过去,我们经常做a博客系列在漏洞利用工具包上,我们会定期检查市场上的主要参与者。2017年3月,我们写了2017年冬季回顾,在漏洞利用工具包活动下降到耳语之前。由于缺乏进展,我们已经停止了我们的博客系列。

然而,一年后,漏洞利用工具包显示出了生命的迹象。战役的增加和针对单个国家的神枪手式攻击再次让这些功绩值得一写。

概述

RIG EK仍然是不同行为者在各种恶意广告活动中使用的最常见的攻击工具。我们还没有观察到恐怖EK自2017年秋天不过,另一种较老的装备又卷土重来了。尽管它在很大程度上仍然不成熟,但GrandSoft EK一直保持着它的活动。

虽然我们不再看到日落EK,但一个名为GreenFlash日落的衍生产品是第一个(也是迄今为止唯一一个)利用新的Flash Player零日漏洞并分发勒索软件。Magnitude EK是另一个漏洞利用工具包,也不断地放弃自己的Magniber勒索软件。

今天的漏洞利用工具包依赖于Internet Explorer和Flash Player漏洞进行利用。我们发现特别有趣的是,许多漏洞利用工具包专门针对韩国。

不管是否巧合,两者都有cve - 2016 - 0189(IE)和cve - 2018 - 4878(Flash)在被添加到EKs之前,都首先用于针对韩国的针对性零日攻击。

RIG-v埃克

RIG EK是目前为止最流行的漏洞利用工具包,有许多不同的分发活动,因此,最多样化的有效载荷(银行木马硬币矿工,ransomware,举几个例子)。

GrandSoft埃克

GrandSoft是一个较老的漏洞利用工具包,由于一个奇怪的原因,决定卷土重来。它的代码简单易懂,并且使用旋转主机名。GrandSoft习惯了分发GandCrab勒索软件在1月下旬,但也观察到下降AZORult偷窃者QuantLoader当然,矿工

GreenFlash日落

GreenFlash Sundown是一个有趣的漏洞利用工具包,它使用的URI模式几乎不可能匹配而不导致误报。它大量使用Flash Player来隐藏其重定向和恶意调用,而不是依赖于典型的HTML/JS。除了这个隐身功能之外,它也是第一个集成新发现的Flash Player零日漏洞的漏洞利用工具包用Hermes勒索软件攻击韩国人

埃克级

Magnitude是一个长期存在的漏洞工具包,一段时间以来一直专门针对韩国。与GreenFlash日落相反,它已经放弃了对Flash播放器的所有支持,只依赖于Internet Explorer进行开发。量级有它自己的有效载荷,Magniber这款勒索软件再次只针对韩国。

缓解

我们在实验室用ie10和两个不同版本的Flash Player运行了所有这些漏洞利用工具包。对于GreenFlash sunset,我们将Flash版本更新到28.0.0.137以触发最新的零日漏洞。必威平台APP在任何有效负载有机会被丢弃或执行之前阻止所有这些利用尝试。

总结

虽然漏洞利用工具包在浏览器市场份额被谷歌Chrome和Flash Player使用率的快速下降所主导,但我们注意到一些不同的参与者仍然通过多个恶意广告链参与传播。其中一些行为者已经接管了曾经在更广泛的活动中使用的工具,以分发自己的有效载荷,并将目标缩小到一个国家。

尽管攻击工具包在火力方面没有太大的发展,但导致它们的流量分配系统和大门仍然活跃和多样化。由于这个原因,威胁参与者经常混合基于用户代理信息的流量,将受害者转向利用工具包或基于社会工程的攻击,如果前者被认为不是一个可行的选择。

鸣谢

多亏了@nao_sec浏览有关GrandSoft EK的更多资料。