиболее распространенных в настоящее время наборов эксплойтов, использование криптографического протокола Диффи-Хеллмана. Этот протокол был разработан более 40 лет назад, однако это первый известный случай его использования в эксплойт-паке. В Angler злоумышленники применили протокол Диффи-Хеллмана для получения структуры с shell-код одного из последних эксплойтов к уязвимости CVE-2015-2419 для браузера Internet Explorer 11, а потом и для эксплойта к уязвимости CVE-2015-5560 для Adobe Flash. Целью злоумышленников скорее всего являлось затруднение обнаружения эксплойта различными сетевыми экранами (которые не смогут расшифровать шеллкод и эксплойт путем анализа перехваченного трафика), а также усложнение получения кода эксплойта исследователями. Для усложнения работы исследователей помимо протокола Диффи-Хеллмана использовались многократная обфускация JavaScript-кода и ActionScript-кода во Flash, а также блокировка IP пользователя после отдачи ему зашифрованной структуры с шеллкодом. Получив структуру с шелкодом таким способом (зашифрованную одноразовым ключом с помощью протокола Диффи-Хеллмана), образец эксплойт-пака после первой отработки становится нерабочим – исследователь не сможет понять, что делает конкретный файл, воспроизвести атаку и зачастую вообще идентифицировать эксплойт и уязвимость. Однако антивирусным экспертам «Лаборатории Касперского» удалось провести успешную атаку на данную реализацию протокола Диффи-Хеллмана и расшифровать shell-код. Полученным опытом специалисты поделились с общественностью и внедрили защиту от подобных атак в свои антивирусные продукты.
Подробности