国产成人精品免费视频下载,亚洲国产欧美精品,国产免费私拍一区二区三区

圍觀2016年最活躍的“頂級Exploit Kit”

責任編輯：editor005

作者：米雪兒

2016-07-08 14:50:25

摘自：FreeBuf.COM

Exploit Kit作為傳播犯罪軟件的重要工具，一直深受網絡犯罪分子喜愛。預打包了安裝程序、控制面板、惡意代碼以及相當數量的攻擊工具、通常基于PHP的一個軟件。6月初，RIG的登錄頁域名開始采取新的形式，擺脫了傳統的二字節子域名，并使用動態DNS提供商。

Exploit Kit作為傳播犯罪軟件的重要工具，一直深受網絡犯罪分子喜愛。俗話說知己知彼百戰百勝，面對與時俱進，不斷升級更新的Exploit Kit，我們必須要完全的了解和分析他們，才能實現有效的防御。本文將介紹當下最活躍的流行工具包——Angler，RIG和Neutrino。

　　什么是Exploit Kit？

預打包了安裝程序、控制面板、惡意代碼以及相當數量的攻擊工具、通常基于PHP的一個軟件。

Exploit Kit經濟體制

價格在成百上千美元；

可以按日/周/月來付租金；

提供可以躲避審查的主機托管選項；

甚至包含了最終用戶許可協議；

可以在不同kit之間擇優選擇；

提供日常升級服務；

2016年最活躍的ExploitKit

1.AnglerExploit Kit

關于Angler

Angler Exploit Kit（EK）是一個釣魚攻擊工具包，出現于2013年，具有高度混淆性、偵察特性(其包含了嘗試檢測殺毒軟件和虛擬機的代碼)、反偵察性(其對網絡傳輸的Payload進行加密以繞過IDS/IPS的檢測，使用 “Fileless infections”等技術躲避殺毒軟件的檢測)，同時其對最新漏洞的利用代碼更新迅速，甚至在其中還會出現0day漏洞的利用代碼，被一些安全研究人員視為目前世界上最先進的EK。

然而，據威脅情報顯示：自6月第二周起，不知何種原因，Angler忽然停止更新，銷聲匿跡。

活躍度

Angler直至2016年春天依然保持著強勢的活躍度，并不斷更新了許多漏洞利用工具(含0day)，以及一項名為“域名陰影(Domain Shadowing)”的新技術。長期活躍的EITest 惡意軟件家族自2014年起呈上升趨勢，Darkleech惡意軟件仍然保持活躍態勢。

　　2016年4-5月 Angler攻擊趨勢圖

如圖所示，在2016年4月—5月中旬期間，共有6,500個Angler會話被阻斷，活躍時間與西方的工作周瀏覽點擊量相符，在周六和周日呈明顯降低趨勢。

　　Angler攻擊分布圖

不出所料，大部分的Angler攻擊出現在美國，同時，西歐國家也出現了大規模的Angler攻擊行為。

2016年6月中旬開始，Angler的活躍程度驟然下降。許多此前服務于Angler的EITest campaign gates現在只為Neutrino或是Sundown exploit kit登錄頁提供服務。同時，Angler的消失也讓CryptXXX勒索軟件（Trojan.Cryptolocker.AN）活躍性大減，因為Angler原本一直是CrypXXX輸出的主要途經。

　　2016年6月中旬起Angler活躍程度降低

AnglerExploit Kit執行

2016年4月初，研究人員發現了一個Angler陷阱網頁（Landing page）新變體，它更改了原本的混淆技術來逃避檢測，增加分析難度。4月和5月發現的Angler樣本與這些新模式一致。在此期間，Angler域名陰影新技術（犯罪分子更新了一些合法域名的DNS記錄，添加了多個指向惡意EK的子域名-這種技術叫做域名陰影）通過兩個不同的JavaScript混淆技術用于服務兩個單獨的登錄網頁。

　　同一個Angler主機服務的兩個登錄頁

為了更好地躲避入侵檢測措施，Angler的攻擊負載(Payload)在通過受害者網絡時進行加密，并在最后階段通過填充數據代碼(Shellcode)進行解密。攻擊負載即Bedep，它本身并不是惡意軟件，但卻可用于下載其他惡意軟件。

Angler主要利用Flash和Silverlight中的漏洞。四月份收集的樣本中包含使用CVE-2016-1019的Flash負載，該漏洞主要影響21.0.0.182之前版本，并曾大規模攻擊20.0.0.306版本。研究人員也發現了以Silverlight 4.0.50524.0版本為目標的樣本。

惡意軟件傳播

4月份，TeslaCrypt仍然是主要的傳播負載，但是到5月中旬，新型的Angler開始使用Bedep和CryptXXX代替TeslaCrypt。

6月1日開始，全球最大的惡意體系結構——Necurs僵尸網絡似乎消失了。另外兩大重要的Exploit Kit攻擊工具包，Angler和Nuclear似乎也都消失了。Angler和Nuclear的消失促成了其他Exploit Kit的成長，主要是Neutrino和RIG：

2. RIG Exploit Kit

關于RIG

RIG發現于2014年，主要以Java，Flash和Silverlight漏洞為目標。2015年初， RIG源代碼泄露事件將其帶入安全人員的視野。泄露發生后，RIG的主要架構并沒有發生很大的改變，現在它仍然是十分活躍的漏洞利用工具。

活躍度

RIG的登錄頁和負載下載使用相同的URI機制。研究人員發現4月和5月的大部分樣本都使用了“topgunn”gate，其仍然是RIG EK的主要感染源。

6月初，RIG的登錄頁域名開始采取新的形式，擺脫了傳統的二字節子域名，并使用動態DNS提供商。

　　新的RIG登錄頁域名和動態DNS

另外，研究人員還發現了一些exploit cycle的gate重定向流的變化。被感染的網站首先會被重定向到一個.html文檔，然后重定向到具有相同文件名的.phtml（一種不常見的PHP文件格式）文檔，最后才會跳轉到登錄頁。

　　4月到5月RIG感染情況

如圖所見，RIG感染事件在4月底明顯減少，但是5月至6月中旬又呈現增長趨勢。

　　RIG熱點分布圖

如圖所示：大部分的RIG感染事件發生在美國。

RIG Exploit Kit執行

4月和5月的感染事件中大量使用了“Quad Power” gate。該“Quad Power” gate使用帶有相同二級域名的.win、.top、 .party和.bid TLDs為登錄頁提供服務。

　　RIG感染的網站IFrame注入實例

　　RIG登錄頁實例

惡意軟件傳播

2016年早期，安全人員就發現RIG將Tofsee后門作為其漏洞利用的一部分。最近，RIG又開始使用了新的Zeus負載。

一篇惡意流量分析報告中對一些使用Tofsee負載的RIG樣本進行了分析。這些發現與研究人員在2015年秋季監測到的惡意軟件活動完全符合。

4月初，研究人員發現了針對“Whoads”廣告服務的惡意感染事件。該過程導致RIG登陸頁通過一個HTTPS連接和兩級gate，最后下載Qbot惡意軟件成為其最終有效負載。根據BAE Systems 以及 Kaspersky Threatpost的報道顯示，該事件與Qbot惡意軟件的活躍度整體上升相關。

3. Neutrino Exploit Kit

關于Neutrino

Neutrino結構十分簡單，并且不像其他漏洞利用工具一樣具備強大的混淆技術和反沙箱技術，但這并不妨礙它依然備受青睞。加之近期Angler忽然停止更新，銷聲匿跡，而第二大流行工具包“Nuclear”也從網絡上下線。老大老二的退出，讓老三成功上位。現在“Neutrino”一躍成為漏洞利用工具包的老大，由于競爭對手的死亡，其售價竟然翻了一番。

活躍度

Neutrino并不如RIG和Angler活躍，但是2015年秋至今其感染率一直保持穩定。幾乎每周都會為惡意感染和入侵主機等活動建設新的登陸頁，服務于Angler的EITest gate現在也開始為Neutrino登錄頁提供服務，尤其是Angler感染率下降后，EITest gate開始長期服務于Neutrino登陸頁。

研究人員發現，在2016年第一季度，絕大部分的Neutrino感染事件的登錄頁使用了.top TLD域名，并且主要以Adobe Flash Player為攻擊目標。研究人員還發現Neutrino的登陸頁可以加載多種惡意軟件負載，包括Tofsee、Gamarue/Andromeda、Panda Banker以及各種勒索軟件等。

　　4月-5月Neutrino感染情況