Angler - 資安趨勢部落格

《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?

2017 年 04 月 10 日2017 年 04 月 10 日趨勢科技 TrendMicro

我們經常會看到漏洞攻擊套件使用較舊的漏洞，因為這些漏洞仍然存在於被攻擊的系統上。另外,勒索病毒會去利用漏洞攻擊套件來作為主要的感染媒介。

在趨勢科技2016年的資安綜合報告 – 「企業威脅創紀錄的一年」中，我們討論了這一年的漏洞發展形勢和所看到的趨勢。

讓我們來看看在2016年間發生的一些重點。

趨勢科技的零時差計畫（ZDI）在3,000多名獨立漏洞研究人員的支持下，披露了 678個漏洞。可以從下圖看出一些有意思的趨勢：

首先是微軟產品的漏洞在持續減少中。這是個好消息，但對微軟來說不大好的消息是 Edge 漏洞增加了2,100%。這在 2017年的 Pwn2Own 大會中得到進一步的證明，因為 Edge 是競賽中被漏洞攻擊最多的瀏覽器。
其次是整體 Adobe 的漏洞數量下降，不過 Acrobat Reader 在 2016 年被披露的漏洞最多。
零時差攻擊（在修補程式發布前就有針對漏洞的攻擊出現）數量在 2016 年比 2015 年下降。這是個好消息，但我們最近也看到了美國中情局被駭事件，可能有許多零時差漏洞攻擊尚未被披露。
Android漏洞數量大幅地增加（206%）。趨勢科技研究人員在 2016 年向 Google 提交了 54 個安全漏洞。
在2016年被披露的 SCADA（資料採集與監控系統）漏洞增加了421%，鑒於對這些設備進行更新的困難度，這對廠商來說會是件頭痛的事。

繼續閱讀

竊取總計高達 2,500 萬美金的漏洞攻擊套件 Angler 垮台之後,最新加密勒索病毒活動

2016 年 07 月 06 日2016 年 06 月 30 日趨勢科技 TrendMicro

今年稍早，趨勢科技曾經撰文指出 Angler 是 2015 年最強勢的漏洞攻擊套件，占該年所有漏洞攻擊套件活動的 59.5%，但如今卻完全銷聲匿跡。

有趣的是，就在 50 名利用該惡意程式來竊取總計高達 2,500 萬美金的網路犯罪分子遭到逮捕之後， Angler 基本上已經完全停止營運。雖然 Angler 似乎已經沉寂，但網路犯罪分子顯然並未受到影響，因為他們正忙著尋找新的漏洞攻擊套件來取代，Angler 之所以成為當時的首選，是因為它收錄新漏洞的速度最快，而且擁有許多躲避防毒軟體偵測的技巧，例如：將惡意內容加密以及無檔案的感染方式。

在 Angler 垮台之後，趨勢科技看到漏洞攻擊套件的整體活動已大幅下降。雖然其他漏洞攻擊套件的活動有所增加，但完全無法和 Angler 相提並論，顯然，之前仰賴 Angler 的網路犯罪活動似乎並未完全移轉到其他漏洞攻擊套件。

圖 1：漏洞攻擊套件活動 (2016 年 6 月 1 日至 15 日)

歹徒之前經常利用 Angler 來散布勒索病毒 Ransomware (勒索病毒/綁架病毒)，那麼 Angler 沉寂之後，是否會對勒索病毒造成影響？答案是：「不盡然」。今年三月，我們開始看到歹徒利用 Magnitude 漏洞攻擊套件散布 Cerber 勒索病毒，而去年也有 Rig 漏洞攻擊套件會散布 CryptoWall 和 TeslaCrypt。隨著 Angler 消失在地平線上，我們看到原本透過 Angler 散布的 CryptXXX現在也開始改用 Neutrino，而原本不受看好的 Rig 和 Sundown 漏洞攻擊套件，也開始受到新勒索病毒家族的青睞。

後來居上

Rig 漏洞攻擊套件收錄了一個因 Hacking Team 資料外洩事件而曝光的零時差漏洞以及 Adobe Flash Player 和其他的軟體漏洞，Rig 曾經出現在近期的一波惡意廣告當中，受害者幾乎遍及 40 個國家，但主要目標為日本。

圖 2：Rig 偵測數量分布 (2016 年 6 月 1 日至 16 日)

Sundown 使用的是 Adobe Flash Player 當中一個使用已釋放記憶體的漏洞。Sundown 與 Rig 一樣，主要攻擊日本地區，值得注意的是，並非所有前述攻擊都透過 Sundown 來散布勒索病毒。繼續閱讀

Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼

2015 年 11 月 06 日2015 年 11 月 06 日趨勢科技 TrendMicro

當說到漏洞攻擊包，最重要的就是時間。漏洞攻擊包通常都會包入最新或零時差的漏洞攻擊碼，好盡可能地攻擊更多尚未更新的受害者。趨勢科技發現有兩個漏洞正被漏洞攻擊包當作目標，其中之一被用在最近的Pawn Storm Flash零時差漏洞攻擊。

從10月28日開始，趨勢科技發現這兩個漏洞被 Angler和Nuclear漏洞攻擊包當作目標。（第二個漏洞是Flash的漏洞，直到版本18.0.0.232都存在；我們目前正在與Adobe確認此漏洞的CVE編號）

圖1、Angler漏洞攻擊包中CVE-2015-7645的截圖（點擊放大）

圖2、Nuclear漏洞攻擊包中CVE-2015-7645的截圖（點擊放大）

圖3、Angler漏洞攻擊包中第二個漏洞的截圖（點擊放大）

Diffie-Hellman協定被惡意使用

趨勢科技最新的研究確認此兩個漏洞攻擊包惡意使用了Diffie-Hellman金鑰交換協定，跟之前的用法有些許不同。這次是用來隱藏自己的網路流量並繞過某些安全產品。

這些改變試圖讓研究人員想分析它們的金鑰交換時更加困難。Angler漏洞攻擊包對其Diffie-Hellman協定的用法做出以下改變。它們在之前比較明確而清晰的程序中加入一些混淆處。

不再從客戶端發送g和p給伺服器。相對地，它送出ssid來確認g和p的配對。
隨機金鑰K是128字元而非16字元。使用128字元的金鑰使得想解開原始資料變得更加困難。

圖4、Diffie-Hellman協定，使用ssid來識別g，p配對繼續閱讀

從雅虎廣告網路遭惡意廣告入侵,談惡意廣告的運作模式與防範之道

2015 年 09 月 08 日2015 年 09 月 09 日趨勢科技 TrendMicro

惡意廣告並非新的產物；它是已經存在了十多年的犯罪手法。早在 2004年，就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情，它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間，許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報、Google和赫芬頓郵報等數不清的例子。

8 月發生了一件聯合網路犯罪攻擊，Yahoo 的廣告網路遭到襲擊，使得每月造訪該網站的 69 億人可能因而陷入危險。歹徒運用的是最新的威脅，例如：惡意廣告（malvertising）和漏洞攻擊套件。

惡意廣告（malvertising）是一些由網路犯罪者製作並刊登在網站上的廣告，只要是瀏覽了刊登這類廣告的網站，使用者就有可能遭殃，因此對整個廣告供應鏈帶來嚴重的影響。此次案例，網路犯罪集團利用了用戶數量龐大的 Microsoft Azure 服務網站來提高其潛在受害者數量。這樣的作法屢見不鮮，歹徒經常利用一些熱門的話題並滲透相關的網站。此外，歹徒也滲透了 Yahoo 這個全球最大的廣告網路之一，因此可能的感染數量相當可觀。而且，惡意廣告的運作模式是，使用者不須點選惡意廣告就可被感染。正因如此，一些不知情的使用者才會光是連上有問題的網頁就遭到感染。

【編按】由於網路犯罪集團越來越常利用惡意線上廣告來攻擊使用者，所以使用者經常會在購物網站、新聞網站、社群媒體以及遊戲網站看到這類廣告。
進一步了解惡意廣告感染使用者裝置方式,建議閱讀惡意廣告Malvertising：當廣告出現攻擊行為

網路犯罪使用漏洞攻擊套件的頻率越來越高，因為這類攻擊套件非常容易取得而且不貴。此次攻擊使用的是 Angler 漏洞攻擊套件來感染已入侵網站的訪客。漏洞攻擊套件的作者們非常積極地在第一時間搶先收錄最新曝光的漏洞。如下圖所示，許多今年才曝光的 Adobe Flash 漏洞都已收錄到 Angler 攻擊套件當中。

尤其，CVE-2015-0313 已在今年稍早一起非常類似的攻擊當中出現過。駭客利用這個漏洞攻擊套件在一些已遭入侵的網站上顯示惡意廣告。繼續閱讀