Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼

當說到漏洞攻擊包,最重要的就是時間。漏洞攻擊包通常都會包入最新或零時差的漏洞攻擊碼,好盡可能地攻擊更多尚未更新的受害者。趨勢科技發現有兩個漏洞正被漏洞攻擊包當作目標,其中之一被用在最近的Pawn Storm Flash零時差漏洞攻擊

從10月28日開始,趨勢科技發現這兩個漏洞被 Angler和Nuclear漏洞攻擊包當作目標。(第二個漏洞是Flash的漏洞,直到版本18.0.0.232都存在;我們目前正在與Adobe確認此漏洞的CVE編號)

 

圖1、Angler漏洞攻擊包中CVE-2015-7645的截圖(點擊放大)

圖2、Nuclear漏洞攻擊包中CVE-2015-7645的截圖(點擊放大)

圖3、Angler漏洞攻擊包中第二個漏洞的截圖(點擊放大)

 

Diffie-Hellman協定被惡意使用

趨勢科技最新的研究確認此兩個漏洞攻擊包惡意使用了Diffie-Hellman金鑰交換協定,跟之前的用法有些許不同。這次是用來隱藏自己的網路流量並繞過某些安全產品。

這些改變試圖讓研究人員想分析它們的金鑰交換時更加困難。Angler漏洞攻擊包對其Diffie-Hellman協定的用法做出以下改變。它們在之前比較明確而清晰的程序中加入一些混淆處。

 

  1. 不再從客戶端發送gp給伺服器。相對地,它送出ssid來確認gp的配對。
  2. 隨機金鑰K是128字元而非16字元。使用128字元的金鑰使得想解開原始資料變得更加困難。

 

圖4、Diffie-Hellman協定,使用ssid來識別g,p配對

圖5、程式碼片段顯示出128字元的金鑰

 

帶來多種惡意軟體

這些漏洞攻擊包會下載多種惡意軟體到使用者的電腦上。在我們看到的例子,有出現過同時下載了BEDEPCryptoLocker惡意軟體。在其他案例中,會下載後門程式ROVNIX惡意軟體,TeslaCrypt/CryptoWall勒索軟體和KASIDET資料竊取程式到使用者的電腦上。

圖6、BEDEP的C&C伺服器活動

 

趨勢科技主動式雲端截毒服務  Smart Protection Network的反饋資料顯示Angler漏洞攻擊包的活動在10月的前幾個禮拜比較高;也許加入這些漏洞是為了想將漏洞攻擊的網路流量拉回到先前的水平。日本、美國和澳洲的使用者受到的影響最大。

 

對策

趨勢科技已經可以保護使用者對抗此一威脅。Deep Discovery內的沙箱技術加上腳本分析引擎可以用來偵測此威脅的行為而毋需更新任何引擎或病毒碼。

而另一方面,趨勢科技趨勢科技Deep SecurityVulnerability Protection可以透過DPI規則1007119 – Identified Malicious Adobe Flash SWF File(識別惡意Adobe Flash SWF檔案)來保護使用者對抗利用Pawn Storm Flash漏洞的威脅。

 

Flash漏洞攻擊碼及其所帶來惡意軟體的SHA1值為:

  • 0e05229784d993f1778bfc42510c1cd2d90f3938
  • 4cf3361c750135eaa64946292ea356f4a75b9b1c
  • 56a96c79b027baa70fc5f388412c6c36e4aa3544
  • 600fd58cdd0d162dd97be1659c5c0c4b9819e2e3
  • 69143d6bd45f99729123531583c54740d6be190d
  • af6c40b12e5cd917bb02440d8f3db85c649b8ba9
  • c332856b0b85b06235c440c4b1d6a48afdf9775b
  • f6b6287240323f914bd0c7ddf768d850d8002592

 

 

@原文出處:Angler and Nuclear Exploit Kits Integrate Pawn Storm Flash Exploit |作者:Brooks Li和Joseph C. Chen(威脅分析師)

 

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載