Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

【CodeSec年终策划】2016年Exploit Kits漏洞TOP 10分析

0
0

【CodeSec年终策划】2016年Exploit Kits漏洞TOP 10分析

本文将简单介绍2016年漏洞工具包(Exploit Kits)中的漏洞 榜 TOP 10。

前情提要

从2015年11月16日-2016年11月15日,Adobe Flash Player占了2016漏洞工具包TOP 10漏洞中的6个席位。在Adobe官方对安全问题加强重视后,黑客对于Adobe Flash Player的关注仍然热度不减。

微软的IE、windows和Silverlight今年也杀入了前10,而去年的一些漏洞很不幸在今年落榜。

2016年出的IE漏洞CVE-2016-0189非常受黑客的欢迎,尤其是Sundown漏洞工具包,在2016年7月就将其exp收入麾下。

Sundown、RIG和Neutrino填补了Angler工具包于2016年6月覆灭时的空白市场,这些漏洞工具包的价格,由200美元/周(RIG)到1500美元/周(Neutrino)不等。

Adobe Flash Player的CVE-2015-7645已经被纳入过7个漏洞工具包,它算是我们分析过最泛滥的漏洞,大概是因为它是Adobe安全革新后产生的第一个0day吧。

漏洞评估团队可以借助识别被高频使用的漏洞,进行一些其他工作。

根据Recorded Future(也就是笔者的网站)的分析,今年Adobe Flash Player以及微软全家桶一直在为黑客们稳定输出主流的漏洞,而国际间的网络博弈也占据了不少2016年的信息安全头条。至于犯罪分子则一直在使用持续更新的漏洞工具包,对ransomware和银行木马进行分发。

对于 去年榜上有名的漏洞集 ,Recorded Future更新了对141个漏洞工具包和已知漏洞的分析。


【CodeSec年终策划】2016年Exploit Kits漏洞TOP 10分析
背景

漏洞工具包提供了CaaS(犯罪软件即服务),其缔造团队可以靠提升安装量挣钱。 自2006年这一类漏洞工具包出现以来 ,网络罪犯需要的编程经验越来越少,他们只需要提供相应的payload(比如CrypMIC ransomware或者TrickBot银行木马)。这些payload会通过漏洞工具包,借助被黑的网站或者第三方恶意广告进行传播。而漏洞工具包的支撑团队会持续往里面添加新的漏洞exp,提高用户分发payload的效率,最后给自身团队带来更多的收入。

漏洞工具包的受害者可能是访问了被黑的网页、恶意广告,或者被诱导进了漏洞工具包的着陆页。那些使用了HTML、javascript的页面,会甄别受害者的浏览器和插件,以此来为漏洞工具包的后续攻击 做准备 。

在某些情况下,这些漏洞工具包可以进行周租或者月租。比如每周800美元或者每月2000美元。廉价的RIG漏洞工具包可能每天只花费50美元,每周200美元或者每月700美元甚至更少。至于现有可用的漏洞工具包中,Neutrino可能是最贵的,大约每周1500美元或者每月4000美元。

了解哪些漏洞会被漏洞工具包所利用,可以更好地在内部进行风险评估。

方法论

Recorded Future分析了大量参考来源,包括信息安全博客,深网论坛的帖子,以及暗网洋葱站点。这次分析的重点在于2015年11月6日-2016年11月15日的漏洞工具包和漏洞,距离咱们 2015年发出报告 大约有一年了。

作为研究的一部分,Recorded Future利用了141个漏洞工具包的清单(去年是108个),然后对使用最多的漏洞进行了排名。

Recorded Future并没有逆向前面提到的恶意软件,而是结合网上的数据进行了分析,然后再给大家进行详细的阐述。

漏洞工具包采用的漏洞

基于2015年漏洞排名的反馈,Recorded Future将在未来进一步评估漏洞工具包采用的漏洞。


【CodeSec年终策划】2016年Exploit Kits漏洞TOP 10分析
【CodeSec年终策划】2016年Exploit Kits漏洞TOP 10分析

Adobe Flash Player的CVE-2015-7645是引用最多的漏洞之一,去年像Neutrino、Angler、 Magnitude、RIG、Nuclear Pack、Spartan和Hunter等漏洞工具包,都采用了Adobe的漏洞exp。

因为CVE-2015-7645同时跨平台影响了几个系统,还能 控制系统 ,这使得它成为了通用的漏洞。此外,它是 Adobe引入新的安全措施后第一个0day ,许多老漏洞拿不下的机器,有了新版的flash就能用它拿下了。此外,这个漏洞也被俄罗斯政府谍报组织 Pawn Storm (APT28, Fancy Bear)所用。


【CodeSec年终策划】2016年Exploit Kits漏洞TOP 10分析

虽然Adobe很快修复了漏洞后,但是由于该漏洞的易于利用和影响范围较广,仍然保持了一定的活跃度。

不幸的是,由于企业修补缓慢,而且家庭用户也缺乏对于漏洞的认识,都在无形中帮助了该漏洞的持续蔓延。

Sundown漏洞工具包

Sundown漏洞工具包是犯罪世界冉冉升起的一颗新星,在去年一些市场上的领头羊 覆灭 之后,Sundown被犯罪分子大规模采用。由于Sundown中的 漏洞exp更新 很快,所以对RIG等漏洞工具包形成了差异化优势。

去年,Recorded Future曾 写过关于Angler漏洞工具包的分析 。然而自从去年有恶意活动参与者在俄罗斯被逮捕后,使用它的人几乎绝迹。

研究人员曾揭露了Nuclear的大量基础结构,在其 撤出了开放市场后 ,RIG和Sundown填补了相应的空白。虽然RIG仍然是 市场中的老大 ,但Sundown受欢迎的程度正在提高。

根据我们的分析,Sundown第一次为人所关注是在 2015年4月 ,被指出抄袭其他工具并采取了它们的漏洞和利用方法。它因为在2015年第一个 集成了IE漏洞 (CVE-2015-2444)而为人所知,当时针对的是日本银行客户。该恶意软件另一个引人关注的点,是它致力于 传播银行木马 ,而不像其他漏洞工具包一样,从ransomware释放出许多提权工具。同时,Sundown也明显比竞争对手, 有着更多的被黑站点 进行传播。


【CodeSec年终策划】2016年Exploit Kits漏洞TOP 10分析
影响

去年的漏洞工具包大量采用了Adobe的漏洞,特别是flash产品。更尴尬的是,Adobe安全今年还是没有明显的改善。如果可以的话,笔者建议大家卸载flash。

当然如果有需要,大家可以考虑采用Google Chrome团队带有最新版flash的浏览器。而且Google Chrome 默认是采用html5渲染 ,而不是flash。

同时,现在大多数浏览器会默认阻止flash元素,除非用户主动点击允许。

结论

修补本文中提到的所有漏洞。如果不影响业务,请删除受漏洞影响的软件。

激活Adobe flash player的 点击后启用 。考虑使用Chrome,因为谷歌项目Zero对flash player漏洞非常关注。利用浏览器阻拦广告插件,阻止黑客的漏洞攻击。记得经常备份系统,特别是那些容易被ransomware盯上的目标。

* 参考来源: RF ,FB小编dawner编译,转载需注明来自CodeSec


Viewing all articles
Browse latest Browse all 12749