使用漏洞利用试剂盒的网络犯罪分子的趋势我们第一次注意到我们2018年春季报告一直持续到夏天。事实上,不仅发现了新的工具箱,而且旧的工具箱仍有生命迹象。这使得夏季赛季成为我们所见过的最繁忙的赛季之一。

也许一个警告是,除了钻机和祖先利用套件之外,我们观察亚洲所含的大多数EK活动,也许是由于遇到该地区的脆弱系统的可能性。恶意软件分销商抱怨北美或欧洲市场的“负载”通过利用套件太低,但其他领域仍然值得占有目标。

此外,我们目睹了许多使用一个或两个利用的较小和不精细的攻击者,直言不讳地嵌入受妥协的网站。在这个广泛共享的利用概念验证(POC)的时代,我们开始看到我们所谓的“伪爆炸套件”的增加。这些是缺乏适当的基础设施的下载,通常是孤独作者的工作。

在这篇文章中,我们将审查以下漏洞套件:

c

2018年新发现的两个漏洞,ie的cve - 2018 - 8174和Flash的CVE-2018-4878,已被广泛采用并代表戏剧的唯一真正的攻击面。尽管如此,一些套件仍然使用正在退休的技术中的旧漏洞,并且最有可能效果很小。

钻机ek.

钻机EK在恶意的运动和受损网站中仍然非常活跃,是少数几个具有更广泛的地理位地的螺丝套件之一。它在下面看到了我们称之为淘汰赛活动,提供奥兹兰特偷窃者。

孙子ek.

Grandsoft可能是第二个最具活跃的开发工具包,与钻机相比,后端基础设施相当静止。有趣的是,两个eks有时可以看到共享相同的分发运动,如下所示:

埃克级

额度,韩国聚焦的ek,一直保持自己的赎金软件(胶铁)。我们记录的变化在最近几周的胶铁中有一些代码改进,以及几个亚洲国家的更广泛的铸造网。

Greenflash日出ek.

一个复杂但更难以捉摸的ek专注于闪光灯CVE-2018-4878.由于妥协的OpenX广告服务器网络,GreenFlash日落仍然活跃在亚洲的一部分。自从我们上次阐述它以来,我们没有看到任何重大变化,它是仍在分发Hermes ransomware

Kaixin EK.

Kaixin EK(也称为CK VIP)是一个旧漏洞套件中国的起源,在多年来保持其活动。它对于它使用旧(Java)和新漏洞的组合是独一无二的。当我们捕获它时,我们指出它推动了GH0ST RAT(远程访问木马)。

暗中破坏者埃克

虽然这个漏洞套件仅被确定并命名,但它有自2017年11月以来一直存在(也许只有有限的分销到中国市场)。从技术角度来看,它是一个有趣的ek,例如,使用加密来包装它的利用并防止使用流量捕获的脱机重放。

underminer的另一个不合时宜的方面是它的有效载荷,这不是像其他人一样包装的二进制文件,而是一组在受妥协的系统上安装Bootkit的库。通过改变设备的主启动记录,此威胁每次机器重新启动时都会启动密码。

伪eks.

多年来,许多利用包已经泄露并被偷猎,尽管有大量其他转储(即HackingTeam)或概念证明。结果,看到许多少熟练的演员放在一起,他们自己的“伪爆炸套件”并不令人惊讶。他们是一个ek的哭声 - 他们通常是静态的,他们的副本/粘贴漏洞是越野车,因此,它们仅被相同的威胁演员在有限的分发中使用。下面的Pseudo-exproit我们的图片(攻击域名被模糊)是我们7月所看到的更好的产品之一,特别是使用CVE-2018-8174。

减轻

我们不断检查我们的软件的下载攻击。这次是,由于新的和旧的开发套件,我们有一个更广泛的考试床,使其成为这个夏季版。必威平台APPMalwarebytes继续阻止具有不同技术层的利用套件来保护我们的客户。

不要称之为卷土重来

看起来谈论利用套件的消亡引发了相反的反应。当然,需要一些挖掘来遇到更模糊或占用的地理工具包,但由于Internet Explorer,这种复兴仍在继续 - 并在较小的范围内闪光灯新发现的漏洞。

虽然IE有一个小而减少的全球​​市场份额(7%),它仍然在韩国等国家(31%)或日本(18%),这可以解释为什么在一些选择区域中仍然存在显着的活动。

利用套件,即使以减少和更少的抗冲形式,可能会粘在一段时间内,至少只要人们使用想要锁定的浏览器即可无限期地锁定。