2016年的EK工具

什么是Exploit Kit？

 

 

预打包了安装程序、控制面板、恶意代码以及至关数量的攻击工具、一般基于PHP的一个软件。

 

 

Exploit Kit经济体制

 

 

价格在成百上千美圆；

能够按日/周/月来付租金；

提供能够躲避审查的主机托管选项；

甚至包含了最终用户许可协议；

能够在不一样kit之间择优选择；

提供平常升级服务；

 

2016年最活跃的ExploitKit

1.AnglerExploit Kit

 

 

关于Angler

 

 

Angler Exploit Kit（EK）是一个钓鱼攻击工具包，出现于2013年，具备高度混淆性、侦察特性(其包含了尝试检测杀毒软件和虚拟机的代码)、反侦察性(其对网络传输的Payload进行加密以绕过IDS/IPS的检测，使用 “Fileless infections”等技术躲避杀毒软件的检测)，同时其对最新漏洞的利用代码更新迅速，甚至在其中还会出现0day漏洞的利用代码，被一些安全研究人员视为目前世界上最早进的EK。

 

 

然而，据威胁情报显示：自6月第二周起，不知何种缘由，Angler突然中止更新，销声匿迹。

 

 

活跃度

 

 

Angler直至2016年春天依然保持着强势的活跃度，并不断更新了许多漏洞利用工具(含0day)，以及一项名为“域名阴影(Domain Shadowing)”的新技术。 长期活跃的 EITest 恶意软件家族自2014年起呈上升趋势，Darkleech恶意软件仍然保持活跃态势。

 

 

 

 

 

 2016年4-5月 Angler攻击趋势图

 

 

如图所示，在2016年4月—5 月中旬期间，共有 6,500个Angler会话被阻断，活跃时间与西方的工做周浏览点击量相符，在周六和周日呈明显下降趋势。

 

 

 

 

Angler攻击分布图

 

 

不出所料，大部分的Angler攻击出如今美国，同时，西欧国家也出现了大规模的Angler攻击行为。

 

 

2016年6月中旬开始，Angler的活跃程度骤然降低。许多此前服务于Angler的EITest campaign gates如今只为Neutrino或是Sundown exploit kit登陆页提供服务。同时，Angler的消失也让CryptXXX勒索软件（Trojan.Cryptolocker.AN）活跃性大减，由于Angler本来一直是CrypXXX输出的主要途经。

 

 

 

 

2016年6月中旬起Angler活跃程度下降

 

 

AnglerExploit Kit执行

 

 

2016年4月初，研究人员发现了一个Angler陷阱网页（Landing page）新变体，它更改了本来的混淆技术来逃避检测，增长分析难度。4月和5月发现的Angler样本与这些新模式一致。在此期间，Angler域名阴影新技术（犯罪分子更新了一些合法域名的DNS记录，添加了多个指向恶意EK的子域名-这种技术叫作域名阴影）经过两个不一样的JavaScript混淆技术用于服务两个单独的登陆网页。

 

 

 

 

同一个Angler主机服务的两个登陆页   

 

 

为了更好地躲避入侵检测措施，Angler的攻击负载(Payload)在经过受害者网络时进行加密，并在最后阶段经过填充数据代码(Shellcode)进行解密。攻击负载即Bedep，它自己并非恶意软件，但却可用于下载其余恶意软件。

 

 

Angler主要利用Flash和Silverlight中的漏洞。四月份收集的样本中包含使用CVE-2016-1019的Flash负载，该漏洞主要影响21.0.0.182以前版本，并曾大规模攻击20.0.0.306版本。研究人员也发现了以Silverlight 4.0.50524.0版本为目标的样本。

 

 

恶意软件传播

 

 

4月份，TeslaCrypt仍然是主要的传播负载，可是到5月中旬，新型的Angler开始使用Bedep和CryptXXX代替TeslaCrypt。

 

 

6月1日开始，全球最大的恶意体系结构——Necurs僵尸网络彷佛消失了。另外两大重要的Exploit Kit攻击工具包，Angler和Nuclear彷佛也都消失了。Angler和Nuclear的消失促成了其余Exploit Kit的成长，主要是Neutrino和RIG：

 

 

2. RIG Exploit Kit

 

 

关于RIG

 

 

RIG发现于2014年，主要以Java，Flash和Silverlight漏洞为目标。2015年初， RIG源代码泄露事件将其带入安全人员的视野。泄露发生后，RIG的主要架构并无发生很大的改变，如今它仍然是十分活跃的漏洞利用工具。

 

 

活跃度

 

 

RIG的登陆页和负载下载使用相同的URI机制。研究人员发现4月和5月的大部分样本都使用了“topgunn”gate，其仍然是RIG EK的主要感染源。

 

 

6月初，RIG的登陆页域名开始采起新的形式，摆脱了传统的二字节子域名，并使用动态DNS提供商。

 

 

 

 

 

新的RIG登陆页域名和动态DNS

 

 

另外，研究人员还发现了一些exploit cycle的gate重定向流的变化。被感染的网站首先会被重定向到一个.html文档，而后重定向到具备相同文件名的.phtml（一种不常见的PHP文件格式）文档，最后才会跳转到登陆页。

 

 

 

 

 

 4月到5月RIG感染状况

 

 

如图所见，RIG感染事件在4月底明显减小，可是5月至6月中旬又呈现增加趋势。

 

 

 

 

 

 RIG热点分布图

 

 

如图所示：大部分的RIG感染事件发生在美国。

 

 

RIG Exploit Kit执行

 

 

4月和5月的感染事件中大量使用了“Quad Power” gate。该“Quad Power” gate使用带有相同二级域名的.win、.top、 .party和.bid TLDs为登陆页提供服务。

 

 

 

 

RIG感染的网站IFrame注入实例

 

 

 

 

RIG登陆页实例

 

 

恶意软件传播

 

 

2016年早期，安全人员就发现RIG将Tofsee后门做为其漏洞利用的一部分。最近，RIG又开始使用了新的Zeus负载。

 

 

一篇 恶意流量分析报告中对一些使用Tofsee负载的RIG样本进行了分析。这些发现与研究人员在2015年秋季监测到的恶意软件活动彻底符合。

 

 

4月初，研究人员发现了针对“Whoads”广告服务的恶意感染事件。该过程致使RIG登录页经过一个HTTPS链接和两级gate，最后下载Qbot恶意软件成为其最终有效负载。根据BAE Systems 以及 Kaspersky Threatpost的报道显示，该事件与Qbot恶意软件的活跃度总体上升相关。

 

 

3. Neutrino Exploit Kit

 

 

关于Neutrino

 

 

Neutrino结构十分简单，而且不像其余漏洞利用工具同样具有强大的混淆技术和反沙箱技术，但这并不妨碍它依然备受青睐。加之近期Angler突然中止更新，销声匿迹，而第二大流行工具包“Nuclear”也从网络上下线。老大老二的退出，让老三成功上位。如今“Neutrino”一跃成为漏洞利用工具包的老大，因为竞争对手的死亡，其售价居然翻了一番。

 

 

活跃度

 

 

Neutrino并不如RIG和Angler活跃，可是2015年秋至今其感染率一直保持稳定。几乎每周都会为恶意感染和入侵主机等活动建设新的登录页，服务于Angler的EITest gate如今也开始为Neutrino登陆页提供服务，尤为是Angler感染率降低后，EITest gate开始长期服务于Neutrino登录页。

 

 

研究人员发现，在2016年第一季度，绝大部分的Neutrino感染事件的登陆页使用了.top TLD域名，而且主要以Adobe Flash Player为攻击目标。研究人员还发现Neutrino的登录页能够加载多种恶意软件负载，包括Tofsee、Gamarue/Andromeda、Panda Banker以及各类勒索软件等。

 

 

 

 

 4月-5月Neutrino感染状况

 

 

 

 

Neutrino热点分布图

 

 

如上所示：大部分Neutrino主机位于美国、意大利和罗马尼亚。

 

 

NeutrinoExploit Kit执行

 

 

被感染网站上的Neutrino footprint很是小，一般只是在主页面开始处的一个IFrame标签。除了EITest gate，Neutrino不多使用其余gate。

 

 

 

 

 

网站IFrame注入

 

 

Neutrino的登录页不具有像Angler以及其余先进exploit kits同样复杂的JavaScript混淆技术。2016年第一季度，安全人员观察到的全部登陆页都使用了比较简单的格式，和加载SWF exploit的Flash Player对象差很少。

 

 

今年4月，Luis Rocha发表了一份“SANS白皮书 ”，其中包含对Neutrino体系结构的详细分析。

 

 

 

 

 Neutrino登陆页

 

 

研究人员在4月和5月恶意感染活动中观察到的Neutrino页面构造也是很是简单的，一般只包含一个重定向到登陆页的IFrame，有时会包含一个加载真实广告内容的二层IFrame。

 

 

恶意软件传播

 

 

5月中旬，研究人员发现了一个完整的Neutrino利用过程，最终实现了一个Gamarue木马有效负载的加载。该广告服务页面中包含一个能够加载casino-themed广告内容的IFrame标签，以及从同一个主机加载中间页来隐藏利用工具的IFrame标签，中间页中能够重定向到Neutrino登陆页。

 

 

 

 

 使用中间页的感染

 

 

总结

 

 

Exploit kits对用户进行网页浏览带来了严重隐患。以勒索软件为例，感染的结果多是使用户没法访问文件。这些Exploit kits的开发者按期更新隐藏和混淆行技术，加大监测和分析难度，而安全人员则竭力分析并阻止不断出现的新威胁。

 

 

对于普通用户而言，应该禁止加载不可信的第三方脚本和资源，避免点击恶意广告，从根本上阻断这些Exploit kits的运行。