2016年的EK工具

時間 2019-11-26

標籤 2016年工具简体版

原文原文鏈接

什麼是Exploit Kit？

預打包了安裝程序、控制面板、惡意代碼以及至關數量的攻擊工具、一般基於PHP的一個軟件。html

Exploit Kit經濟體制

價格在成百上千美圓；web

能夠按日/周/月來付租金；chrome

提供能夠躲避審查的主機託管選項；安全

甚至包含了最終用戶許可協議；網絡

能夠在不一樣kit之間擇優選擇；架構

提供平常升級服務；less

2016年最活躍的ExploitKit

1.AnglerExploit Kit

關於Angler

Angler Exploit Kit（EK）是一個釣魚攻擊工具包，出現於2013年，具備高度混淆性、偵察特性(其包含了嘗試檢測殺毒軟件和虛擬機的代碼)、反偵察性(其對網絡傳輸的Payload進行加密以繞過IDS/IPS的檢測，使用「Fileless infections」等技術躲避殺毒軟件的檢測)，同時其對最新漏洞的利用代碼更新迅速，甚至在其中還會出現0day漏洞的利用代碼，被一些安全研究人員視爲目前世界上最早進的EK。dom

然而，據威脅情報顯示：自6月第二週起，不知何種緣由，Angler突然中止更新，銷聲匿跡。ide

活躍度工具

Angler直至2016年春天依然保持着強勢的活躍度，並不斷更新了許多漏洞利用工具(含0day)，以及一項名爲「域名陰影(Domain Shadowing)」的新技術。長期活躍的 EITest 惡意軟件家族自2014年起呈上升趨勢，Darkleech惡意軟件仍然保持活躍態勢。

2016年4-5月 Angler攻擊趨勢圖

如圖所示，在2016年4月—5 月中旬期間，共有 6,500個Angler會話被阻斷，活躍時間與西方的工做周瀏覽點擊量相符，在週六和週日呈明顯下降趨勢。

Angler攻擊分佈圖

不出所料，大部分的Angler攻擊出如今美國，同時，西歐國家也出現了大規模的Angler攻擊行爲。

2016年6月中旬開始，Angler的活躍程度驟然降低。許多此前服務於Angler的EITest campaign gates如今只爲Neutrino或是Sundown exploit kit登陸頁提供服務。同時，Angler的消失也讓CryptXXX勒索軟件（Trojan.Cryptolocker.AN）活躍性大減，由於Angler本來一直是CrypXXX輸出的主要途經。

2016年6月中旬起Angler活躍程度下降

AnglerExploit Kit執行

2016年4月初，研究人員發現了一個Angler陷阱網頁（Landing page）新變體，它更改了本來的混淆技術來逃避檢測，增長分析難度。4月和5月發現的Angler樣本與這些新模式一致。在此期間，Angler域名陰影新技術（犯罪分子更新了一些合法域名的DNS記錄，添加了多個指向惡意EK的子域名-這種技術叫作域名陰影）經過兩個不一樣的JavaScript混淆技術用於服務兩個單獨的登陸網頁。

同一個Angler主機服務的兩個登陸頁

爲了更好地躲避入侵檢測措施，Angler的攻擊負載(Payload)在經過受害者網絡時進行加密，並在最後階段經過填充數據代碼(Shellcode)進行解密。攻擊負載即Bedep，它自己並非惡意軟件，但卻可用於下載其餘惡意軟件。

Angler主要利用Flash和Silverlight中的漏洞。四月份收集的樣本中包含使用CVE-2016-1019的Flash負載，該漏洞主要影響21.0.0.182以前版本，並曾大規模攻擊20.0.0.306版本。研究人員也發現了以Silverlight 4.0.50524.0版本爲目標的樣本。

惡意軟件傳播

4月份，TeslaCrypt仍然是主要的傳播負載，可是到5月中旬，新型的Angler開始使用Bedep和CryptXXX代替TeslaCrypt。

6月1日開始，全球最大的惡意體系結構——Necurs僵屍網絡彷佛消失了。另外兩大重要的Exploit Kit攻擊工具包，Angler和Nuclear彷佛也都消失了。Angler和Nuclear的消失促成了其餘Exploit Kit的成長，主要是Neutrino和RIG：

2. RIG Exploit Kit

關於RIG

RIG發現於2014年，主要以Java，Flash和Silverlight漏洞爲目標。2015年初， RIG源代碼泄露事件將其帶入安全人員的視野。泄露發生後，RIG的主要架構並無發生很大的改變，如今它仍然是十分活躍的漏洞利用工具。

活躍度

RIG的登陸頁和負載下載使用相同的URI機制。研究人員發現4月和5月的大部分樣本都使用了「topgunn」gate，其仍然是RIG EK的主要感染源。

6月初，RIG的登陸頁域名開始採起新的形式，擺脫了傳統的二字節子域名，並使用動態DNS提供商。

新的RIG登陸頁域名和動態DNS

另外，研究人員還發現了一些exploit cycle的gate重定向流的變化。被感染的網站首先會被重定向到一個.html文檔，而後重定向到具備相同文件名的.phtml（一種不常見的PHP文件格式）文檔，最後纔會跳轉到登陸頁。

4月到5月RIG感染狀況

如圖所見，RIG感染事件在4月底明顯減小，可是5月至6月中旬又呈現增加趨勢。

RIG熱點分佈圖

如圖所示：大部分的RIG感染事件發生在美國。

RIG Exploit Kit執行

4月和5月的感染事件中大量使用了「Quad Power」 gate。該「Quad Power」 gate使用帶有相同二級域名的.win、.top、 .party和.bid TLDs爲登陸頁提供服務。

RIG感染的網站IFrame注入實例

RIG登陸頁實例

惡意軟件傳播

2016年早期，安全人員就發現RIG將Tofsee後門做爲其漏洞利用的一部分。最近，RIG又開始使用了新的Zeus負載。

一篇惡意流量分析報告中對一些使用Tofsee負載的RIG樣本進行了分析。這些發現與研究人員在2015年秋季監測到的惡意軟件活動徹底符合。

4月初，研究人員發現了針對「Whoads」廣告服務的惡意感染事件。該過程致使RIG登錄頁經過一個HTTPS鏈接和兩級gate，最後下載Qbot惡意軟件成爲其最終有效負載。根據BAE Systems 以及 Kaspersky Threatpost的報道顯示，該事件與Qbot惡意軟件的活躍度總體上升相關。

3. Neutrino Exploit Kit

關於Neutrino

Neutrino結構十分簡單，而且不像其餘漏洞利用工具同樣具有強大的混淆技術和反沙箱技術，但這並不妨礙它依然備受青睞。加之近期Angler突然中止更新，銷聲匿跡，而第二大流行工具包「Nuclear」也從網絡上下線。老大老二的退出，讓老三成功上位。如今「Neutrino」一躍成爲漏洞利用工具包的老大，因爲競爭對手的死亡，其售價居然翻了一番。

活躍度

Neutrino並不如RIG和Angler活躍，可是2015年秋至今其感染率一直保持穩定。幾乎每週都會爲惡意感染和入侵主機等活動建設新的登錄頁，服務於Angler的EITest gate如今也開始爲Neutrino登陸頁提供服務，尤爲是Angler感染率降低後，EITest gate開始長期服務於Neutrino登錄頁。

研究人員發現，在2016年第一季度，絕大部分的Neutrino感染事件的登陸頁使用了.top TLD域名，而且主要以Adobe Flash Player爲攻擊目標。研究人員還發現Neutrino的登錄頁能夠加載多種惡意軟件負載，包括Tofsee、Gamarue/Andromeda、Panda Banker以及各類勒索軟件等。