欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“淡出”而不是“退出”:让我们看看近期的漏洞利用工具包活动

来源:本站整理 作者:佚名 时间:2018-07-07 TAG: 我要投稿

漏洞利用工具包可能已经渐渐地淡出了我们的视线,但并不意味着它们已经退出了“战场”。从目前来看,尽管它们仍在使用与之前相同的技术(如在垃圾电子邮件、恶意网站或被攻陷的网站中嵌入恶意链接),但近期的活动正在使得它们重新成为威胁景观中的重要因素。我们在近期发现,Rig和GrandSoft以及私有漏洞利用工具包Magnitude正在利用相对较新的漏洞,用于交付加密货币挖掘恶意软件、勒索软件、僵尸网络加载程序和银行木马。
根据近期漏洞利用工具包的活动情况,我们认为它们的开发者似乎正在迎合潮流,改变其既有策略。例如,利用加密货币的流行,或者借用现有的一些恶意软件。考虑到使用加密货币挖掘恶意软件的盈利能力,以及使用现有恶意软件的便利性,我们预计这将是今年漏洞利用工具包的一种趋势。同时,我们预测在一些软件上将会有更多可供利用的漏洞被发现。例如,CVE-2018-8174就可以通过Microsoft Word和Internet Explorer进行利用。

图1:2018年1月1日至6月25日,GrandSoft、Magnitude和Rig活动的时间线
 
漏洞利用工具包的战术转变
Rig可以说是最活跃的漏洞利用工具包,自2017年以来一直如此,目前已经更新至第四个版本。有以下几个因素导致了Rig的活跃:当时,最受欢迎的漏洞利用工具包Angler销声匿迹;Neutrino被私有化,同时Sundown也因源代码泄露默默地停止了提供服务;到了2017年下半年,相对知名的漏洞利用工具包仅剩下了Rig、Disdain和Terror,而后两者也在当年年底从我们的视线中消失了。
从2014年开始就在地下论坛提供的Magnitude漏洞利用工具包也在2016年被私有化,并相应地将其目标范围缩小到只针对中国台湾和韩国。到了2017年10月,它转而使用Magniber勒索软件,明确表明只针对韩国用户。
GrandSoft于2012年首次被发现,最后一次被观察到是在2014年。在消失了很长一段时间之后,于2017年9月卷土重来。我们观察到,这个漏洞利用工具包经常被恶意行为者使用。当然,他们也同时使用Rig来分发他们的恶意软件,并且会在其活动中轮换使用不同的漏洞利用工具包。这表明,GrandSoft可能也在地下论坛被作为一项服务提供。

图2:GrandSoft、Magnitude和Rig漏洞利用工具包的攻击分布
 
结合CVE-2018-8174的漏洞利用
CVE-2018-8174是存在于Microsoft Windows的VBScript引擎中的一个UAF(use-after-free)漏洞,于去年4月份被发现,并在一个月之后被修复。它通过恶意的Office Word文档在实际攻击活动中被广泛利用。但由于该漏洞能够影响到操作系统(OS),使得它也可以通过其他方式被利用,比如借助Internet Explorer(IE)。
Rig是最早一个利用这一漏洞的漏洞利用工具包,它主要针对使用了受漏洞影响的脚本引擎的IE浏览器和Office文档。其他漏洞利用工具包也紧随其后。它们使用了类似于在概念证明(PoC)中公开披露的实现方法,只在随机变量的名称上进行了细微的修改。

图3:显示(从左到右)PoC的代码片段以及Rig、GrandSoft和Magnitude如何利用CVE-2018-8174(注意在VBScript中重载“Class_Terminate”函数上的差异)

图4:Rig(上)、Magnitude(中)和GrandSoft(下)利用CVE-2018-8174时的感染链
 
漏洞利用工具包仍可带来多种威胁
Rig和GrandSoft目前已经可以用来分发加密货币挖掘恶意软件,要么直接通过漏洞利用工具包交付,要么通过漏洞利用工具包安装僵尸网络加载程序来植入矿工。我们还观察到,GandCrab勒索软件也常常被作为有效载荷交付,并且毫不奇怪为什么:它作为勒索软件即服务提供,据报道该勒索软件已拥有超过80个不同的变种。
此外,漏洞利用工具包还可以推动僵尸网络和银行木马。其中就包括了通过Rig交付的Karius银行木马(由趋势科技检测为TROJ_KARIUS.A),它被发现具有类似于臭名昭着的Ramnit的实现,后者同样也是由Rig分发的。在我们发现Karius的时候,我们观察到该木马正在尝试针对银行和与加密货币相关的网站进行注入攻击,以窃取凭证和劫持付款。

图5. Karius银行木马的控制面板
另一个新型的加载程序名为“Ascentor Loader”(TROJ_DLOADR.SULQ),由GrandSoft的客户使用。在它的程序中还显示了两位安全研究人员的名字,但我们无法确定是否是因为他们在密切关注GrandSoft的活动。目前,Ascentor Loader会检索GandCrab勒索软件(RANSOM_HPGANDCRAB.SMG)并执行。
在CVE-2018-8174被修复一个月之后,原本只利用Internet Explorer漏洞的GrandSoft将对​​CVE-2016-0189的利用更新为了对CVE-2018-8174的利用,实现过程似乎只是基于PoC进行了一些简单的修改。

 

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载