淡出视线不意味威胁消除:针对主流漏洞利用工具包的分析

41yf1sh 漏洞 2018年7月5日发布
Favorite收藏

导语:随着时间推移,一些漏洞利用工具包可能会逐渐淡出人们的视线,但这并不代表相应的安全威胁已经消除。尽管大多数漏洞利用方法都会使用相同的技术,但掌握这些漏洞利用工具包的最新活动状况还是非常重要,也是威胁分析中的一个重要因素。

随着时间推移,一些漏洞利用工具包可能会逐渐淡出人们的视线,但这并不代表相应的安全威胁已经消除。尽管大多数漏洞利用方法都会使用相同的技术,例如在垃圾邮件、恶意网站或被攻陷的合法网站中嵌入链接,但掌握这些漏洞利用工具包的最新活动状况还是非常重要,也是威胁分析中的一个重要因素。近期,我们发现Rig、GrandSoft和私有漏洞利用工具包Magnitude使用相对较新的漏洞,来投递加密货币挖掘恶意软件、勒索软件、僵尸网络加载程序和银行木马。

根据近期漏洞利用工具包的活动情况,我们认为这些工具包的开发者正在迎合潮流,改变他们的既有策略。例如,他们会为挖矿恶意软件量身打造工具包,还会借助一些现有的恶意软件。攻击者可以通过挖矿恶意软件获得一定收入,同时,由于他们使用了现有的恶意软件,也能大大减轻开发的工程量,因此,我们认为上述两点是目前漏洞利用工具包的趋势。此外,我们预测会有更多针对于特定软件的漏洞利用方法,例如通过Microsoft Word和Internet Explorer进行利用的CVE-2018-8174。

exploit-kits-1.jpg

漏洞利用工具包的战术转变

自2017年以来,Rig是最为活跃的漏洞利用工具包,目前已经迭代到第四个版本。当时,最受欢迎的漏洞利用工具包Angler销声匿迹,Neutrino不再公开发布,同时Sundown因为源代码被泄露而停止服务。正因如此,Rig发展成为了最流行的工具包之一。到2017年下半年,较为知名的工具包仅剩下Rig、Disdain和Terror,而后面二者在年底也消失在大家的视线中。

而从2014年开始就在地下提供的Magnitude工具包也在2016年时不再公开,并将其目标范围缩小到只针对台湾和韩国。到2017年10月,该工具包使用Magniber勒索软件,明确针对韩国用户发动攻击。

GrandSoft在2012年首次发现,并在2012-2014年期间非常活跃,之后经过一段时间的消失后,在2017年9月重新出现在大家的视线中。我们发现,这一漏洞利用工具包经常被攻击者使用,与此同时他们也使用Rig来分发他们的恶意软件。他们还经常会在不同的恶意活动中轮换使用不同的工具包。这也可以说明,GrandSoft可能也在地下作为一种服务来提供。

exploit-kits-2.jpg

 

结合CVE-2018-8174的漏洞利用

CVE-2018-8174是Microsoft Windows的VBScript引擎中的UAF漏洞,该漏洞通过恶意Office Word文档在野外被广泛使用。但由于这一漏洞同时影响操作系统,也就造成了还可以通过其他方式进行利用,例如借助Internet Explorer。

Rig是第一个利用此漏洞的工具包,它主要针对使用了受漏洞影响脚本引擎的IE浏览器和Office文档。其他漏洞利用工具包也紧随其后,他们使用类似于PoC中公开披露的实现方法,只不过修改了其中的一些随机变量名称。

下图从左到右,依次展现了CVE-2018-8174漏洞PoC中的部分代码、Rig的利用方法、GrandSoft的利用方法和Magnitude的利用方法,大家可以注意VBScript中重载后“Class_Terminate”函数的不同之处:

exploit-kits-3.png

下图是Rig、Magnitude和GrandSoft利用CVE-2018-8174时的感染链:

exploit-kits-4.jpg

漏洞利用工具包依然可以带来多种威胁

目前,Rig和GrandSoft已经可以分发加密货币挖矿恶意软件,其分发方式可以是直接通过漏洞利用工具包提供,也可以是通过其中安装的僵尸网络加载程序进行下载和感染。此外,勒索软件GandCrab也常常被作为Payload使用,该勒索软件据说有超过80个变种。

此外,漏洞利用工具包还可以带来尸网络和银行木马的威胁。举例来说,银行木马Karius(由趋势科技检测为Troj_karius.A),该木马与Ramnit的实现相类似,同样也由Rig进行分发。在我们发现Karius时,我们发现该恶意软件会尝试对银行和加密货币的网站进行注入攻击,以此来窃取凭据或劫持支付过程。

exploit-kits-5.jpg

此外,还有一个是GrandSoft的用户所使用的Ascentor加载程序(TROJ_DLOADR.SULQ)。在该程序中,还会显示两位安全研究人员的名字,但我们无法确定此举是否是因为他们两位在密切关注GrandSoft的活动。目前,Ascentor加载程序会检索系统中的GandCrab勒索软件(RANSOM_HPGANDCRAB.SMG)并执行。

在CVE-2018-8174修复一个月之后,原本只利用Internet Explorer漏洞的GrandSoft将其对CVE-2018-0189的漏洞更新为CVE-2018-8174,而该漏洞的实现过程似乎只是基于PoC做了简单的修改。

在利用CVE-2018-8174时,Rig选择Monero挖矿工具作为自己的Payload。其实,这并不是他们唯一所选择的漏洞,他们还在工具包中保留了对CVE-2016-0189、CVE-2015-2419(两者都影响Internet Explorer)和CVE-2018-4878(Adobe Flash中远程代码执行漏洞)的利用攻击方法。

除了这些利用的漏洞之外,我们还看到Rig的客户使用Kardon加载程序(TROJ_KARDONLDR.A)下载Monero挖矿恶意软件(COINMINER_MALXMR.SM4-WIN32),并在黑客论坛中兜售。由此,可以反映出Rig是一个相当活跃的漏洞利用工具包,我们已经发现它会使用不同的下载工具(例如QuantLoader和Smoke Loader)来检索Payload(例如Pony/ZeuS银行木马、勒索软件和加密货币挖矿程序)。

exploit-kits-7.png

在Rig更新其漏洞利用后的几天内,Magnitude就实现了自己对CVE-2018-8174的利用实现方法,提供了Magniber勒索软件。这一过程取代了此前他们利用CVE-2016-0189 IE内存损坏漏洞的方式。与之前活动中一样,Magnitude此次也将其感染范围限定在韩国,其原因可能是攻击者想要试图避免被发现、想提高他们的感染率,或者是想要增大不被执法人员和安全研究人员发现的概率。

exploit-kits-8.png

 

如何应对威胁

针对这些漏洞利用工具包,执法机构可以逮捕它们的运营者,相关厂商可以及时修复漏洞并主动提高产品的安全性,通过共同努力,能够在一定程度上降低工具包的数量。然而,这些漏洞利用工具包仍然是一个持续存在的威胁。一些漏洞利用工具包还在使用旧的漏洞,这说明旧的漏洞并没有全面得到修复,还在给攻击者可乘之机。即使已经修复了旧的漏洞,这些漏洞利用工具包的开发者也可以轻松地在其中集成新的漏洞,或者在得到PoC之后立即重新发布工具包。

实际上,工具包的数量可能不会再有明显增长,但企业和用户不能因此放松警惕。举例来说,在2017年共有119个0-Day漏洞,而对于漏洞利用工具包,只需要其中的一个漏洞就可以攻破系统。除了及时修复漏洞之外,企业还可以实施更为强大的补丁管理策略,确定需要立即修复的安全漏洞,从而进一步缓解漏洞利用工具包造成的影响。此外,还应该考虑落实最小权限原则,同时使用防火墙、IDS、IPS,与应用程序控制和行为监控相结合,进一步深入实现防御。针对用户来说,也应该提高防范意识,谨慎点击外来链接和附件,并注意定期备份个人资料和企业数据。

IoC

相关哈希值(SHA-256):

Ascentor加载程序(TROJ_DLOADR.SULQ)

69ec63646a589127c573fed9498a11d3e75009751ac5e16a80e7aa684ad66240   

GandCrab恶意软件(RANSOM_HPGANDCRAB.SMG)

f75c442895e7b8c005d420759dfcd4414ac037cf6bdd5771e23cedd73693a075  

Kardon加载程序(TROJ_KARDONLDR.A)

aca8e9ecb7c8797c1bc03202a738a0ad586b00968f6c21ab83b9bb43b5c49243

Karius(TROJ_KARIUS.A)

5f7d3d7bf2ad424b8552ae78682a4f89080b41fedbcc34edce2b2a2c8baf47d4

Magniber恶意软件(RANSOM_MAGNIBER.Q)

24d17158531180849f5b0819ac965d796886b8238d8a690e2a7ecb3d7fd3bf2b

Monero挖矿恶意软件(COINMINER_MALXMR.SM4-WIN32)

a0bff2cf5497d9b36c384e2410cb63f17b127e1b10d76263bb37eced93a73b66— Monero miner ()

与Rig漏洞利用工具包相关的恶意域名和IP地址:

188[.]225[.]37[.]242(Rig EK、Kardon加载程序)

193[.]23[.]181[.]154

193[.]23[.]181[.]154/crypto/?placement=198395354

hxxp[://193.23.181[.154/dl/miner/ipodservice2.exe(Monero挖矿)

hxxp[://proxyservice[.site/updates/gateway[.]php(Karius)

与Magnitude漏洞利用工具包相关的恶意域名和IP地址:

[ID].bitslot[.]website(Magniber支付服务器)

[ID].carefly[.]space(Magniber支付服务器)

[ID].farmand[.]site(Magniber支付服务器)

[ID].trapgo[.]host(Magniber支付服务器)

54[.]37[.]57[.]152(Magniber支付服务器)

64[.]188[.]10[.]44(Magniber支付服务器)

139[.]60[.]161[.]51(Magniber支付服务器)

149[.]56[.]159[.]203(Magniber第一阶段)

167[.]114[.]191[.]124(Magniber EK)

167[.]114[.]33[.]110(Magniber第二阶段)

185[.]244[.]150[.]110(Magniber支付服务器)

fedpart[.]website(Magniber第二阶段)

addrole[.]space(Magniber目标页面)

taxhuge[.]com(Magniber第一阶段) 

与GrandSoft漏洞利用工具包相关的恶意域名和IP地址:

91[.]210[.]104[.]247/debug[.]txt

91[.]210[.]104[.]247/putty.exe(GandCrab恶意软件)

200[.]74[.]240[.]219(BlackTDS IP)

carder[.]bit(GandCrab C&C)

ethical-buyback[.]lesbianssahgbrewingqzw[.]xyz

ethical-buyback[.]lesbianssahgbrewingqzw[.]xyz/masking_celebration-skies

papconnecting[.]net/wp-content/traffic[.]php

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-recent-exploit-kit-activities/如若转载,请注明原文地址: http://www.4hou.com/vulnerable/12339.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论