漏洞利用工具包可能已经渐渐地淡出了我们的视线,但并不意味着它们已经退出了“战场”。从目前来看,尽管它们仍在使用与之前相同的技术(如在垃圾电子邮件、恶意网站或被攻陷的网站中嵌入恶意链接),但近期的活动正在使得它们重新成为威胁景观中的重要因素。我们在近期发现,Rig和GrandSoft以及私有漏洞利用工具包Magnitude正在利用相对较新的漏洞,用于交付加密货币挖掘恶意软件、勒索软件、僵尸网络加载程序和银行木马。
根据近期漏洞利用工具包的活动情况,我们认为它们的开发者似乎正在迎合潮流,改变其既有策略。例如,利用加密货币的流行,或者借用现有的一些恶意软件。考虑到使用加密货币挖掘恶意软件的盈利能力,以及使用现有恶意软件的便利性,我们预计这将是今年漏洞利用工具包的一种趋势。同时,我们预测在一些软件上将会有更多可供利用的漏洞被发现。例如,CVE-2018-8174就可以通过Microsoft Word和Internet Explorer进行利用。
图1:2018年1月1日至6月25日,GrandSoft、Magnitude和Rig活动的时间线
漏洞利用工具包的战术转变
Rig可以说是最活跃的漏洞利用工具包,自2017年以来一直如此,目前已经更新至第四个版本。有以下几个因素导致了Rig的活跃:当时,最受欢迎的漏洞利用工具包Angler销声匿迹;Neutrino被私有化,同时Sundown也因源代码泄露默默地停止了提供服务;到了2017年下半年,相对知名的漏洞利用工具包仅剩下了Rig、Disdain和Terror,而后两者也在当年年底从我们的视线中消失了。
从2014年开始就在地下论坛提供的Magnitude漏洞利用工具包也在2016年被私有化,并相应地将其目标范围缩小到只针对中国台湾和韩国。到了2017年10月,它转而使用Magniber勒索软件,明确表明只针对韩国用户。
GrandSoft于2012年首次被发现,最后一次被观察到是在2014年。在消失了很长一段时间之后,于2017年9月卷土重来。我们观察到,这个漏洞利用工具包经常被恶意行为者使用。当然,他们也同时使用Rig来分发他们的恶意软件,并且会在其活动中轮换使用不同的漏洞利用工具包。这表明,GrandSoft可能也在地下论坛被作为一项服务提供。
图2:GrandSoft、Magnitude和Rig漏洞利用工具包的攻击分布
结合CVE-2018-8174的漏洞利用
CVE-2018-8174是存在于Microsoft Windows的VBScript引擎中的一个UAF(use-after-free)漏洞,于去年4月份被发现,并在一个月之后被修复。它通过恶意的Office Word文档在实际攻击活动中被广泛利用。但由于该漏洞能够影响到操作系统(OS),使得它也可以通过其他方式被利用,比如借助Internet Explorer(IE)。
Rig是最早一个利用这一漏洞的漏洞利用工具包,它主要针对使用了受漏洞影响的脚本引擎的IE浏览器和Office文档。其他漏洞利用工具包也紧随其后。它们使用了类似于在概念证明(PoC)中公开披露的实现方法,只在随机变量的名称上进行了细微的修改。
图3:显示(从左到右)PoC的代码片段以及Rig、GrandSoft和Magnitude如何利用CVE-2018-8174(注意在VBScript中重载“Class_Terminate”函数上的差异)
图4:Rig(上)、Magnitude(中)和GrandSoft(下)利用CVE-2018-8174时的感染链
漏洞利用工具包仍可带来多种威胁
Rig和GrandSoft目前已经可以用来分发加密货币挖掘恶意软件,要么直接通过漏洞利用工具包交付,要么通过漏洞利用工具包安装僵尸网络加载程序来植入矿工。我们还观察到,GandCrab勒索软件也常常被作为有效载荷交付,并且毫不奇怪为什么:它作为勒索软件即服务提供,据报道该勒索软件已拥有超过80个不同的变种。
此外,漏洞利用工具包还可以推动僵尸网络和银行木马。其中就包括了通过Rig交付的Karius银行木马(由趋势科技检测为TROJ_KARIUS.A),它被发现具有类似于臭名昭着的Ramnit的实现,后者同样也是由Rig分发的。在我们发现Karius的时候,我们观察到该木马正在尝试针对银行和与加密货币相关的网站进行注入攻击,以窃取凭证和劫持付款。
图5. Karius银行木马的控制面板
另一个新型的加载程序名为“Ascentor Loader”(TROJ_DLOADR.SULQ),由GrandSoft的客户使用。在它的程序中还显示了两位安全研究人员的名字,但我们无法确定是否是因为他们在密切关注GrandSoft的活动。目前,Ascentor Loader会检索GandCrab勒索软件(RANSOM_HPGANDCRAB.SMG)并执行。
在CVE-2018-8174被修复一个月之后,原本只利用Internet Explorer漏洞的GrandSoft将对CVE-2016-0189的利用更新为了对CVE-2018-8174的利用,实现过程似乎只是基于PoC进行了一些简单的修改。
图6:值得注意的字符串,如“Ascentor Loader”(上)和研究人员的名称/句柄(下)
当利用CVE-2018-8174时,Rig选择的有效载荷是门罗币矿工。这并不是说它对漏洞的选择已经彻底改变了,因为它也保留了对CVE-2016-0189和CVE-2015-2419(两者都影响到Internet Explorer)以及CVE-2018-4878(Adobe Flash中的远程执行代码漏洞)的利用。
除了增加利用漏洞之外,我们还观察到Rig的客户使用Kardon Loader(TROJ_KARDONLDR.A)——一款在黑客论坛种兜售的下载程序,用于下载门罗币矿工(COINMINER_MALXMR.SM4-WIN32)。这可以反映出Rig是一个相当活跃的漏洞利用工具包,因为我们已经看到它使用了不同的下载工具(如QuantLoader和Smoke Loader),用于检索有效载荷(如Pony/ZeuS银行木马、勒索软件和加密货币矿工)。
图7:Kardon Loader的广告(左)和使用Kardon Loader的僵尸网络控制面板的快照(右)
在Rig更新其漏洞利用后的几天里,Magnitude也开始了利用CVE-2018-8174,用于交付Magniber勒索软件。这取代了它以前利用的CVE-2016-0189,这是一个IE内存损坏漏洞。与之前的活动中的情况一样,Magnitude仍将其目标限定在韩国。其原因可能是因为网络犯罪分子试图避免被发现,并提高他们的感染率,或者确保不会暴露于执法人员和安全研究人员的监视之下。
图8:用于展示Magnitude如何利用CVE-2018-8174的代码片段
漏洞利用工具包仍是实质性的威胁
运营者被执法机构逮捕、缺少可利用的零日漏洞以及主动提高其产品安全性的供应商,这众多因素的确导致了漏洞利用工具包数量的减少。然而,这些漏洞利用工具包仍然是一个实质性的威胁。漏洞利用工具包依赖的是机会主义:例如,它们仍然还在利用旧漏洞,这表明并不是所有旧漏洞都已经被全面修复。这些漏洞利用工具包的开发者也可以很轻易地集成新的漏洞,或者在PoC可用时立即重新发布漏洞利用工具包。
的确,漏洞利用工具包的数量可能已经趋于平稳,但这并不意味着组织和最终用户就可以放松浸提。例如,在2017年,就有119个零日漏洞被漏洞利用工具包所利用,而且只需要其中一个就可以立足于系统。除了修复漏洞(或为遗留系统使用虚拟补丁)之外,组织还可以通过实施更为强大的补丁管理策略来确认哪些安全漏洞应该立即解决,以进一步减轻漏洞利用工具包所带来的威胁。此外,还应该考虑应用最小特权原则,并使用防火墙、入侵检测、侵入保护系统,与应用程序控制和行为监控相结合。最终用户也应该更加谨慎:备份你的个人数据和公司数据,并在点击未知来源的链接和附件之前谨慎考虑。
IoCs
相关哈希值(SHA-256):
l 69ec63646a589127c573fed9498a11d3e75009751ac5e16a80e7aa684ad66240 — Ascentor Loader(TROJ_DLOADR.SULQ)
l f75c442895e7b8c005d420759dfcd4414ac037cf6bdd5771e23cedd73693a075— GandCrab 勒索软件(RANSOM_HPGANDCRAB.SMG)
l aca8e9ecb7c8797c1bc03202a738a0ad586b00968f6c21ab83b9bb43b5c49243 — Kardon Loader(TROJ_KARDONLDR.A)
l 5f7d3d7bf2ad424b8552ae78682a4f89080b41fedbcc34edce2b2a2c8baf47d4 — Karius(TROJ_KARIUS.A)
l 24d17158531180849f5b0819ac965d796886b8238d8a690e2a7ecb3d7fd3bf2b — Magniber勒索软件(RANSOM_MAGNIBER.Q)
l a0bff2cf5497d9b36c384e2410cb63f17b127e1b10d76263bb37eced93a73b66— 门罗币矿工(COINMINER_MALXMR.SM4-WIN32)
与Rig漏洞利用工具包相关的恶意域名和IP地址:
l 188[.]225[.]37[.]242(Rig漏洞利用工具包;Kardon Loader)
l 193[.]23[.]181[.]154
l 193[.]23[.]181[.]154/crypto/?placement=198395354
l hxxp[://193.23.181[.154/dl/miner/ipodservice2.exe(门罗币矿工)
l hxxp[://proxyservice[.site/updates/gateway[.]php(Karius)
与Magnitude漏洞利用工具包相关的恶意域名和IP地址:
l [ID].bitslot[.]website(Magniber支付服务器)
l [ID].carefly[.]space(Magniber支付服务器)
l [ID].farmand[.]site(Magniber支付服务器)
l [ID].trapgo[.]host(Magniber支付服务器)
l 54[.]37[.]57[.]152(Magniber支付服务器)
l 64[.]188[.]10[.]44(Magniber支付服务器)
l 139[.]60[.]161[.]51(Magniber支付服务器)
l 149[.]56[.]159[.]203 (Magnigate 第一阶段)
l 167[.]114[.]191[.]124 (Magnitude 漏洞利用工具包)
l 167[.]114[.]33[.]110 (Magnigate 第二阶段)
l 185[.]244[.]150[.]110 (Magniber支付服务器)
l fedpart[.]website (Magnigate 第二阶段)
l addrole[.]space (Magnitude目标页面)
l taxhuge[.]com(Magnigate 第一阶段)
与GrandSoft漏洞利用工具包相关的恶意域名和IP地址:
l 91[.]210[.]104[.]247/debug[.]txt
l 91[.]210[.]104[.]247/putty.exe(GandCrab 勒索软件)
l 200[.]74[.]240[.]219(BlackTDS IP)
l carder[.]bit(GandCrab C&C)
l ethical-buyback[.]lesbianssahgbrewingqzw[.]xyz
l ethical-buyback[.]lesbianssahgbrewingqzw[.]xyz/masking_celebration-skies
l papconnecting[.]net/wp-content/traffic[.]php