前情提要

化名为Cehceny的恶意软件开发者目前开始在俄罗斯地下黑客论坛推广一种新的漏洞利用工具包。

这个新型的EK工具包被命名为Disdain,最早由秘鲁安全研究员David Montenegro发现,它在地下黑客论坛被销售,购买者可以选择按日/周/年月灵活的进行租用,价格分别是80美元、500美元和1400美元。Disdain EK的定价略低于Nebula EK(价格为100美元、600美元和2000美元)。

EK是什么?

对于外行人来说,EK(Exploit Kits)是一个软件套件,以滥用受害者的浏览器或浏览器插件的已知漏洞而闻名。EK一般被托管在远程服务器上,攻击者可以被动地转移通信流量。当一个受害者连接到恶意服务器时,该工具包会扫描受害者主机上的浏览器并寻找可利用的漏洞,然后滥用这些漏洞来交付恶意软件。EK 是黑客们用来大规模的传播恶意软件的最常用的方法之一,具有简单、隐蔽和欺骗性。EK的幕后操纵者可能是一个恶意的个体、组织、甚至是一个国家/政府。

MottoIN之前也多次报道过关于EK的发展趋势,2016和2017上半年EK的活跃度有所下降(受主流的的EK工具如Angler被打击、EK市场创新不足、可利用的有效漏洞减少等因素的影响)。但趋势科技在前几周检测到EK市场有复苏的迹象;新的EK工具“Sundown Pirate”被恶意软件广告主新EK使用,以及一个旧的EK工具“Estrum”发起了新一轮的攻击等。与此同时,在深网和暗网也出现了许多的EKs推广广告,EK市场大有死灰复燃之势。深暗网的用户在购买EK工具后,买方将获得一个主机托管的服务器,卖方将在一个商定的时间段内不断提供支持。

EK(漏洞利用工具包)的存在已经至少有十年的历史了,它的每一次消退,在一定时间后都会迎来再一次的高潮,一切只是一个时间的问题

如今,一个新的,更复杂的EK在暗网出现,它的名字是“Disdain(蔑视)”。

Disdain”,最新的EK

Disdain EK的主要特征有:

  • 域名转换
  • 利用了RSA密钥交换
  • 无法从负载服务器跟踪到控制面板服务器
  • 有定位功能
  • 能够跟踪浏览器和IP
  • 有域名扫描功能

作为一款优秀的EK,Disdian自然也是提供“exploits”的,租客可以用此来感染用户。DisdianEK开发者将流量重定向到Disdian的主页(即“登陆页”),在那里,EK工具包扫描受害者用户的浏览器,并试图利用其中工具包中的漏洞在受害者的计算机上安装恶意软件。

之前的EK开发工具包有一个更大的漏洞利用工具集,它们已经在商业上运营较长时间。Disdian EK刚刚开展业务(大概有一个多星期),但是它已经包含了相当多的新武器。Disdian EK开发者Cehceny声称其可以利用的漏洞的完整列表如下:

CVE-2017-5375 – FF
CVE-2017-3823 – Extension (Cisco Web Ex)
CVE-2017-0037 – IE a
CVE-2016-9078 – FF
CVE-2016-7200 – EDGE + IE a
CVE-2016-4117 – FLASH
CVE-2016-1019 – FLASH
CVE-2016-0189 – IE
CVE-2015-5119 – FLASH
CVE-2015-2419 – IE
CVE-2014-8636 – FF
CVE-2014-6332 – IE
CVE-2014-1510 – FF
CVE-2013-2551 – IE
CVE-2013-1710 – FF

Disdain的作者声誉不佳

Disdain的广告在上周首次被发现。目前,没有恶意广告活动或僵尸网络流量重定向到任何Disdain的“登录页”。据一位不愿意透露姓名的安全研究人员反馈,其中一个原因可能是Disdain的作者Cehceny名声不好,目前已经被至少一个主流的地下黑客论坛禁言,并被标记为“开膛手”(骗子)。

EK市场混乱

如果犯罪组织和潜在的犯罪分子在意Cehceny的坏名声,Disdain将成为今年进入EK市场的一个极少数被使用的新工具。

在过去的16个月里,EK 市场一直处于下滑状态。几个主要的EK工具包都已经关闭了,如Angler 、Nuclear 、 Neutrino 、Sundown 、Sweet Orange和 Fiesta。

另一方面,浮出水面的新玩家也比较少,而且大多数都是由经验不足的团队管理的。今年,EK市场的新玩家包括:Sundown-Pirate和一些其他的一些只活跃了几个月的EKs。

目前,EK市场的活跃分子包括:RIG 、Rig-V 、Terror 、Magnitude 、Kaixin, 和 Nebula。

应对策略

强烈建议确保您的组织中使用的浏览器都更新到了最新版本。此外,可以考虑禁止使用浏览器上不必要的插件,虽然这可能不是一个故障,但它将更好的保护您的浏览器安全和终端用户安全,尤其是EK市场似乎重新上涨的情况下。

原创文章,作者:M0tto1n