最新漏洞利用包可租用每天需80美元

近日,以色列网络安全公司IntSights Cyber Intelligence透露,一种新型的漏洞利用套件正在俄罗斯某地下黑客论坛被进行出售。据论坛信息显示,该漏洞利用套件是由一个id名为“Cehceny”的黑客进行宣传和出售的,并主要以租用的方式出售,价格则随着租用周期的长短而定(分别为按天80美元、按周500美元、按月1400美元)。

对于网络犯罪分子而言,这些漏洞利用套件长期为其提供了自动化以及尝试渗透和访问大量个人电脑的能力和业务。其中一些漏洞套件常被网络罪犯用于私人使用,并且往往只掌握在网络犯罪集团自己手中。而另一些则由开发商构建,并被租用或出售给用户以追求非法利润。

IntSights的安全研究人员在一篇博文中提到:“对于未启发的EK [exploit kit]是一种滥用受害者浏览器或浏览器附件中发现的已知漏洞的软件工具包。它驻留在远程服务器上,并将受害者流量被动的转移至渗透者。当受害者与恶意服务器成功建立连接后,该套件则会扫描浏览器以发现可利用的漏洞,一旦发现漏洞渗透者就会利用该漏洞向目标服务器传输恶意软件。“

Cehceny声称,Disdain将为用户提供跟踪受感染端浏览器、IP以及地理位置的能力。同时,还提供对有效载荷的RSA密钥交换隐藏,域名转换等功能。

Disdain最早是在上周被一个名为David Montenegro(aka @CryptoInsane)的恶意软件分析师发现的。他指出, Disdain似乎是Sundown的复制品,其它已知的漏洞利用包还有BEPS或Neutrino等。

Neutrino目前被广泛的应用于各种各样的渗透行动中,其中包括一个似乎与Lazarus Group有关的银行恶意软件行动,安全专家们普遍认为这是北朝鲜的一个网络渗透行动。

Disdain漏洞利用套件 - 新的漏洞利用套件正在地下黑客论坛被出售 - $./I_love_weekends.py pic.twitter.com/bLXBwxvYTp — David Montenegro (@CryptoInsane) August 9, 2017

根据Montenegro基于Disdain控制界面的截图可以看出,受害者主要集中在南美洲,印度,中国以及西欧。

但据Bleeping computer的安全专家介绍,目前还没有迹象表明有渗透事件或僵尸网络采用了Disdain漏洞利用包。这是因为其作者“Cehceny”地下黑客论坛的名声并不是太好,其在地下黑客论坛被标记为“ripper”(骗子)。

目标:广泛的缺陷

从以往的经验来看,这些利用套件最喜欢的渗透目标就是Microsoft Internet Explorer、Edge、Firefox浏览器以及Adobe Reader,Java运行环境和Adobe Flash Player等浏览器的插件。因为这些浏览器和插件,经常会长时间的存在各种各样的安全缺陷,这对于网络罪犯而言无疑是一个很好的突破口。

以下是“Cehceny”在广告中展示的完整漏洞列表:

CVE-2017-5375 - Firefox CVE-2017-3823 - Cisco WebEx CVE-2017-0037 - Internet Explorer CVE-2016-9078 - Firefox CVE-2016-7200 - Edge and IE CVE-2016-4117 - Flash CVE-2016-1019 - Flash CVE-2016-0189 - IE CVE-2015-5119 - Flash CVE-2015-2419 - IE CVE-2014-8636 - Firefox CVE-2014-6332 - IE CVE-2014-1510 - Firefox CVE-2013-2551 - IE CVE-2013-1710 - Firefox

目前漏洞列表中的漏洞已经被全部修复了,在某些情况下一些客户端软件可能会自动更新并修复这些漏洞,但需要提醒的是并不是所有的客户端软件都会自动更新。因此想要避免被恶意利用,务必亲自将相应的补丁打好。

例如在今年年初,Cisco修复了Cisco WebEx会议服务器和Cisco WebEx中心的浏览器扩展中的CVE-2017-3823缺陷。当时技术供应商表示,该缺陷可能导致未经身份验证的远程渗透者,利用目标系统上的浏览器权限执行任意代码。

当时思科警告说,除了通过安装Google Chrome,Firefox和Internet Explorer发布的软件更新来修补该漏洞外,没有解决此漏洞的其它办法。

漏洞利用套件该“何去何从”

对于漏洞利用套件的开发人员而言,漏洞利用套件为其提供了一个蓬勃发展的商业模式。购买者和开发人员各取所需,购买者的目的往往是利用这些缺陷,感染大量的个人电脑并从中非法牟利。

在2016年发现的顶级利用套件包括 Angler, 又名Axpergle;Neutrino, 又名Sundown;和RIG,又名Meadgive。然而在2016年的6月份,这些漏洞利用包都突然被关闭了,这可能与俄罗斯在当月逮捕了50名被怀疑从事网络犯罪活动的黑客有关。据安全研究人员介绍,至少有一些以前依赖于Angler的渗透者转而使用RIG和Neutrino漏洞套件,这些渗透手段与勒索软件以及其他类型的渗透相关。

然而自2017年年初以来,利用套件的市场似乎在急剧的下滑,Neutrino的关闭,显然也是由于利润不佳导致的(详见“ Neutrino Exploit Kit: No Signs of Life”)。

相反,根据安全公司赛门铁克的说法,渗透者似乎已经将渗透技术转移到了其它端点,例如恶意软件的垃圾邮件,近几个月来这些垃圾邮件数量在不断增加。该公司发现,7月份全球垃圾邮件量已达到2015年3月以来的最高水平。

私人订制‘Sundown-Pirate’亮相

然而,尽管许多顶级的利用套件制造商已经退出市场,但仍有许多小型企业以及新的进入者。

今年早些时候,安全公司趋势科技公司的欺诈研究人员Joseph Chen宣布,旧版漏洞套件“Astrum”(又名Stagano)再次被发现。Stegano渗透套件过去与AdGolas大规模恶意软件广泛传播相关,恶意软件主要是Gozi和RAMNIT木马。

与此同时在上个月,Joseph Chen报道发现了Sundown-Pirate,这是Sundown的一个盗版版本。“流氓”广告ProMediads就是利用Rig和Sundown漏洞渗透套件来散播恶意软件的。不过,我们注意到ProMediads恶意广告活动在6月25日又不再使用Rig而改用Sundown-Pirate,这意味着Sundown-Pirate可能是其专用的漏洞利用套件。

Sundown从未被评为安全公司的顶级产品。据称用户常常投诉网络犯罪论坛上出售的漏洞套件利用失败,讽刺的是,造成失败的原因多数都是由于代码中的错误造成的。

虽然这个漏洞套件的版本已经重新出现,但这并不表明这个漏洞利用套件市场会突然的复苏。相反,Sundown-Pirate似乎只被渗透者用来自己使用,Chen说。值得注意的是从目前来看,该组织也并没有试图通过向其他人转售或租用这些漏洞套件来获利的迹象。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏非著名程序员

由勒索病毒而引起的一些想法和看法

从5月12日晚,勒索病毒开始慢慢爆发,到今天至此更是快速蔓延,席卷全球。全球近100个国家的不计其数的电脑受到一个叫做“WannaCry”勒索病毒的侵扰。到目前...

2455
来自专栏腾讯云安全的专栏

金融篇——移动 APP 安全行业报告

2023
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-2创建演示数据-客户发票

2.3 创建演示数据 2.3.1 过帐客户发票(以本国货币) 以下示例描述了如何输入客户发票。 已创建客户。已维护总分类帐帐户的主数据。 要执行该活动,使用此文...

3296
来自专栏FreeBuf

移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动...

36110
来自专栏FreeBuf

全球500强企业弃用的Web应用存在安全隐患

近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,...

1304
来自专栏FreeBuf

全球安全厂商针对“Wannacry勒索蠕虫”响应与处置方案汇总

一般来说,影响力最大的事物并不是最牛掰的事物——这件事可以反映到周末爆发的WannaCry勒索软件身上。 WannaCry可以说是史上影响、危害最大的勒索程序没...

2437
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(二)

2016年中国网络空间安全年报 日前,由安恒信息风暴中心策划编撰的《2016年中国网络空间安全年报》重磅发布。《2016年中国网络空间安全年报》旨在从安全大数...

3346
来自专栏黑白安全

公司wifi安全

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。

1825
来自专栏网络

中国香港服务器与大陆服务器有什么区别

随着国家对国内互联网环境的整治,国内的网络环境也变得越来越安全、干净。同时也给很多企业和站长建站时提出了更多的要求,除了内容上限制的更多,备案也成为了业内褒贬不...

8578
来自专栏Debian社区

这是一场战争 Debian技术委员会已经八去其三

围绕Debian选择初始化系统systemd所引发的争论让三名资深成员先后宣布从Debian技术委员会辞职。Russ Allbery和Colin Watson在...

1163

扫码关注云+社区

领取腾讯云代金券