最新漏洞利用包可租用每天需80美元

近日，以色列网络安全公司IntSights Cyber Intelligence透露，一种新型的漏洞利用套件正在俄罗斯某地下黑客论坛被进行出售。据论坛信息显示，该漏洞利用套件是由一个id名为“Cehceny”的黑客进行宣传和出售的，并主要以租用的方式出售，价格则随着租用周期的长短而定（分别为按天80美元、按周500美元、按月1400美元）。

对于网络犯罪分子而言，这些漏洞利用套件长期为其提供了自动化以及尝试渗透和访问大量个人电脑的能力和业务。其中一些漏洞套件常被网络罪犯用于私人使用，并且往往只掌握在网络犯罪集团自己手中。而另一些则由开发商构建，并被租用或出售给用户以追求非法利润。

IntSights的安全研究人员在一篇博文中提到：“对于未启发的EK [exploit kit]是一种滥用受害者浏览器或浏览器附件中发现的已知漏洞的软件工具包。它驻留在远程服务器上，并将受害者流量被动的转移至渗透者。当受害者与恶意服务器成功建立连接后，该套件则会扫描浏览器以发现可利用的漏洞，一旦发现漏洞渗透者就会利用该漏洞向目标服务器传输恶意软件。“

Cehceny声称，Disdain将为用户提供跟踪受感染端浏览器、IP以及地理位置的能力。同时，还提供对有效载荷的RSA密钥交换隐藏，域名转换等功能。

Disdain最早是在上周被一个名为David Montenegro（aka @CryptoInsane）的恶意软件分析师发现的。他指出， Disdain似乎是Sundown的复制品，其它已知的漏洞利用包还有BEPS或Neutrino等。

Neutrino目前被广泛的应用于各种各样的渗透行动中，其中包括一个似乎与Lazarus Group有关的银行恶意软件行动，安全专家们普遍认为这是北朝鲜的一个网络渗透行动。

Disdain漏洞利用套件 - 新的漏洞利用套件正在地下黑客论坛被出售 - $./I_love_weekends.py pic.twitter.com/bLXBwxvYTp — David Montenegro (@CryptoInsane) August 9, 2017

根据Montenegro基于Disdain控制界面的截图可以看出，受害者主要集中在南美洲，印度，中国以及西欧。

但据Bleeping computer的安全专家介绍，目前还没有迹象表明有渗透事件或僵尸网络采用了Disdain漏洞利用包。这是因为其作者“Cehceny”地下黑客论坛的名声并不是太好，其在地下黑客论坛被标记为“ripper”（骗子）。

目标：广泛的缺陷

从以往的经验来看，这些利用套件最喜欢的渗透目标就是Microsoft Internet Explorer、Edge、Firefox浏览器以及Adobe Reader，Java运行环境和Adobe Flash Player等浏览器的插件。因为这些浏览器和插件，经常会长时间的存在各种各样的安全缺陷，这对于网络罪犯而言无疑是一个很好的突破口。

以下是“Cehceny”在广告中展示的完整漏洞列表：

CVE-2017-5375 - Firefox CVE-2017-3823 - Cisco WebEx CVE-2017-0037 - Internet Explorer CVE-2016-9078 - Firefox CVE-2016-7200 - Edge and IE CVE-2016-4117 - Flash CVE-2016-1019 - Flash CVE-2016-0189 - IE CVE-2015-5119 - Flash CVE-2015-2419 - IE CVE-2014-8636 - Firefox CVE-2014-6332 - IE CVE-2014-1510 - Firefox CVE-2013-2551 - IE CVE-2013-1710 - Firefox

目前漏洞列表中的漏洞已经被全部修复了，在某些情况下一些客户端软件可能会自动更新并修复这些漏洞，但需要提醒的是并不是所有的客户端软件都会自动更新。因此想要避免被恶意利用，务必亲自将相应的补丁打好。

例如在今年年初，Cisco修复了Cisco WebEx会议服务器和Cisco WebEx中心的浏览器扩展中的CVE-2017-3823缺陷。当时技术供应商表示，该缺陷可能导致未经身份验证的远程渗透者，利用目标系统上的浏览器权限执行任意代码。

当时思科警告说，除了通过安装Google Chrome，Firefox和Internet Explorer发布的软件更新来修补该漏洞外，没有解决此漏洞的其它办法。

漏洞利用套件该“何去何从”

对于漏洞利用套件的开发人员而言，漏洞利用套件为其提供了一个蓬勃发展的商业模式。购买者和开发人员各取所需，购买者的目的往往是利用这些缺陷，感染大量的个人电脑并从中非法牟利。

在2016年发现的顶级利用套件包括 Angler, 又名Axpergle；Neutrino, 又名Sundown；和RIG，又名Meadgive。然而在2016年的6月份，这些漏洞利用包都突然被关闭了，这可能与俄罗斯在当月逮捕了50名被怀疑从事网络犯罪活动的黑客有关。据安全研究人员介绍，至少有一些以前依赖于Angler的渗透者转而使用RIG和Neutrino漏洞套件，这些渗透手段与勒索软件以及其他类型的渗透相关。

然而自2017年年初以来，利用套件的市场似乎在急剧的下滑，Neutrino的关闭，显然也是由于利润不佳导致的（详见“ Neutrino Exploit Kit: No Signs of Life”）。

相反，根据安全公司赛门铁克的说法，渗透者似乎已经将渗透技术转移到了其它端点，例如恶意软件的垃圾邮件，近几个月来这些垃圾邮件数量在不断增加。该公司发现，7月份全球垃圾邮件量已达到2015年3月以来的最高水平。

私人订制‘Sundown-Pirate’亮相

然而，尽管许多顶级的利用套件制造商已经退出市场，但仍有许多小型企业以及新的进入者。

今年早些时候，安全公司趋势科技公司的欺诈研究人员Joseph Chen宣布，旧版漏洞套件“Astrum”（又名Stagano）再次被发现。Stegano渗透套件过去与AdGolas大规模恶意软件广泛传播相关，恶意软件主要是Gozi和RAMNIT木马。

与此同时在上个月，Joseph Chen报道发现了Sundown-Pirate，这是Sundown的一个盗版版本。“流氓”广告ProMediads就是利用Rig和Sundown漏洞渗透套件来散播恶意软件的。不过，我们注意到ProMediads恶意广告活动在6月25日又不再使用Rig而改用Sundown-Pirate，这意味着Sundown-Pirate可能是其专用的漏洞利用套件。

Sundown从未被评为安全公司的顶级产品。据称用户常常投诉网络犯罪论坛上出售的漏洞套件利用失败，讽刺的是，造成失败的原因多数都是由于代码中的错误造成的。

虽然这个漏洞套件的版本已经重新出现，但这并不表明这个漏洞利用套件市场会突然的复苏。相反，Sundown-Pirate似乎只被渗透者用来自己使用，Chen说。值得注意的是从目前来看，该组织也并没有试图通过向其他人转售或租用这些漏洞套件来获利的迹象。