漏洞利用工具包领域出现了新的参与者。 这个新的漏洞利用工具最初被称为Lord,它在分发Eris勒索软件(Ransom.Win32.ERIS.C)之前会传播njRAT恶意软件(被趋势科技检测为Backdoor.MSIL.BLADABINDI.IND)。
NjRAT是众所周知的信息窃取者和后门,鉴于其在地下的网络分子中的共享方式,其功能不断得到改进或更新。 同时,Eris勒索软件于5月份首次出现,该漏洞是通过使用Rig攻击工具包的恶意活动进行分发的。
[相关新闻:垃圾邮件活动如何使用嵌入了利用漏洞利用Adobe Flash漏洞的恶意文档,包括CVE-2018-15982]
Lord首先检查受影响的系统是否具有Adobe Flash Player。 如果计算机上安装了软件,Lord将尝试使用利用Adobe Flash中的漏洞CVE-2018-15982的漏洞(Trojan.SWF.CVE201815982.AE)来传递其有效负载。 Spelevo和Greenflash Sundown攻击工具包也利用了该漏洞(于2018年12月修复),ShadowGate活动最近使用了后者,以传播加密货币挖矿恶意软件。 正如趋势科技对通过社交媒体进行威胁搜寻的研究指出的那样,针对俄罗斯一家医疗机构的攻击也涉及同一漏洞。
Lord最初是由病毒公告研究员Adrian Luca在PopCash广告网络上利用恶意广告或使用恶意或劫持广告传播恶意软件的攻击链中发现的。 恶意广告组件使用了受感染的网站,将不知情的用户转移到托管漏洞利用工具包的登录页面。
[阅读:网络和利用:对未打补丁的系统的攻击]
Malwarebytes的研究人员进一步分析指出,洛德(Lord)使用了ngrok,该服务使开发人员可以在测试其应用程序或网站时将其本地服务器公开到Internet,从而轻松生成随机子域。 在其他漏洞利用工具包中很少见到的信息,这可以使Lord的运营商能够在检测到或阻止子域后简单地替换子域。
还要注意的是,在有效负载交付后,Lord将网页重定向到Google的主页。 同样由Spelevo完成的此操作可以欺骗不知情的用户以为没有什么不对劲。
[阅读:漏洞利用服务:漏洞利用工具包+勒索软件串联会如何影响公司的底线] 据报道,
领主的运营商正在积极调整漏洞利用工具包,这意味着其有效载荷,技术,分发策略和漏洞利用方法将随着时间而改变。
Lord演示了机会利用漏洞攻击工具包的功能,重新散布旧漏洞,概念证明和现成的恶意软件,从而最终通过它们所影响的系统获利。 尽管漏洞利用工具包不再像以前那样多产,尤其是在臭名昭著的钓鱼者的活动高峰时,但它们最近的重新出现(与Greenflash Sundown一样)意味着它们仍然是一个引人注目的威胁。
他们还可以利用旧的或已知的漏洞,这意味着他们仍然可以在漏洞披露与补丁发布之间找到机会。 对于其系统仍使用基于Flash的内容的组织而言,风险更高,尤其是在维护业务运营以及存储和管理敏感数据时需要这些系统的情况下。
[安全101:虚拟补丁程序如何帮助解决组织中的安全漏洞]
可以通过最佳实践来挫败诸如Lord攻击工具包带来的威胁,并减轻其影响。 为此,用户和企业应遵循以下几种安全措施: 保持对系统进行定期修补和更新,或者采用虚拟修补程序来保护仍使用基于Flash的内容的旧系统或不在支持范围内的系统。 通过限制或禁用系统中过时或不必要的组件的使用来实施最小特权原则。 积极监视系统和网络是否存在可疑活动。 对于企业而言,启用防火墙并部署入侵检测和防御系统有助于防止利用网络级别漏洞的威胁,而行为监控和应用程序控制则有助于防止执行可疑进程和运行未经授权的可执行文件。 趋势科技解决方案
具有XGen™端点安全性的趋势科技™防毒墙网络版解决方案具有漏洞保护功能,该功能可在部署补丁之前就保护端点免受已识别和未知的漏洞利用。 趋势科技™Smart Protection Suite和企业安全无忧解决方案可保护最终用户和企业免受漏洞利用工具包,检测和阻止恶意文件及所有相关恶意URL所带来的威胁。
趋势科技(TM)趋势科技服务器深度安全防护系统(趋势科技)和趋势科技(TM)漏洞保护解决方案还提供了虚拟补丁程序,可保护服务器和端点免受威胁滥用关键应用程序或网站中漏洞的威胁。 他们通过以下DPI规则保护用户系统免受可能利用CVE-2018-15982的任何威胁: 1009405-免费释放后使用Adobe Flash Player(CVE-2018-15982)
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢