淡出視線不意味威脅消除：針對主流漏洞利用工具包的分析

隨著時間推移，一些漏洞利用工具包可能會逐漸淡出人們的視線，但這並不代表相應的安全威脅已經消除。儘管大多數漏洞利用方法都會使用相同的技術，例如在垃圾郵件、惡意網站或被攻陷的合法網站中嵌入鏈接，但掌握這些漏洞利用工具包的最新活動狀況還是非常重要，也是威脅分析中的一個重要因素。近期，我們發現Rig、GrandSoft和私有漏洞利用工具包Magnitude使用相對較新的漏洞，來投遞加密貨幣挖掘惡意軟體、勒索軟體、殭屍網路載入程序和銀行木馬。

根據近期漏洞利用工具包的活動情況，我們認為這些工具包的開發者正在迎合潮流，改變他們的既有策略。例如，他們會為挖礦惡意軟體量身打造工具包，還會藉助一些現有的惡意軟體。攻擊者可以通過挖礦惡意軟體獲得一定收入，同時，由於他們使用了現有的惡意軟體，也能大大減輕開發的工程量，因此，我們認為上述兩點是目前漏洞利用工具包的趨勢。此外，我們預測會有更多針對於特定軟體的漏洞利用方法，例如通過Microsoft Word和Internet Explorer進行利用的CVE-2018-8174。

漏洞利用工具包的戰術轉變

自2017年以來，Rig是最為活躍的漏洞利用工具包，目前已經迭代到第四個版本。當時，最受歡迎的漏洞利用工具包Angler銷聲匿跡，Neutrino不再公開發布，同時Sundown因為源代碼被泄露而停止服務。正因如此，Rig發展成為了最流行的工具包之一。到2017年下半年，較為知名的工具包僅剩下Rig、Disdain和Terror，而後面二者在年底也消失在大家的視線中。

而從2014年開始就在地下提供的Magnitude工具包也在2016年時不再公開，並將其目標範圍縮小到只針對台灣和韓國。到2017年10月，該工具包使用Magniber勒索軟體，明確針對韓國用戶發動攻擊。

GrandSoft在2012年首次發現，並在2012-2014年期間非常活躍，之後經過一段時間的消失後，在2017年9月重新出現在大家的視線中。我們發現，這一漏洞利用工具包經常被攻擊者使用，與此同時他們也使用Rig來分發他們的惡意軟體。他們還經常會在不同的惡意活動中輪換使用不同的工具包。這也可以說明，GrandSoft可能也在地下作為一種服務來提供。

結合CVE-2018-8174的漏洞利用

CVE-2018-8174是Microsoft Windows的VBScript引擎中的UAF漏洞，該漏洞通過惡意Office Word文檔在野外被廣泛使用。但由於這一漏洞同時影響操作系統，也就造成了還可以通過其他方式進行利用，例如藉助Internet Explorer。

Rig是第一個利用此漏洞的工具包，它主要針對使用了受漏洞影響腳本引擎的IE瀏覽器和Office文檔。其他漏洞利用工具包也緊隨其後，他們使用類似於PoC中公開披露的實現方法，只不過修改了其中的一些隨機變數名稱。

下圖從左到右，依次展現了CVE-2018-8174漏洞PoC中的部分代碼、Rig的利用方法、GrandSoft的利用方法和Magnitude的利用方法，大家可以注意VBScript中重載後「Class_Terminate」函數的不同之處：

下圖是Rig、Magnitude和GrandSoft利用CVE-2018-8174時的感染鏈：

漏洞利用工具包依然可以帶來多種威脅

目前，Rig和GrandSoft已經可以分發加密貨幣挖礦惡意軟體，其分發方式可以是直接通過漏洞利用工具包提供，也可以是通過其中安裝的殭屍網路載入程序進行下載和感染。此外，勒索軟體GandCrab也常常被作為Payload使用，該勒索軟體據說有超過80個變種。

此外，漏洞利用工具包還可以帶來屍網路和銀行木馬的威脅。舉例來說，銀行木馬Karius（由趨勢科技檢測為Troj_karius.A），該木馬與Ramnit的實現相類似，同樣也由Rig進行分發。在我們發現Karius時，我們發現該惡意軟體會嘗試對銀行和加密貨幣的網站進行注入攻擊，以此來竊取憑據或劫持支付過程。

此外，還有一個是GrandSoft的用戶所使用的Ascentor載入程序（TROJ_DLOADR.SULQ）。在該程序中，還會顯示兩位安全研究人員的名字，但我們無法確定此舉是否是因為他們兩位在密切關注GrandSoft的活動。目前，Ascentor載入程序會檢索系統中的GandCrab勒索軟體（RANSOM_HPGANDCRAB.SMG）並執行。

在CVE-2018-8174修復一個月之後，原本只利用Internet Explorer漏洞的GrandSoft將其對CVE-2018-0189的漏洞更新為CVE-2018-8174，而該漏洞的實現過程似乎只是基於PoC做了簡單的修改。

在利用CVE-2018-8174時，Rig選擇Monero挖礦工具作為自己的Payload。其實，這並不是他們唯一所選擇的漏洞，他們還在工具包中保留了對CVE-2016-0189、CVE-2015-2419（兩者都影響Internet Explorer）和CVE-2018-4878（Adobe Flash中遠程代碼執行漏洞）的利用攻擊方法。

除了這些利用的漏洞之外，我們還看到Rig的客戶使用Kardon載入程序（TROJ_KARDONLDR.A）下載Monero挖礦惡意軟體（COINMINER_MALXMR.SM4-WIN32），並在黑客論壇中兜售。由此，可以反映出Rig是一個相當活躍的漏洞利用工具包，我們已經發現它會使用不同的下載工具（例如QuantLoader和Smoke Loader）來檢索Payload（例如Pony/ZeuS銀行木馬、勒索軟體和加密貨幣挖礦程序）。

在Rig更新其漏洞利用後的幾天內，Magnitude就實現了自己對CVE-2018-8174的利用實現方法，提供了Magniber勒索軟體。這一過程取代了此前他們利用CVE-2016-0189 IE內存損壞漏洞的方式。與之前活動中一樣，Magnitude此次也將其感染範圍限定在韓國，其原因可能是攻擊者想要試圖避免被發現、想提高他們的感染率，或者是想要增大不被執法人員和安全研究人員發現的概率。

如何應對威脅

針對這些漏洞利用工具包，執法機構可以逮捕它們的運營者，相關廠商可以及時修復漏洞並主動提高產品的安全性，通過共同努力，能夠在一定程度上降低工具包的數量。然而，這些漏洞利用工具包仍然是一個持續存在的威脅。一些漏洞利用工具包還在使用舊的漏洞，這說明舊的漏洞並沒有全面得到修復，還在給攻擊者可乘之機。即使已經修復了舊的漏洞，這些漏洞利用工具包的開發者也可以輕鬆地在其中集成新的漏洞，或者在得到PoC之後立即重新發布工具包。

實際上，工具包的數量可能不會再有明顯增長，但企業和用戶不能因此放鬆警惕。舉例來說，在2017年共有119個0-Day漏洞，而對於漏洞利用工具包，只需要其中的一個漏洞就可以攻破系統。除了及時修復漏洞之外，企業還可以實施更為強大的補丁管理策略，確定需要立即修復的安全漏洞，從而進一步緩解漏洞利用工具包造成的影響。此外，還應該考慮落實最小許可權原則，同時使用防火牆、IDS、IPS，與應用程序控制和行為監控相結合，進一步深入實現防禦。針對用戶來說，也應該提高防範意識，謹慎點擊外來鏈接和附件，並注意定期備份個人資料和企業數據。

IoC

相關哈希值（SHA-256）：

Ascentor載入程序（TROJ_DLOADR.SULQ）

GandCrab惡意軟體（RANSOM_HPGANDCRAB.SMG）

f75c442895e7b8c005d420759dfcd4414ac037cf6bdd5771e23cedd73693a075

Kardon載入程序（TROJ_KARDONLDR.A）

aca8e9ecb7c8797c1bc03202a738a0ad586b00968f6c21ab83b9bb43b5c49243

Karius（TROJ_KARIUS.A）

5f7d3d7bf2ad424b8552ae78682a4f89080b41fedbcc34edce2b2a2c8baf47d4

Magniber惡意軟體（RANSOM_MAGNIBER.Q）

Monero挖礦惡意軟體（COINMINER_MALXMR.SM4-WIN32）

a0bff2cf5497d9b36c384e2410cb63f17b127e1b10d76263bb37eced93a73b66— Monero miner ()

與Rig漏洞利用工具包相關的惡意域名和IP地址：

188[.]225[.]37[.]242（Rig EK、Kardon載入程序）

193[.]23[.]181[.]154

193[.]23[.]181[.]154/crypto/?placement=198395354

hxxp[://193.23.181[.154/dl/miner/ipodservice2.exe（Monero挖礦）

hxxp[://proxyservice[.site/updates/gateway[.]php（Karius）

與Magnitude漏洞利用工具包相關的惡意域名和IP地址：

[ID].bitslot[.]website（Magniber支付伺服器）

[ID].carefly[.]space（Magniber支付伺服器）

[ID].farmand[.]site（Magniber支付伺服器）

[ID].trapgo[.]host（Magniber支付伺服器）

54[.]37[.]57[.]152（Magniber支付伺服器）

64[.]188[.]10[.]44（Magniber支付伺服器）

139[.]60[.]161[.]51（Magniber支付伺服器）

149[.]56[.]159[.]203（Magniber第一階段）

167[.]114[.]191[.]124（Magniber EK）

167[.]114[.]33[.]110（Magniber第二階段）

185[.]244[.]150[.]110（Magniber支付伺服器）

fedpart[.]website（Magniber第二階段）

addrole[.]space（Magniber目標頁面）

taxhuge[.]com（Magniber第一階段）

與GrandSoft漏洞利用工具包相關的惡意域名和IP地址：

91[.]210[.]104[.]247/debug[.]txt

91[.]210[.]104[.]247/putty.exe（GandCrab惡意軟體）

200[.]74[.]240[.]219（BlackTDS IP）

carder[.]bit（GandCrab C&C）

ethical-buyback[.]lesbianssahgbrewingqzw[.]xyz

ethical-buyback[.]lesbianssahgbrewingqzw[.]xyz/masking_celebration-skies

papconnecting[.]net/wp-content/traffic[.]php

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！