當說到漏洞攻擊包,最重要的就是時間。漏洞攻擊包通常都會包入最新或零時差的漏洞攻擊碼,好盡可能地攻擊更多尚未更新的受害者。趨勢科技發現有兩個漏洞正被漏洞攻擊包當作目標,其中之一被用在最近的Pawn Storm Flash零時差漏洞攻擊。
從10月28日開始,趨勢科技發現這兩個漏洞被 Angler和Nuclear漏洞攻擊包當作目標。(第二個漏洞是Flash的漏洞,直到版本18.0.0.232都存在;我們目前正在與Adobe確認此漏洞的CVE編號)
圖1、Angler漏洞攻擊包中CVE-2015-7645的截圖(點擊放大)
圖2、Nuclear漏洞攻擊包中CVE-2015-7645的截圖(點擊放大)
圖3、Angler漏洞攻擊包中第二個漏洞的截圖(點擊放大)
Diffie-Hellman協定被惡意使用
趨勢科技最新的研究確認此兩個漏洞攻擊包惡意使用了Diffie-Hellman金鑰交換協定,跟之前的用法有些許不同。這次是用來隱藏自己的網路流量並繞過某些安全產品。
這些改變試圖讓研究人員想分析它們的金鑰交換時更加困難。Angler漏洞攻擊包對其Diffie-Hellman協定的用法做出以下改變。它們在之前比較明確而清晰的程序中加入一些混淆處。
- 不再從客戶端發送g和p給伺服器。相對地,它送出ssid來確認g和p的配對。
- 隨機金鑰K是128字元而非16字元。使用128字元的金鑰使得想解開原始資料變得更加困難。
圖4、Diffie-Hellman協定,使用ssid來識別g,p配對 繼續閱讀