理解Angler Exploit Kit 第二部分

  • A+
所属分类:安全文章


审查Angler EK

  

这是理解Angler Exploit Kit(EK)博文的第二部分,第一部分涵盖了EKs的基本概念,这一部分将焦点集中在Angler EK。

Angler Exploit Kit是目前网络犯罪地下黑市里最先进、高效和最受欢迎的漏洞利用套件。它总是基于最新漏洞的利用代码。和先进的漏洞利用套件一样,Angler Exploit Kit使用SaaS(软件即服务)模式作为其商业模式,并且Angler漏洞利用套件在地下市场上租金能达到每个月几千美元。




历史


        Angler漏洞利用套件在2013年出现,2013年末活动更加频繁。俄罗斯当局逮捕里Angler作者兼经销商"Paunch"后,Angler漏洞利用套件逐渐流行起来。随着Blackhole漏洞利用套件的消失,Angler漏洞利用套件渐渐填补了这一空白。

然而,Angler这个利用套件的名字。安全研究人员使用“Angler”这个名字是因为2013年开始播放的一条琵琶鱼图片的广告。

根据2015年Angler Exploit Kit服务控制面板提供的画面判断,其真正的名字是“XXX”。根据控制面板上的版权日期判断,Angler Exploit Kit2010年就已经存在。

理解Angler Exploit Kit 第二部分

1: Angler EK的控制面板





Angler EK流量的增长


2014年,安全研究人员发现与Angler EK相关的流量有所增加。经过短暂的休息,Angler EK自2015年3月以来相对突出。今天,Angler EK流量占了我们发现的EK流量的大部分。




Angler EK 漏洞利用套件


从2015年开始,Angler EK 漏洞利用套件将目标集中在三个应用上:Flash player,Internet Explorer和Silverlight。Angler总是率先使用以上三个应用最新漏洞的漏洞利用套件之一。

举个例子。2015年6月,作为著名的Hacking Team 互联网泄露400千兆字节数据中的一部分的未知的Flash漏洞(后来被定义为CVE-2015-5119)泄露。在此事件之后几个小时,一个CVE-2015-5119漏洞利用代码就被集成到了Angler EK漏洞利用套件中。在Adobe发布补丁之前的24小时时间内,这个漏洞作为0day漏洞被Angler漏洞利用套件在世界范围内被广泛利用。

到2015年8月,Angler EK漏洞利用套件一致在利用Internet Exporer (IE)CVE-2015-2419漏洞,而此漏洞Microsoft仅在1个月前才刚刚发布补丁。

在2016年2月,利用Silverlight漏洞(CVE-2016-0034)的方法仅在Microsoft发布相关补丁后仅仅一个月,就被Angler EK 漏洞利用套件利用。




Angler EK载荷


使用Angler EK漏洞利用套件不同的活动使用不同的恶意载荷。利用AnglerEK进行违法活动一个显著的特征是在载荷中使用勒索软件。在2015年,最常见的恶意载荷是CryptoWall。2016年开始,主要的恶意载荷是TeslaCrypt。在2016年4月中旬,常见的恶意载荷从TeslaCrypt变为CryptXXX勒索软件。我们已经观察到CryptXXX勒索软件是pseudo-Darkleech 违法活动幕后实施者传播的。

但是,勒索软件不是Angler EK传播的唯一恶意载荷。EITest是在另一个违法活动中利用Angler EK传播的其他类型恶意软件。除了勒索软件,EITest Angler EK还包括银行木马,比如:Tinba,信息收集者Vawtrak,其他恶意软件家族的恶意软件包括:Andromeda,Ursnif,或者Zeus。




“无文件”感染躲避检测


      在2014年8月,Angler EK引入了“无文件”感染技术从而避免检测,这种技术在内存中执行恶意载荷,代替将恶意载荷存储在硬盘中的方式。这种技术总是和Bedep 恶意载荷关联在一起。这种从Bedep无文件感染的方式不会在被感染系统遗留下任何组件。幸运的是,任何感染后的活动通常都会留下线索,因为后续恶意软件必须存储在系统的某个位置,以便并在重新启动后继续存在,从而保持持久性。




Angler EK 和 CryptXXX


        2016年4月,pseudo-Darkleech违法活动开始使用Angler EK发送Bedep,而Bedep跟进了CryptXXX勒索软件。Bedep还下载了点击欺诈恶意软件,这些恶意软件会在幕后产生网络流量(点击欺诈是犯罪集团用来增加广告收入的欺诈手段)。此点击欺诈流量对最终用户是不可见的,但在监控受感染主机生成的网络流量时会很明显。

       当这个特殊的组合首次出现时,Proofpoint和其他人报告了CryptXXX和Bedep的细节。 在2016年5月的第二周,pseudo-Darkleech违法活动停止使用Bedep并开始仅发送CryptXXX。

理解Angler Exploit Kit 第二部分

图2:Angler EK在2016-04-22发送Bedep然后

Bedep发送CryptXXX的示例。理解Angler Exploit Kit 第二部分

图3:Angler EK发送CryptXXX后受感染的Windows桌面。




结论


        Angler EK无疑将继续进化。我们推测EK继续实施改进以避免被发现。作为Angler EK的恶意载荷,Bedep恶意软件最近发生了变化,并且更能够检测安全研究人员使用的虚拟环境。CryptXXX勒索软件是一种日益严重的威胁,也具有信息窃取功能,它似乎正在转向以前传播TeslaCrypt勒索软件的其他违法活动。

人们如何保护自己免受Angler EK的攻击?如本博文第1部分所述,使用分层防御。首先,确保您的操作系统和应用程序补丁保持更新。与任何其他EK一样,Angler利用过时的基于浏览器的应用程序来感染易受攻击的Windows主机。网络安全监控和终端保护是分层防御的补充。


原文链接:

https://unit42.paloaltonetworks.com/unit42-understanding-angler-exploit-kit-part-2-examining-angler-ek/

理解Angler Exploit Kit 第二部分

理解Angler Exploit Kit 第二部分


本文始发于微信公众号(三里河安全研究):理解Angler Exploit Kit 第二部分

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: