最新漏洞利用包可租用每天需80美元

近日，以色列網路安全公司IntSights Cyber Intelligence透露，一種新型的漏洞利用套件正在俄羅斯某地下黑客論壇被進行出售。據論壇信息顯示，該漏洞利用套件是由一個id名為「Cehceny」的黑客進行宣傳和出售的，並主要以租用的方式出售，價格則隨著租用周期的長短而定（分別為按天80美元、按周500美元、按月1400美元）。

對於網路犯罪分子而言，這些漏洞利用套件長期為其提供了自動化以及嘗試滲透和訪問大量個人電腦的能力和業務。其中一些漏洞套件常被網路罪犯用於私人使用，並且往往只掌握在網路犯罪集團自己手中。而另一些則由開發商構建，並被租用或出售給用戶以追求非法利潤。

IntSights的安全研究人員在一篇博文中提到：「對於未啟發的EK [exploit kit]是一種濫用受害者瀏覽器或瀏覽器附件中發現的已知漏洞的軟體工具包。它駐留在遠程伺服器上，並將受害者流量被動的轉移至滲透者。當受害者與惡意伺服器成功建立連接後，該套件則會掃描瀏覽器以發現可利用的漏洞，一旦發現漏洞滲透者就會利用該漏洞向目標伺服器傳輸惡意軟體。「

Cehceny聲稱，Disdain將為用戶提供跟蹤受感染端瀏覽器、IP以及地理位置的能力。同時，還提供對有效載荷的RSA密鑰交換隱藏，域名轉換等功能。

Disdain最早是在上周被一個名為David Montenegro（aka @CryptoInsane）的惡意軟體分析師發現的。他指出， Disdain似乎是Sundown的複製品，其它已知的漏洞利用包還有BEPS或Neutrino等。

Neutrino目前被廣泛的應用於各種各樣的滲透行動中，其中包括一個似乎與Lazarus Group有關的銀行惡意軟體行動，安全專家們普遍認為這是北朝鮮的一個網路滲透行動。

Disdain漏洞利用套件 - 新的漏洞利用套件正在地下黑客論壇被出售 - $./I_love_weekends.py pic.twitter.com/bLXBwxvYTp

— David Montenegro (@CryptoInsane) August 9, 2017

根據Montenegro基於Disdain控制界面的截圖可以看出，受害者主要集中在南美洲，印度，中國以及西歐。

但據Bleeping computer的安全專家介紹，目前還沒有跡象表明有滲透事件或殭屍網路採用了Disdain漏洞利用包。這是因為其作者「Cehceny」地下黑客論壇的名聲並不是太好，其在地下黑客論壇被標記為「ripper」（騙子）。

目標：廣泛的缺陷

從以往的經驗來看，這些利用套件最喜歡的滲透目標就是Microsoft Internet Explorer、Edge、Firefox瀏覽器以及Adobe Reader，Java運行環境和Adobe Flash Player等瀏覽器的插件。因為這些瀏覽器和插件，經常會長時間的存在各種各樣的安全缺陷，這對於網路罪犯而言無疑是一個很好的突破口。

以下是「Cehceny」在廣告中展示的完整漏洞列表：

CVE-2017-5375 - Firefox

CVE-2017-3823 - Cisco WebEx

CVE-2017-0037 - Internet Explorer

CVE-2016-9078 - Firefox

CVE-2016-7200 - Edge and IE

CVE-2016-4117 - Flash

CVE-2016-1019 - Flash

CVE-2016-0189 - IE

CVE-2015-5119 - Flash

CVE-2015-2419 - IE

CVE-2014-8636 - Firefox

CVE-2014-6332 - IE

CVE-2014-1510 - Firefox

CVE-2013-2551 - IE

CVE-2013-1710 - Firefox

目前漏洞列表中的漏洞已經被全部修復了，在某些情況下一些客戶端軟體可能會自動更新並修復這些漏洞，但需要提醒的是並不是所有的客戶端軟體都會自動更新。因此想要避免被惡意利用，務必親自將相應的補丁打好。

例如在今年年初，Cisco修復了Cisco WebEx會議伺服器和Cisco WebEx中心的瀏覽器擴展中的CVE-2017-3823缺陷。當時技術供應商表示，該缺陷可能導致未經身份驗證的遠程滲透者，利用目標系統上的瀏覽器許可權執行任意代碼。

當時思科警告說，除了通過安裝Google Chrome，Firefox和Internet Explorer發布的軟體更新來修補該漏洞外，沒有解決此漏洞的其它辦法。

漏洞利用套件該「何去何從」

對於漏洞利用套件的開發人員而言，漏洞利用套件為其提供了一個蓬勃發展的商業模式。購買者和開發人員各取所需，購買者的目的往往是利用這些缺陷，感染大量的個人電腦並從中非法牟利。

在2016年發現的頂級利用套件包括 Angler, 又名Axpergle；Neutrino, 又名Sundown；和RIG，又名Meadgive。然而在2016年的6月份，這些漏洞利用包都突然被關閉了，這可能與俄羅斯在當月逮捕了50名被懷疑從事網路犯罪活動的黑客有關。據安全研究人員介紹，至少有一些以前依賴於Angler的滲透者轉而使用RIG和Neutrino漏洞套件，這些滲透手段與勒索軟體以及其他類型的滲透相關。

然而自2017年年初以來，利用套件的市場似乎在急劇的下滑，Neutrino的關閉，顯然也是由於利潤不佳導致的（詳見「 Neutrino Exploit Kit: No Signs of Life」）。

相反，根據安全公司賽門鐵克的說法，滲透者似乎已經將滲透技術轉移到了其它端點，例如惡意軟體的垃圾郵件，近幾個月來這些垃圾郵件數量在不斷增加。該公司發現，7月份全球垃圾郵件量已達到2015年3月以來的最高水平。

私人訂製『Sundown-Pirate』亮相

然而，儘管許多頂級的利用套件製造商已經退出市場，但仍有許多小型企業以及新的進入者。

今年早些時候，安全公司趨勢科技公司的欺詐研究人員Joseph Chen宣布，舊版漏洞套件「Astrum」（又名Stagano）再次被發現。Stegano滲透套件過去與AdGolas大規模惡意軟體廣泛傳播相關，惡意軟體主要是Gozi和RAMNIT木馬。

與此同時在上個月，Joseph Chen報道發現了Sundown-Pirate，這是Sundown的一個盜版版本。「流氓」廣告ProMediads就是利用Rig和Sundown漏洞滲透套件來散播惡意軟體的。不過，我們注意到ProMediads惡意廣告活動在6月25日又不再使用Rig而改用Sundown-Pirate，這意味著Sundown-Pirate可能是其專用的漏洞利用套件。

Sundown從未被評為安全公司的頂級產品。據稱用戶常常投訴網路犯罪論壇上出售的漏洞套件利用失敗，諷刺的是，造成失敗的原因多數都是由於代碼中的錯誤造成的。

雖然這個漏洞套件的版本已經重新出現，但這並不表明這個漏洞利用套件市場會突然的復甦。相反，Sundown-Pirate似乎只被滲透者用來自己使用，Chen說。值得注意的是從目前來看，該組織也並沒有試圖通過向其他人轉售或租用這些漏洞套件來獲利的跡象。

*參考來源：databreachtoday，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！