2016年Exploit Kits漏洞TOP 10分析 | FreeBuf年終策劃

本文將簡單介紹2016年漏洞工具包（Exploit Kits）中的漏洞

榜

前情提要

從2015年11月16日-2016年11月15日，Adobe Flash Player佔了2016漏洞工具包TOP 10漏洞中的6個席位。在Adobe官方對安全問題加強重視後，黑客對於Adobe Flash Player的關注仍然熱度不減。

微軟的IE、windows和Silverlight今年也殺入了前10，而去年的一些漏洞很不幸在今年落榜。

2016年出的IE漏洞CVE-2016-0189非常受黑客的歡迎，尤其是Sundown漏洞工具包，在2016年7月就將其exp收入麾下。

Sundown、RIG和Neutrino填補了Angler工具包於2016年6月覆滅時的空白市場，這些漏洞工具包的價格，由200美元/周（RIG）到1500美元/周（Neutrino）不等。

Adobe Flash Player的CVE-2015-7645已經被納入過7個漏洞工具包，它算是我們分析過最泛濫的漏洞，大概是因為它是Adobe安全革新後產生的第一個0day吧。

漏洞評估團隊可以藉助識別被高頻使用的漏洞，進行一些其他工作。

根據Recorded Future（也就是筆者的網站）的分析，今年Adobe Flash Player以及微軟全家桶一直在為黑客們穩定輸出主流的漏洞，而國際間的網路博弈也佔據了不少2016年的信息安全頭條。至於犯罪分子則一直在使用持續更新的漏洞工具包，對ransomware和銀行木馬進行分發。

對於去年榜上有名的漏洞集，Recorded Future更新了對141個漏洞工具包和已知漏洞的分析。

背景

漏洞工具包提供了CaaS（犯罪軟體即服務），其締造團隊可以靠提升安裝量掙錢。自2006年這一類漏洞工具包出現以來，網路罪犯需要的編程經驗越來越少，他們只需要提供相應的payload（比如CrypMIC ransomware或者TrickBot銀行木馬）。這些payload會通過漏洞工具包，藉助被黑的網站或者第三方惡意廣告進行傳播。而漏洞工具包的支撐團隊會持續往裡面添加新的漏洞exp，提高用戶分發payload的效率，最後給自身團隊帶來更多的收入。

漏洞工具包的受害者可能是訪問了被黑的網頁、惡意廣告，或者被誘導進了漏洞工具包的著陸頁。那些使用了HTML、Javascript的頁面，會甄別受害者的瀏覽器和插件，以此來為漏洞工具包的後續攻擊做準備。

在某些情況下，這些漏洞工具包可以進行周租或者月租。比如每周800美元或者每月2000美元。廉價的RIG漏洞工具包可能每天只花費50美元，每周200美元或者每月700美元甚至更少。至於現有可用的漏洞工具包中，Neutrino可能是最貴的，大約每周1500美元或者每月4000美元。

了解哪些漏洞會被漏洞工具包所利用，可以更好地在內部進行風險評估。

方法論

Recorded Future分析了大量參考來源，包括信息安全博客，深網論壇的帖子，以及暗網洋蔥站點。這次分析的重點在於2015年11月6日-2016年11月15日的漏洞工具包和漏洞，距離咱們2015年發出報告大約有一年了。

作為研究的一部分，Recorded Future利用了141個漏洞工具包的清單（去年是108個），然後對使用最多的漏洞進行了排名。

Recorded Future並沒有逆向前面提到的惡意軟體，而是結合網上的數據進行了分析，然後再給大家進行詳細的闡述。

漏洞工具包採用的漏洞

基於2015年漏洞排名的反饋，Recorded Future將在未來進一步評估漏洞工具包採用的漏洞。

Adobe Flash Player的CVE-2015-7645是引用最多的漏洞之一，去年像Neutrino、Angler、 Magnitude、RIG、Nuclear Pack、Spartan和Hunter等漏洞工具包，都採用了Adobe的漏洞exp。

因為CVE-2015-7645同時跨平台影響了幾個系統，還能控制系統，這使得它成為了通用的漏洞。此外，它是Adobe引入新的安全措施後第一個0day，許多老漏洞拿不下的機器，有了新版的flash就能用它拿下了。此外，這個漏洞也被俄羅斯政府諜報組織Pawn Storm（APT28, Fancy Bear）所用。

雖然Adobe很快修復了漏洞後，但是由於該漏洞的易於利用和影響範圍較廣，仍然保持了一定的活躍度。

不幸的是，由於企業修補緩慢，而且家庭用戶也缺乏對於漏洞的認識，都在無形中幫助了該漏洞的持續蔓延。

Sundown漏洞工具包

Sundown漏洞工具包是犯罪世界冉冉升起的一顆新星，在去年一些市場上的領頭羊覆滅之後，Sundown被犯罪分子大規模採用。由於Sundown中的漏洞exp更新很快，所以對RIG等漏洞工具包形成了差異化優勢。

去年，Recorded Future曾寫過關於Angler漏洞工具包的分析。然而自從去年有惡意活動參與者在俄羅斯被逮捕後，使用它的人幾乎絕跡。

研究人員曾揭露了Nuclear的大量基礎結構，在其撤出了開放市場後，RIG和Sundown填補了相應的空白。雖然RIG仍然是市場中的老大，但Sundown受歡迎的程度正在提高。

根據我們的分析，Sundown第一次為人所關注是在2015年4月，被指出抄襲其他工具並採取了它們的漏洞和利用方法。它因為在2015年第一個集成了IE漏洞（CVE-2015-2444）而為人所知，當時針對的是日本銀行客戶。該惡意軟體另一個引人關注的點，是它致力於傳播銀行木馬，而不像其他漏洞工具包一樣，從ransomware釋放出許多提權工具。同時，Sundown也明顯比競爭對手，有著更多的被黑站點進行傳播。

影響

去年的漏洞工具包大量採用了Adobe的漏洞，特別是flash產品。更尷尬的是，Adobe安全今年還是沒有明顯的改善。如果可以的話，筆者建議大家卸載flash。

當然如果有需要，大家可以考慮採用Google Chrome團隊帶有最新版flash的瀏覽器。而且Google Chrome默認是採用HTML5渲染，而不是flash。

同時，現在大多數瀏覽器會默認阻止flash元素，除非用戶主動點擊允許。

結論

修補本文中提到的所有漏洞。如果不影響業務，請刪除受漏洞影響的軟體。

激活Adobe flash player的點擊後啟用功能。考慮使用Chrome，因為谷歌項目Zero對flash player漏洞非常關注。利用瀏覽器阻攔廣告插件，阻止黑客的漏洞攻擊。記得經常備份系統，特別是那些容易被ransomware盯上的目標。

* 參考來源：RF，FB小編dawner編譯，轉載需註明來自FreeBuf.COM