漏洞攻击套件在今年使用频率持续增高,基于此总结一下使用频率较高的几款漏洞利用工具包
{本篇涉及漏洞利用工具包:
RIG EK,
GrandSoft EK,
Magnitude EK,
GreenFlash ,
Sundown EK,
KaiXin EK ,
Underminer EK,
Pseudo-EKs}
===================================
今年的漏洞利用工具包中,Internet Explorer的CVE-2018-8174和Flash的CVE-2018-4878已被广泛使用。
RIG EK
RIG EK在恶意广告活动和受到破坏的网站方面仍然非常活跃,并且是少数具有更广泛地理位置的漏洞利用工具包之一。下图中我们称之为HookAds活动,提供了AZORult 窃密者。
GrandSoft EK
GrandSoft可能是第二个最活跃的漏洞利用工具包,后端基础设施与RIG相对更静态化。有趣的是,有时可以看到两个EK共享相同的分发活动,如下图所示:
Magnitude EK
以韩国为攻击重点的EK,Magnitude不断提供自己的勒索软件(Magniber)。最近几周,我们记录了Magniber的变化,并对一些代码进行了改进,并在几个亚洲国家建立了更广泛的铸造网络。
GreenFlash Sundown EK
由于OpenX广告服务器网络受到影响,GreenFlash Sundown仍然活跃在亚洲部分地区,是一款精致而又难以捉摸的EK专注于Flash的CVE-2018-4878。自从上次我们对其进行分析以来,我们没有看到任何重大变化,并且它仍在分发Hermes勒索软件。
KaiXin EK
KaiXin EK(也称为CK VIP)是一种 中国原产的旧版漏洞利用工具包,多年来一直保持着它的活动。它使用老的(Java)和新漏洞的组合这一事实是独一无二的。当我们捕获它时,我们注意到它推动了Gh0st RAT(远程访问特洛伊木马)。
Underminer EK
虽然这个漏洞利用工具包最近才被识别和命名,但至少从2017年11月开始 (可能仅限于中国市场)。从技术角度来看,这是一个有趣的EK,例如,使用加密来打包其利用并防止使用流量捕获进行离线重放。
Underminer的另一个不同寻常的方面是它的payload,它不是像其他人一样的打包二进制文件,而是一组在受感染系统上安装bootkit的库。通过更改设备的主引导记录,每次机器重新启动时,其都可以启动挖矿程序。
Pseudo-EKs
伪漏洞工具包,就是一群不会用poc的用来挂马利用,当然结果是不会生效的,如下图就是其利用CVE-2018-8174的效果