顶级漏洞利用工具简介:Angler,RIG和Neutrino
大部分恶意软件和计算机安全威胁都是通过网页浏览进行传播的。漏洞利用工具是利用浏览器中的漏洞向受害者传播恶意负载的可部署的软件程序包。漏洞利用工具的作者出售他们的服务并向其他恶意攻击者分发恶意软件。本文主要介绍近期比较活跃的三种利用工具:Angler,RIG和Neutrino。
Angler
自从2013年首次出现,Angler就持续感染了大量的邮箱和社交媒体账户。直到2016年6月的第二周,Angler的所有活动开始减少,很多研究人员甚至怀疑它是否即将走向终结。Angler最著名的特点是经常改变混淆算法来逃避检测。
活跃程度
Angler在2016年第一季度仍然十分活跃,主要包括恶意广告、网址破坏和一些新型的逃避检测的着陆页格式。自2014年起,长期的EITest活动和Darkleech活动仍然活跃。
图一 2016年4月-5月期间Angler的活动统计
由图可以看出,4月到5月中旬有6,500个被阻断的Angler会话,爆发的频率与西方的工作周期相同,在周六和周日明显降低。
图二 Angler热点图
不出所料,大部分的Angler活动位于美国。一些西方欧洲国家的感染程度也相对较大。
在2016年6月中旬,Angler的活跃程度骤然下降,很多之前为Angler提供服务的EITest网关现在都只服务Neutrino或Sundown利用工具。Angler活动的减少导致了CryptXXX感染的降低,因为Angler是该勒索软件家族的主要分发源。
图三 Angler活跃程度降低
利用
2016年4月初,研究人员发现了一个Angler变体,它更改了原本的混淆格式来逃避检测。4月和5月发现的Angler样本与这些新模式一致。而与该活动相关的Angler域使用两种不同的JavaScript混淆技术为两个独立的着陆页提供服务。
图四 相同Angler主机服务的两个独立的着陆页
Angler在其生命周期内会检索杀毒软件、分析工具和沙箱。如果在系统中检测到AV列表中的DLL或其他文件,Angler就会停止工作并且不会下载任何恶意软件负载。
图五 AV和安全产品检测
Angler主要利用Flash和Silverlight中的漏洞。四月份收集的样本中包含使用CVE-2016-1019的Flash负载,该漏洞主要影响21.0.0.182之前版本,曾大面积攻击20.0.0.306版本。研究人员也发现了以Silverlight4.0.50524.0版本为目标的样本。
恶意软件传播
4月份,TeslaCrypt是主要的传播负载,但是到5月中旬,新型的Angler开始使用Bedep和CryptXXX代替TeslaCrypt。
RIG
RIG被发现与2014年,主要以JavaFlash和Silverlight漏洞为目标。2015年初,由于RIG源代码的泄露,它开始引起安全人员的注意。但是它的主要架构并没有因为泄露而发生很大的改变,RIG现在仍然是十分活跃的利用工具。
活跃程度
RIG的着陆页和负载下载使用相同的URI机制。研究人员发现4月和5月的大部分样本都使用topgunn网关。
6月初,RIG的着陆页域名开始使用新的格式,摒弃了典型的二字节子域名,并使用动态DNS提供商。
图六 新的RIG着陆页域名和动态DNS
另外,攻击者还观察到一些利用周期的网关重定向流的变化。被感染的网站首先会被重定向到一个.html文档,然后重定向到具有相同文件名的.phtml(一种不常见的PHP文件格式)文档,最后才会跳转到着陆页。
图七 4月到5月RIG感染情况
由图可以看出,RIG感染事件在4月底明显减少,但是5月至6月中旬又显著增加。
图八 RIG热点图
大部分的RIG感染事件发生在美国。
执行
4月和5月的感染事件中大量使用了Quad Power网关。该网关使用带有相同二级域名的.win、.top、 .party和.bid顶级域名为着陆页提供服务。
图九 RIG感染的网站IFrame注入实例
图十 RIG着陆页实例
恶意软件传播
2016年初,RIG将Tofsee后门作为其漏洞利用的一部分。最近,RIG开始使用新的Zeus负载。
一篇恶意流量分析报告中对一些使用Tofsee负载的RIG样本进行分析。这些样本与研究人员在2015年秋季监测到的恶意软件活动完全符合。
4月初,研究人员发现了针对Whoads广告服务的感染事件。该过程首先通过HTTPS连接和两级网关跳转到RIG着陆页,最后达到加载Qbot负载的目的。该事件与Qbot的活跃相关。
Neutrino
Neutrino结构十分简单,并且没有像其他利用工具一样使用强大的模糊算法和烦沙箱技术,但是它仍然受到黑客青睐。由于近期Angler感染率下降,Neutrino便填补了这一空缺。Neutrino也参与了许多影响较大的感染事件。
活跃程度
Neutrino可能没有RIG和Angler活跃,但是自2015年秋其感染率也相当稳定。每周它都会设立新的着陆页主机,Angler使用的EITest网关也开始也开始为Neutrino着陆页提供服务,尤其是Angler感染率下降后,EITest网关多数时候是用于Neutrino的。
2016年春,多数的Neutrino感染事件的着陆页使用了.top顶级域名,并且主要攻击Adobe Flash Player。研究人员发现Neutrino的着陆页可以加载多种恶意软件负载,包括Tofsee、Gamarue/Andromeda、Panda Banker和各种勒索软件。
图十一 4月到5月Neutrino感染情况
图十二 Neutrino热点图
大部分Neutrino主机位于美国、意大利和罗马尼亚。
执行
被感染网站的Neutrino覆盖区面积十分小,一般都是在页面主体开始处的一个IFrame标签。除了EITest网关,Neutrino很少使用其他网关。
图十三 网站IFrame注入
Neutrino的着陆页没有像Angler一样使用复杂的JavaScript混淆,2016年初发现的所有着陆页都使用了比较简单的格式,包含了较多加载SWF文件的Flash Player对象。
Luis Rocha在4月发表了一份“SANS白皮书”,其中包含对Neutrino体系结构的详细分析。
图十四 Neutrino着陆页
在4月和5月发现的Neutrino页面构造十分简单,通常只包含一个重定向到着陆页的IFrame,有时可能会包含一个加载真实广告内容的IFrame。
恶意软件传播
5月中旬研究人员发现了一个完整的Neutrino利用过程,最终导致Gamarue木马的加载。该广告服务页面中包含一个可以加载casino-themed广告内容的IFrame标签和一个加载中间页来隐藏利用工具的IFrame标签,中间页中可以重定向到着陆页。
图十五 使用中间页的感染
总结
漏洞利用工具在用户进行网页浏览时会造成重大威胁。以勒索软件为例,感染的结果可能是使用户无法访问文件。这些利用工具的作者定期更换隐藏行为的技术,安全人员则竭力分析并阻止不断出现的新威胁。
对于用户而言,应该禁止加载不可信的第三方脚本和资源,避免点击恶意广告,从根本上阻断这些漏洞利用工具的运行。
发表评论: