Palo Alto Networks發布2018年第一季度網路威脅態勢分析
「用指尖改變世界」
Palo Alto Networks公司的 Unit 42威脅研究團隊在上周三發布一份報告中分享了在2018年第一季度收集的一些統計數據,並在此基礎上分析了當前的網路威脅態勢。具體而言,這份報告闡述了有關於CVE漏洞、惡意網站鏈接和漏洞利用工具(EK)的統計信息,然後討論了這些網路威脅的當前生命周期,最後以對兩個案例的探究結束——一個發展中的漏洞利用工具(EK)和一個加密貨幣礦工。
CVE漏洞統計
在2018年第一季度,Unit 42在496個不同的域中共發現了1583個惡意網站鏈接。攻擊者利用了至少8箇舊的且已公開的漏洞,如圖1所示。排在利用率前三位的CVE漏洞是:
CVE-2014-6332:被774個惡意網站鏈接利用;
CVE-2016-0189:被219個惡意網站鏈接利用;
CVE-2015-5122:被85個惡意網站鏈接利用。
前兩個是微軟IE瀏覽器漏洞,第三個是由義大利軟體開發商Hacking Team發現的Adobe Flash Player漏洞,也是2015年7月數據泄露的一部分。這三個漏洞的利用代碼在網路上很容易找到。
圖1.CVE漏洞統計信息
除了前三名之外,在CVE漏洞統計中還有一些值得注意的發現。Unit 42發現攻擊者針對的是IE瀏覽器中非常舊的漏洞,例如CVE-2008-4844和CVE-2009-0075。根據全球知名科技數據調查公司NetMarketShar的統計,目前有6.55%的用戶仍在使用Windows XP,3.17%的用戶仍使用舊版IE瀏覽器(IE6、IE7、IE8、IE9、IE10)。如圖2和圖3所示。
圖2.操作系統使用情況統計(2018年3月)
圖3.瀏覽器版本使用情況統計(2018年3月)
相比較而言,仍然使用舊版網頁瀏覽器、Flash Player或操作系統的用戶更容易遭受網路攻擊,尤其是用戶沒有對它們進行漏洞修復(無論是新漏洞還是舊漏洞)。
惡意網站鏈接統計
Unit 42發現,在27個不同的國家/地區,有496個惡意域在服務於這些漏洞。前四名是:
美國:257個域
中國:106個域
中國香港:41個域
俄羅斯:20個域
Unit 42為所有惡意域創建了一個熱點圖,如圖4所示,每個國家/地區的惡意域的確切數量如表1所示。
圖4.惡意域熱點圖
表1.惡意域所屬的國家和數量
漏洞利用工具(EK)統計
在1583個惡意網站鏈接中,有1284個與EK相關。Unit 42發現,Sundown EK和Rig EK不僅在使用的漏洞數量上有所放緩,而且在更新的頻率上也同樣如此。然而,KaiXin EK仍處於不斷發展中。正如能夠在下面的圖5中看到的那樣,與Sundown和Rig相比,KaiXin目前處於領先地位。KaiXin在2012年首次被發現,並且在Unit 42的觀察中變得越來越活躍。其中,KaiXin利用最多的漏洞是CVE-2016-0189和CVE-2014-6322。另外,我們也可以看到,已經很舊的Sinowal EK也在使用一個惡意網站鏈接開展活動。
圖5.漏洞利用工具統計信息
網路威脅的生命周期
Unit 42 表示,當他們首次檢測到這些惡意網站鏈接時,所有鏈接都被標記為「惡意」。在2018年4月11日,Unit 42再一次審查了所有的1583個惡意網站鏈接,發現有54個域沒有綁定到下圖6中的有效IP地址。截至4月份,在496個域中只有145個仍然存在,在1583個惡意網站鏈接中只有375個仍然存在。
這意味著至少有10%(496個域中的54個)被攻擊者註冊,專門用於服務漏洞利用,剩餘的442個域中約有66%(442個域中的297個)並不服務於漏洞利用。
圖6.無效的域
統計數據還顯示,大約23%(1583個中有375個)的惡意網站鏈接的生命周期超過2個月。Unit 42為這375個域繪製了新的惡意域熱點圖,如圖7所示。其中,中國和美國的惡意域數量最多。確切的數量顯示在表2中。
圖7.惡意域熱點圖(新)
表2.惡意域所屬國家/地區和數量(新)
實例探究-發展中的EK
雖然EK不如以前那麼活躍,但Unit 42表示它仍在不斷發展。KaiXin EK 在2016年使用了CVE-2016-0189的原始漏洞利用代碼,沒有任何混淆。如圖8所示。
圖8.KaiXin EK使用的CVE-2016-0189的第一個版本
幾個月後,KaiXin EK的作者為CVE-2016-0189添加了兩層混淆處理。第一層的混淆是unescape和document.write,如圖9所示。
圖9.KaiXin EK使用的CVE-2016-0189的第一層混淆
在第二層混淆中,我們可以看到他們使用了一個VB數組來存儲編碼的實際triggerBug函數和有效載荷,如圖10所示。每次他們只需要改變偏移量(這裡是599),VB數組就會不同,這主要用於規避IDS/IPS等基於內容的檢測。
圖10.KaiXin EK使用的CVE-2016-0189的第二層混淆
在去混淆之後,我們可以看到圖11中的真實有效載荷和原始漏洞利用代碼。
圖11. KaiXin EK使用的CVE-2016-0189的反混淆處理
再後來,KaiXin EK也嵌入了如圖12所示的Flash漏洞(CVE-2015-5122),並使用UTF-16編碼來逃避檢測,如圖13所示。
圖12. KaiXin EK中CVE-2015-5122和CVE-2016-0189的組合
圖13. KaiXin EK中CVE-2016-0189的UTF-16編碼
實例探究-加密貨幣礦工
通常網路威脅都會通過惡意域進行傳播,但是Unit 42發現惡意鏈接(hxxp://210.21.11[.]205/HDCRMWEBSERVICE/bin/aspshell[.]html)在IP地址上託管惡意內容,而不是在惡意鏈接中使用域。這個惡意頁面的內容非常直觀,如圖14所示。
圖14.惡意內容顯示使用CVE-2014-6332
這個惡意網頁中有第二個部分。攻擊者使用document.write來混淆第一部分中真正的漏洞利用代碼。如圖15所示,我們可以通過簡單的反混淆來獲得簡化的利用代碼。
圖15. CVE-2014-6332的去混淆
這是CVE-2014-6332,它在VBArray中使用了Out of Boundary(OOB)漏洞的。如果攻擊成功,VB代碼運行自定義函數runmumaa,生成並執行wmier.vbs,然後下載並執行lzdat。如圖16和圖17所示。
圖16. CVE-2014-6332的有效載荷
圖17. wmier.vbs
這是另一個使用CVE-2016-6332的EK例子,這次是一個託管在域(「twlife[.]tlgins[.]com[.]tw」)上的加密貨幣礦工。它託管了加密貨幣礦工有效載荷「wu[.]exe 」,由自定義VB函數runmumaa調用。這個域看起來是合法的,屬於一家台灣保險公司,但似乎遭到了破壞,並且很可能是被掌握Struts漏洞的攻擊者所破壞的,如圖18所示。
圖18.惡意域信息
漏洞利用代碼的第二部分是一個加密貨幣礦工。它使用了一個名為CoinHive的加密貨幣礦工的公共JavaScript庫,我們可以看到用戶是「John-doe」。根據相關報道,最近有越來越多的網路木馬被用來挖掘加密貨幣。
總結
根據Unit 42在2018年第一季度數據統計和分析,我們能夠看到KaiXin正在成為最活躍的EK,而且它仍在不斷發展——更多的層混淆,並增加了加密貨幣礦工。傳統的EK,如Sundown和Rig,仍然存在,但沒有太多的更新且仍在使用一些舊漏洞。此外,並非所有網路威脅都來自EK,大約20%的惡意網站鏈接並非來自EK家族,而是使用了一些公開的漏洞。
本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
TAG:黑客視界 |