近期，Palo Alto Networks的分析報告顯示，Angler Exploit Kit的持續感染已經導致超過90000個網站被攻破，且大多數網站在Alexa（網站的世界排名）排名的前十萬中。

百科

Angler Exploit Kit（EK）是一個釣魚攻擊工具包，它具有高度混淆性、偵察特性(其包含了嘗試檢測殺毒軟件和虛擬機的代碼)、反偵察性(其對網絡傳輸的Payload進行加密以繞過IDS/IPS的檢測，使用 “Fileless infections”等技術躲避殺毒軟件的檢測)，同時其對最新漏洞的利用代碼更新迅速，甚至在其中還會出現0day漏洞的利用代碼。

主要發現

1、目前已經檢測到了超過9萬個網站受到了Angler工具的影響。其中包含大量熱門網站。我們根據TrafficEstimate.com的統計信息對其中30個網站的月訪問量進行了估算，發現其月訪問量至少為一千一百萬。

2、在分析過程中發現了一個高度組織化的入侵操作，攻擊者會定期更新被入侵網站中的惡意信息。這也就意味著，攻擊者能夠對入侵的網站進行非常復雜并且持久的命令控制。

3、在惡意內容的傳播過程中發現了細粒度（表示實例級，即需要考慮具體對象的實例）權限控制。這也就意味著，注入腳本可以隱藏數日之久，以躲避安全軟件的檢測，被入侵的網站也只能對特定IP范圍的目標用戶進行攻擊，而且也只能采用特定的配置方式。對于VirusTotal(TV)這類掃描工具而言，會大大降低其檢測率。在我們首次發現這些結果的數周之后，我們所發現的大多數網站仍然沒有被VT列為惡意網站。

4、掃描網站漏洞的行為與利用被掃描網站作為EK的入口這兩者之間，存在著某種潛在的聯系。這就意味著，這種EK的背后還有著一條龐大的黑客產業鏈。

過程介紹和影響

這些網站遭到入侵就意味著29,531個獨立IP受到影響，其中有1457個IP地址分別對應著超過10個被入侵的域名。例如，IP地址為184.168.47.225的服務器托管了422個被感染的網站。如下圖，被入侵的網站大多數都在美國境內，其中的小部分網站則位于歐洲和亞洲地區。美國境內的這些網站系統大多數都是使用GoDaddy所提供的基礎服務，當然還有部分網站使用了其他的一些服務提供商的服務。

　　圖一 入侵主機的ISP分布

　　圖二 入侵主機IP的地區分布

大多數網站在被入侵的過程中都沒有被VT檢測到，安全專家使用VT對已經確定感染的5,235個網站進行檢查，結果只發現226個網站是受影響的。結果表明，VT的檢測率不到5%。

　　圖三 Angler EK的入侵拓撲圖

當受害者訪問被入侵的WordPress/Apache主機列表時，會被直接或間接（借助于被稱為“EK門”的中間層）地重定向到帶有EK的惡意服務器。最終的惡意負載有很多種，可能是勒索軟件（例如Cryptowall），也可能是連接C2服務器的惡意軟件或僵尸網絡。

　　圖四 重定向鏈（紅色部分為同域，藍色部分為跨域）

　　圖五 在重定向期間捕獲的Fiddler數據包

下圖六顯示的是使用Fiddler獲取感染數據的過程。在這一操作中，受感染的虛擬機發送了一個類似C2請求的信息，并且接收到了一個很長的，并且是經過加密的返回消息。

　　圖六 獲取感染數據

結論

現代的漏洞利用工具變得越來越難以檢測，因為這些EK工具在設計之初就會嘗試避開安全研究人員的檢測。此外，Angler EK還具有以下特性：

1、它使用JavaScript惡意代碼家族以及iframe注入技術進行有針對性的利用。

2、它對注入腳本進行不斷升級和進化，以躲避安全人員檢測。

3、攻擊者可借助該工具進行持續的跟蹤控制。

4、它會不斷地感染網站，每天增加的被入侵網站的數量穩定增加。

另外也發現了此類工具的限制：

1、重定向腳本不斷變化，但是重定向鏈基本不變。EK感染的固定模式是針對由WordPress驅動的網站，并下載flash文件。

2、攻擊者很容易利用WordPress中已知的漏洞和DNS的配置缺陷，但是，想要修改托管EK工具的服務器相對而言就比較困難，攻擊者無法在被感染的機器中配置真實的EK文件。

攻擊者借助這些現代漏洞利用工具實施攻擊活動日益猖獗，安全研究人員應持續關注此類事件，盡快部署解決方案，以保護網站的用戶。