今年稍早,趨勢科技曾經撰文指出 Angler 是 2015 年最強勢的漏洞攻擊套件,占該年所有漏洞攻擊套件活動的 59.5%,但如今卻完全銷聲匿跡。
有趣的是,就在 50 名利用該惡意程式來竊取總計高達 2,500 萬美金的網路犯罪分子遭到逮捕之後, Angler 基本上已經完全停止營運。雖然 Angler 似乎已經沉寂,但網路犯罪分子顯然並未受到影響,因為他們正忙著尋找新的漏洞攻擊套件來取代,Angler 之所以成為當時的首選,是因為它收錄新漏洞的速度最快,而且擁有許多躲避防毒軟體偵測的技巧,例如:將惡意內容加密以及無檔案的感染方式。
在 Angler 垮台之後,趨勢科技看到漏洞攻擊套件的整體活動已大幅下降。雖然其他漏洞攻擊套件的活動有所增加,但完全無法和 Angler 相提並論,顯然,之前仰賴 Angler 的網路犯罪活動似乎並未完全移轉到其他漏洞攻擊套件。
圖 1:漏洞攻擊套件活動 (2016 年 6 月 1 日至 15 日)
歹徒之前經常利用 Angler 來散布勒索病毒 Ransomware (勒索病毒/綁架病毒),那麼 Angler 沉寂之後,是否會對勒索病毒造成影響?答案是:「不盡然」。今年三月,我們開始看到歹徒利用 Magnitude 漏洞攻擊套件散布 Cerber 勒索病毒,而去年也有 Rig 漏洞攻擊套件會散布 CryptoWall 和 TeslaCrypt。隨著 Angler 消失在地平線上,我們看到原本透過 Angler 散布的 CryptXXX現在也開始改用 Neutrino,而原本不受看好的 Rig 和 Sundown 漏洞攻擊套件,也開始受到新勒索病毒家族的青睞。
後來居上
Rig 漏洞攻擊套件收錄了一個因 Hacking Team 資料外洩事件而曝光的零時差漏洞以及 Adobe Flash Player 和其他的軟體漏洞,Rig 曾經出現在近期的一波惡意廣告當中,受害者幾乎遍及 40 個國家,但主要目標為日本。
圖 2:Rig 偵測數量分布 (2016 年 6 月 1 日至 16 日)
Sundown 使用的是 Adobe Flash Player 當中一個使用已釋放記憶體的漏洞。Sundown 與 Rig 一樣,主要攻擊日本地區,值得注意的是,並非所有前述攻擊都透過 Sundown 來散布勒索病毒。 繼續閱讀
