威脅從不原地踏步,漏洞攻擊包(Exploit Kit)也不例外。2015年在此威脅領域中看見了許多改變:加入最新發現的漏洞,利用淪陷網站和惡意廣告來用漏洞攻擊包部署和散播威脅。
漏洞攻擊包是2015年威脅環境的重要部分。在此系列文章中,我們會研究2015年漏洞攻擊包的發展,先從加入新漏洞開始,還有用來將漏洞攻擊包組織成攻擊的新技術。在之後的文章中,我們會檢視趨勢客戶的反饋資料來確認問題大小及展示哪些國家/地區受到的影響最大。
新的漏洞:主要是 Flash
漏洞攻擊包需要持續地加入新安全漏洞以確保即便使用者升級到更新版本也仍然有用。所以並不奇怪地,在2015年有17個新漏洞被眾多漏洞攻擊包所加入。在這之中,有14個在漏洞攻擊碼廣泛出現前就已經有了修補程式。其餘三個成為零時差漏洞,使用者在修補程式推出前就受到攻擊。有些漏洞先被用在針對性攻擊/鎖定目標攻擊(Targeted attack )如Pawn Storm,或是在網路上流出(Hacking Team漏洞),其他則是仔細分析修補程式後「發現」。
在這之中,有一個應用程式突顯而出 – Adobe Flash Player。漏洞中有13個來自此應用程式。這凸顯出Flash漏洞在漏洞攻擊包生態系內的重要性 – 如果沒有安裝Flash,漏洞攻擊包就不那麼有用。
| CVE編號 | 有漏洞的應用程式 | 確認日期 | 第一個加以整合的漏洞攻擊包 | 修補程式發布日期 |
| CVE-2015-8651 | Adobe Flash | 2016-01-26 | Angler | 2015-12-28 |
| CVE-2015-8446 | Adobe Flash | 2015-12-15 | Angler | 2015-12-08 |
| CVE-2015-7645 | Adobe Flash | 2015-10-29 | Angler | 2015-10-16 |
| CVE-2015-5560 | Adobe Flash | 2015-08-28 | Angler | 2015-08-11 |
| CVE-2015-2419 | Microsoft Internet Explorer | 2015-08-10 | Angler | 2015-07-22 |
| CVE-2015-1671 | Microsoft Silverlight | 2015-07-21 | Angler | 2015-05-12 |
| CVE-2015-5122 | Adobe Flash | 2015-07-11 | Angler | 2015-07-14 |
| CVE-2015-5119 | Adobe Flash | 2015-07-07 | Angler | 2015-07-08 |
| CVE-2015-3113 | Adobe Flash | 2015-06-27 | Magnitude | 2015-06-23 |
| CVE-2015-3104 | Adobe Flash | 2015-06-17 | Angler | 2015-06-09 |
| CVE-2015-3105 | Adobe Flash | 2015-06-16 | Magnitude | 2015-06-09 |
| CVE-2015-3090 | Adobe Flash | 2015-05-26 | Angler | 2015-05-12 |
| CVE-2015-0359 | Adobe Flash | 2015-04-18 | Angler | 2015-04-14 |
| CVE-2015-0336 | Adobe Flash | 2015-03-19 | Nuclear | 2015-03-12 |
| CVE-2015-0313 | Adobe Flash | 2015-02-02 | HanJuan | 2015-02-04 |
| CVE-2015-0311 | Adobe Flash | 2015-01-20 | Angler | 2015-01-27 |
| CVE-2015-0310 | Adobe Flash | 2015-01-15 | Angler | 2015-01-22 |
表1、2015年被加到漏洞攻擊包的漏洞(根據確認日期從新到舊排列)
正如我們之後會提到,Angler是2015年最成功的漏洞攻擊包。Angler定期地加入新的漏洞攻擊碼,在上表中可以注意到它經常是第一個加入的攻擊包。下表列出在2015年被漏洞攻擊包所新針對的各種漏洞。
| 漏洞攻擊包 | 應用程式 | 漏洞 |
| Angler | Flash | CVE-2015-8446, CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311, CVE-2015-0310 |
| Internet Explorer | CVE-2015-2419 | |
| Silverlight | CVE-2015-1671 | |
| Magnitude | Flash | CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3105, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Silverlight | CVE-2015-1671 | |
| Nuclear | Flash | CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Neutrino | Flash | CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Rig | Flash | CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Sundown | Flash | CVE-2015-0313, CVE-2015-0311 |
| Hanjuan | Flash | CVE-2015-3113 |
表2、2015年被加到漏洞攻擊包的漏洞(根據漏洞攻擊包)
閃避技術
分析和偵測漏洞攻擊包的標準程序之一是分析所產生的網路流量。為了解決這問題,攻擊者在2015年開始使用加密技術來保護他們的網路流量。
他們透過利用Diffie-Hellman金鑰交換演算法來作到這一點,在受害者及漏洞攻擊包伺服器間交換加密金鑰。這可以從網路安全產品手中保護漏洞攻擊檔案,因為一般無法掃描和偵測被傳送的惡意檔案。同樣地,依賴流量擷取來偵測漏洞攻擊相關活動的產品也將變得不太有效,因為重播網路流量不再有用。
除了妨礙偵測,這些措施也讓研究人員想要分析漏洞攻擊包活動變得更加困難。
圖1、如何將Diffie-Hellman協定用來交換資料
淪陷的CMS網站和惡意廣告
在2015年,有兩個主要方法用來將使用者導到漏洞攻擊包:淪陷網站和惡意廣告。讓我們先討論前一種方法。
淪陷網站會將訪客重導到包含漏洞攻擊包的另一個網站來將其變成受害者。在許多案例中,這些網站很容易淪陷是因為這些伺服器所用的內容管理系統(CMS)。
在2015年11月,我們報導過EITest攻擊活動會使用Angler漏洞攻擊包將勒索軟體派送給淪陷網站訪客。這個攻擊活動控制了超過1500個網站來散播勒索軟體。EITest攻擊活動通常會將SWF物件加到淪陷網站頁面上,載入另一個Flash檔案來注入隱藏iframe以導致漏洞攻擊包。這一切都在使用者不知情下發生。
ElTest並不是只想攻陷目標網站的單一攻擊活動。這些攻擊活動都有著相同的特性:它們針對執行知名CMS軟體的網站,像是WordPress、Joomla和Drupal。受影響網站執行未經修補而有漏洞的版本或是使用第三方外掛程式,這凸顯了將其保持到最新狀態有多重要。這些因素加起來讓攻擊者可以花費較少的精力就可以針對大量網站加以攻陷,讓大量使用者陷入危險中。
圖2、被插入的SWF物件
此外,廣告會被用來將訪客帶到惡意網站,在不知不覺下為虎作倀。絕大多數網站都依賴廣告來幫忙付帳單,但這些廣告很少直接由網站所有者進行管理。相對地,這些都是透過廣告網路進行管理。如果這些廣告網路無法確保所有的廣告買家都正常,攻擊者可以「買」下廣告流量,並將其帶到漏洞攻擊包。網站所有者會發現很難去偵測和清除這些攻擊,因為它們是透過廣告網路,並非他們所能直接控制。
圖3、不可見的iframe藏著一個惡意廣告
圖4、彈出廣告導致漏洞攻擊包
在2015年看到許多惡意廣告使用橫幅/嵌入廣告或彈出式廣告將訪客導到漏洞攻擊包頁面。他們會製作一個假廣告(或從合法廣告中複製圖片),並且加入腳本在背景中將使用者導到漏洞攻擊包,使用者不用點擊任何東西也看不出什麼異狀。如此作法,攻擊者可以更快地將攻擊帶給大量使用者。我們的資料顯示,在2015年12月有88%的漏洞攻擊包攻擊跟惡意廣告有關。
| 來自惡意廣告 | 來自其他來源 | |
| Angler Exploit Kit | 89.32% | 10.68% |
| Magnitude Exploit Kit | 100% | 0% |
| Neutrino Exploit Kit | 39.80% | 60.20% |
| Rig Exploit Kit | 85.93% | 14.07% |
| Nuclear Exploit Kit | 33.81% | 66.19% |
| Sundown Exploit Kit | 100% | 0% |
| Total | 88.07% | 11.93% |
表4、漏洞攻擊包流量的來源分布(2015年12月)
概要
漏洞攻擊包多年來已經被證實非常有用,在2015年也不例外。有了這樣一個有效的工具,沒有理由進行急劇的改變。相對地,我們會看到它們運作模式的演變。
軟體(特別是Adobe Flash)新漏洞正被迅速地加入漏洞攻擊包。加密技術現在也被用來保護漏洞攻擊包的網路流量,讓偵測和分析都更加困難。淪陷CMS網站和惡意廣告越來越常被用來產生受害者。
這些都不是特別的演變。但結合起來,它們讓利用漏洞攻擊包所進行的攻擊持續地有效也對網路犯罪分子具有著吸引力。這問題到底有多大?我們將在本系列的第二篇文章中探討。
更新於2016年3月16日
更新關於Sundown漏洞攻擊包的資訊。之前提到Internet Explorer內的一個漏洞(CVE-2015-2444)被此漏洞攻擊包所納入,但顯然並沒有完全實作成功。我們更新了上表並移除此CVE。
@原文出處:Exploit Kits in 2015: Flash Bugs, Compromised Sites, Malvertising Dominate作者:Brooks Li和Joseph C Chen(威脅分析師)