Exploit Kit作為傳播犯罪軟件的重要工具，一直深受網(wǎng)絡(luò)犯罪分子喜愛。俗話說知己知彼百戰(zhàn)百勝，面對與時(shí)俱進(jìn)，不斷升級(jí)更新的Exploit Kit，我們必須要完全的了解和分析他們，才能實(shí)現(xiàn)有效的防御。本文將介紹當(dāng)下最活躍的流行工具包——Angler，RIG和Neutrino。

　　什么是Exploit Kit？

預(yù)打包了安裝程序、控制面板、惡意代碼以及相當(dāng)數(shù)量的攻擊工具、通常基于PHP的一個(gè)軟件。

Exploit Kit經(jīng)濟(jì)體制

價(jià)格在成百上千美元；

可以按日/周/月來付租金；

提供可以躲避審查的主機(jī)托管選項(xiàng)；

甚至包含了最終用戶許可協(xié)議；

可以在不同kit之間擇優(yōu)選擇；

提供日常升級(jí)服務(wù)；

2016年最活躍的ExploitKit

1.AnglerExploit Kit

關(guān)于Angler

Angler Exploit Kit（EK）是一個(gè)釣魚攻擊工具包，出現(xiàn)于2013年，具有高度混淆性、偵察特性(其包含了嘗試檢測殺毒軟件和虛擬機(jī)的代碼)、反偵察性(其對網(wǎng)絡(luò)傳輸?shù)腜ayload進(jìn)行加密以繞過IDS/IPS的檢測，使用 “Fileless infections”等技術(shù)躲避殺毒軟件的檢測)，同時(shí)其對最新漏洞的利用代碼更新迅速，甚至在其中還會(huì)出現(xiàn)0day漏洞的利用代碼，被一些安全研究人員視為目前世界上最先進(jìn)的EK。

然而，據(jù)威脅情報(bào)顯示：自6月第二周起，不知何種原因，Angler忽然停止更新，銷聲匿跡。

活躍度

Angler直至2016年春天依然保持著強(qiáng)勢的活躍度，并不斷更新了許多漏洞利用工具(含0day)，以及一項(xiàng)名為“域名陰影(Domain Shadowing)”的新技術(shù)。 長期活躍的EITest 惡意軟件家族自2014年起呈上升趨勢，Darkleech惡意軟件仍然保持活躍態(tài)勢。

　　2016年4-5月 Angler攻擊趨勢圖

如圖所示，在2016年4月—5月中旬期間，共有6,500個(gè)Angler會(huì)話被阻斷，活躍時(shí)間與西方的工作周瀏覽點(diǎn)擊量相符，在周六和周日呈明顯降低趨勢。

　　Angler攻擊分布圖

不出所料，大部分的Angler攻擊出現(xiàn)在美國，同時(shí)，西歐國家也出現(xiàn)了大規(guī)模的Angler攻擊行為。

2016年6月中旬開始，Angler的活躍程度驟然下降。許多此前服務(wù)于Angler的EITest campaign gates現(xiàn)在只為Neutrino或是Sundown exploit kit登錄頁提供服務(wù)。同時(shí)，Angler的消失也讓CryptXXX勒索軟件（Trojan.Cryptolocker.AN）活躍性大減，因?yàn)锳ngler原本一直是CrypXXX輸出的主要途經(jīng)。

　　2016年6月中旬起Angler活躍程度降低

AnglerExploit Kit執(zhí)行

2016年4月初，研究人員發(fā)現(xiàn)了一個(gè)Angler陷阱網(wǎng)頁（Landing page）新變體，它更改了原本的混淆技術(shù)來逃避檢測，增加分析難度。4月和5月發(fā)現(xiàn)的Angler樣本與這些新模式一致。在此期間，Angler域名陰影新技術(shù)（犯罪分子更新了一些合法域名的DNS記錄，添加了多個(gè)指向惡意EK的子域名-這種技術(shù)叫做域名陰影）通過兩個(gè)不同的JavaScript混淆技術(shù)用于服務(wù)兩個(gè)單獨(dú)的登錄網(wǎng)頁。

　　同一個(gè)Angler主機(jī)服務(wù)的兩個(gè)登錄頁

為了更好地躲避入侵檢測措施，Angler的攻擊負(fù)載(Payload)在通過受害者網(wǎng)絡(luò)時(shí)進(jìn)行加密，并在最后階段通過填充數(shù)據(jù)代碼(Shellcode)進(jìn)行解密。攻擊負(fù)載即Bedep，它本身并不是惡意軟件，但卻可用于下載其他惡意軟件。

Angler主要利用Flash和Silverlight中的漏洞。四月份收集的樣本中包含使用CVE-2016-1019的Flash負(fù)載，該漏洞主要影響21.0.0.182之前版本，并曾大規(guī)模攻擊20.0.0.306版本。研究人員也發(fā)現(xiàn)了以Silverlight 4.0.50524.0版本為目標(biāo)的樣本。

惡意軟件傳播

4月份，TeslaCrypt仍然是主要的傳播負(fù)載，但是到5月中旬，新型的Angler開始使用Bedep和CryptXXX代替TeslaCrypt。

6月1日開始，全球最大的惡意體系結(jié)構(gòu)——Necurs僵尸網(wǎng)絡(luò)似乎消失了。另外兩大重要的Exploit Kit攻擊工具包，Angler和Nuclear似乎也都消失了。Angler和Nuclear的消失促成了其他Exploit Kit的成長，主要是Neutrino和RIG：

2. RIG Exploit Kit

關(guān)于RIG

RIG發(fā)現(xiàn)于2014年，主要以Java，F(xiàn)lash和Silverlight漏洞為目標(biāo)。2015年初， RIG源代碼泄露事件將其帶入安全人員的視野。泄露發(fā)生后，RIG的主要架構(gòu)并沒有發(fā)生很大的改變，現(xiàn)在它仍然是十分活躍的漏洞利用工具。

活躍度

RIG的登錄頁和負(fù)載下載使用相同的URI機(jī)制。研究人員發(fā)現(xiàn)4月和5月的大部分樣本都使用了“topgunn”gate，其仍然是RIG EK的主要感染源。

6月初，RIG的登錄頁域名開始采取新的形式，擺脫了傳統(tǒng)的二字節(jié)子域名，并使用動(dòng)態(tài)DNS提供商。

　　新的RIG登錄頁域名和動(dòng)態(tài)DNS

另外，研究人員還發(fā)現(xiàn)了一些exploit cycle的gate重定向流的變化。被感染的網(wǎng)站首先會(huì)被重定向到一個(gè).html文檔，然后重定向到具有相同文件名的.phtml（一種不常見的PHP文件格式）文檔，最后才會(huì)跳轉(zhuǎn)到登錄頁。

　　4月到5月RIG感染情況

如圖所見，RIG感染事件在4月底明顯減少，但是5月至6月中旬又呈現(xiàn)增長趨勢。

　　RIG熱點(diǎn)分布圖

如圖所示：大部分的RIG感染事件發(fā)生在美國。

RIG Exploit Kit執(zhí)行

4月和5月的感染事件中大量使用了“Quad Power” gate。該“Quad Power” gate使用帶有相同二級(jí)域名的.win、.top、 .party和.bid TLDs為登錄頁提供服務(wù)。

　　RIG感染的網(wǎng)站IFrame注入實(shí)例

　　RIG登錄頁實(shí)例

惡意軟件傳播

2016年早期，安全人員就發(fā)現(xiàn)RIG將Tofsee后門作為其漏洞利用的一部分。最近，RIG又開始使用了新的Zeus負(fù)載。

一篇 惡意流量分析報(bào)告中對一些使用Tofsee負(fù)載的RIG樣本進(jìn)行了分析。這些發(fā)現(xiàn)與研究人員在2015年秋季監(jiān)測到的惡意軟件活動(dòng)完全符合。

4月初，研究人員發(fā)現(xiàn)了針對“Whoads”廣告服務(wù)的惡意感染事件。該過程導(dǎo)致RIG登陸頁通過一個(gè)HTTPS連接和兩級(jí)gate，最后下載Qbot惡意軟件成為其最終有效負(fù)載。根據(jù)BAE Systems 以及 Kaspersky Threatpost的報(bào)道顯示，該事件與Qbot惡意軟件的活躍度整體上升相關(guān)。

3. Neutrino Exploit Kit

關(guān)于Neutrino

Neutrino結(jié)構(gòu)十分簡單，并且不像其他漏洞利用工具一樣具備強(qiáng)大的混淆技術(shù)和反沙箱技術(shù)，但這并不妨礙它依然備受青睞。加之近期Angler忽然停止更新，銷聲匿跡，而第二大流行工具包“Nuclear”也從網(wǎng)絡(luò)上下線。老大老二的退出，讓老三成功上位?，F(xiàn)在“Neutrino”一躍成為漏洞利用工具包的老大，由于競爭對手的死亡，其售價(jià)竟然翻了一番。

活躍度

Neutrino并不如RIG和Angler活躍，但是2015年秋至今其感染率一直保持穩(wěn)定。幾乎每周都會(huì)為惡意感染和入侵主機(jī)等活動(dòng)建設(shè)新的登陸頁，服務(wù)于Angler的EITest gate現(xiàn)在也開始為Neutrino登錄頁提供服務(wù)，尤其是Angler感染率下降后，EITest gate開始長期服務(wù)于Neutrino登陸頁。

研究人員發(fā)現(xiàn)，在2016年第一季度，絕大部分的Neutrino感染事件的登錄頁使用了.top TLD域名，并且主要以Adobe Flash Player為攻擊目標(biāo)。研究人員還發(fā)現(xiàn)Neutrino的登陸頁可以加載多種惡意軟件負(fù)載，包括Tofsee、Gamarue/Andromeda、Panda Banker以及各種勒索軟件等。

　　4月-5月Neutrino感染情況

　　Neutrino熱點(diǎn)分布圖

如上所示：大部分Neutrino主機(jī)位于美國、意大利和羅馬尼亞。

NeutrinoExploit Kit執(zhí)行

被感染網(wǎng)站上的Neutrino footprint非常小，通常只是在主頁面開始處的一個(gè)IFrame標(biāo)簽。除了EITest gate，Neutrino很少使用其他gate。

　　網(wǎng)站IFrame注入

Neutrino的登陸頁不具備像Angler以及其他先進(jìn)exploit kits一樣復(fù)雜的JavaScript混淆技術(shù)。2016年第一季度，安全人員觀察到的所有登錄頁都使用了比較簡單的格式，和加載SWF exploit的Flash Player對象差不多。

今年4月，Luis Rocha發(fā)表了一份“SANS白皮書 ”，其中包含對Neutrino體系結(jié)構(gòu)的詳細(xì)分析。

　　Neutrino登錄頁

研究人員在4月和5月惡意感染活動(dòng)中觀察到的Neutrino頁面構(gòu)造也是非常簡單的，通常只包含一個(gè)重定向到登錄頁的IFrame，有時(shí)會(huì)包含一個(gè)加載真實(shí)廣告內(nèi)容的二層IFrame。

惡意軟件傳播

5月中旬，研究人員發(fā)現(xiàn)了一個(gè)完整的Neutrino利用過程，最終實(shí)現(xiàn)了一個(gè)Gamarue木馬有效負(fù)載的加載。該廣告服務(wù)頁面中包含一個(gè)可以加載casino-themed廣告內(nèi)容的IFrame標(biāo)簽，以及從同一個(gè)主機(jī)加載中間頁來隱藏利用工具的IFrame標(biāo)簽，中間頁中可以重定向到Neutrino登錄頁。

　　使用中間頁的感染

總結(jié)

Exploit kits對用戶進(jìn)行網(wǎng)頁瀏覽帶來了嚴(yán)重隱患。以勒索軟件為例，感染的結(jié)果可能是使用戶無法訪問文件。這些Exploit kits的開發(fā)者定期更新隱藏和混淆行技術(shù)，加大監(jiān)測和分析難度，而安全人員則竭力分析并阻止不斷出現(xiàn)的新威脅。

對于普通用戶而言，應(yīng)該禁止加載不可信的第三方腳本和資源，避免點(diǎn)擊惡意廣告，從根本上阻斷這些Exploit kits的運(yùn)行。

* 原文鏈接：zscaler，F(xiàn)B小編米雪兒編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）