Palo Alto Networks發布2018年第一季度網路威脅態勢分析

「用指尖改變世界」

Palo Alto Networks公司的 Unit 42威脅研究團隊在上周三發布一份報告中分享了在2018年第一季度收集的一些統計數據，並在此基礎上分析了當前的網路威脅態勢。具體而言，這份報告闡述了有關於CVE漏洞、惡意網站鏈接和漏洞利用工具（EK）的統計信息，然後討論了這些網路威脅的當前生命周期，最後以對兩個案例的探究結束——一個發展中的漏洞利用工具（EK）和一個加密貨幣礦工。

CVE漏洞統計

在2018年第一季度，Unit 42在496個不同的域中共發現了1583個惡意網站鏈接。攻擊者利用了至少8箇舊的且已公開的漏洞，如圖1所示。排在利用率前三位的CVE漏洞是：

CVE-2014-6332：被774個惡意網站鏈接利用；

CVE-2016-0189：被219個惡意網站鏈接利用；

CVE-2015-5122：被85個惡意網站鏈接利用。

前兩個是微軟IE瀏覽器漏洞，第三個是由義大利軟體開發商Hacking Team發現的Adobe Flash Player漏洞，也是2015年7月數據泄露的一部分。這三個漏洞的利用代碼在網路上很容易找到。

圖1.CVE漏洞統計信息

除了前三名之外，在CVE漏洞統計中還有一些值得注意的發現。Unit 42發現攻擊者針對的是IE瀏覽器中非常舊的漏洞，例如CVE-2008-4844和CVE-2009-0075。根據全球知名科技數據調查公司NetMarketShar的統計，目前有6.55％的用戶仍在使用Windows XP，3.17％的用戶仍使用舊版IE瀏覽器（IE6、IE7、IE8、IE9、IE10）。如圖2和圖3所示。

圖2.操作系統使用情況統計（2018年3月）

圖3.瀏覽器版本使用情況統計（2018年3月）

相比較而言，仍然使用舊版網頁瀏覽器、Flash Player或操作系統的用戶更容易遭受網路攻擊，尤其是用戶沒有對它們進行漏洞修復（無論是新漏洞還是舊漏洞）。

惡意網站鏈接統計

Unit 42發現，在27個不同的國家/地區，有496個惡意域在服務於這些漏洞。前四名是：

美國：257個域

中國：106個域

中國香港：41個域

俄羅斯：20個域

Unit 42為所有惡意域創建了一個熱點圖，如圖4所示，每個國家/地區的惡意域的確切數量如表1所示。

圖4.惡意域熱點圖

表1.惡意域所屬的國家和數量

漏洞利用工具（EK）統計

在1583個惡意網站鏈接中，有1284個與EK相關。Unit 42發現，Sundown EK和Rig EK不僅在使用的漏洞數量上有所放緩，而且在更新的頻率上也同樣如此。然而，KaiXin EK仍處於不斷發展中。正如能夠在下面的圖5中看到的那樣，與Sundown和Rig相比，KaiXin目前處於領先地位。KaiXin在2012年首次被發現，並且在Unit 42的觀察中變得越來越活躍。其中，KaiXin利用最多的漏洞是CVE-2016-0189和CVE-2014-6322。另外，我們也可以看到，已經很舊的Sinowal EK也在使用一個惡意網站鏈接開展活動。

圖5.漏洞利用工具統計信息

網路威脅的生命周期

Unit 42 表示，當他們首次檢測到這些惡意網站鏈接時，所有鏈接都被標記為「惡意」。在2018年4月11日，Unit 42再一次審查了所有的1583個惡意網站鏈接，發現有54個域沒有綁定到下圖6中的有效IP地址。截至4月份，在496個域中只有145個仍然存在，在1583個惡意網站鏈接中只有375個仍然存在。

這意味著至少有10％（496個域中的54個）被攻擊者註冊，專門用於服務漏洞利用，剩餘的442個域中約有66％（442個域中的297個）並不服務於漏洞利用。

圖6.無效的域

統計數據還顯示，大約23％（1583個中有375個）的惡意網站鏈接的生命周期超過2個月。Unit 42為這375個域繪製了新的惡意域熱點圖，如圖7所示。其中，中國和美國的惡意域數量最多。確切的數量顯示在表2中。

圖7.惡意域熱點圖（新）

表2.惡意域所屬國家/地區和數量（新）

實例探究-發展中的EK

雖然EK不如以前那麼活躍，但Unit 42表示它仍在不斷發展。KaiXin EK 在2016年使用了CVE-2016-0189的原始漏洞利用代碼，沒有任何混淆。如圖8所示。

圖8.KaiXin EK使用的CVE-2016-0189的第一個版本

幾個月後，KaiXin EK的作者為CVE-2016-0189添加了兩層混淆處理。第一層的混淆是unescape和document.write，如圖9所示。

圖9.KaiXin EK使用的CVE-2016-0189的第一層混淆

在第二層混淆中，我們可以看到他們使用了一個VB數組來存儲編碼的實際triggerBug函數和有效載荷，如圖10所示。每次他們只需要改變偏移量（這裡是599），VB數組就會不同，這主要用於規避IDS/IPS等基於內容的檢測。

圖10.KaiXin EK使用的CVE-2016-0189的第二層混淆

在去混淆之後，我們可以看到圖11中的真實有效載荷和原始漏洞利用代碼。

圖11. KaiXin EK使用的CVE-2016-0189的反混淆處理

再後來，KaiXin EK也嵌入了如圖12所示的Flash漏洞（CVE-2015-5122），並使用UTF-16編碼來逃避檢測，如圖13所示。

圖12. KaiXin EK中CVE-2015-5122和CVE-2016-0189的組合

圖13. KaiXin EK中CVE-2016-0189的UTF-16編碼

實例探究-加密貨幣礦工

通常網路威脅都會通過惡意域進行傳播，但是Unit 42發現惡意鏈接（hxxp://210.21.11[.]205/HDCRMWEBSERVICE/bin/aspshell[.]html）在IP地址上託管惡意內容，而不是在惡意鏈接中使用域。這個惡意頁面的內容非常直觀，如圖14所示。

圖14.惡意內容顯示使用CVE-2014-6332

這個惡意網頁中有第二個部分。攻擊者使用document.write來混淆第一部分中真正的漏洞利用代碼。如圖15所示，我們可以通過簡單的反混淆來獲得簡化的利用代碼。

圖15. CVE-2014-6332的去混淆

這是CVE-2014-6332，它在VBArray中使用了Out of Boundary（OOB）漏洞的。如果攻擊成功，VB代碼運行自定義函數runmumaa，生成並執行wmier.vbs，然後下載並執行lzdat。如圖16和圖17所示。

圖16. CVE-2014-6332的有效載荷

圖17. wmier.vbs

這是另一個使用CVE-2016-6332的EK例子，這次是一個託管在域（「twlife[.]tlgins[.]com[.]tw」）上的加密貨幣礦工。它託管了加密貨幣礦工有效載荷「wu[.]exe 」，由自定義VB函數runmumaa調用。這個域看起來是合法的，屬於一家台灣保險公司，但似乎遭到了破壞，並且很可能是被掌握Struts漏洞的攻擊者所破壞的，如圖18所示。

圖18.惡意域信息

漏洞利用代碼的第二部分是一個加密貨幣礦工。它使用了一個名為CoinHive的加密貨幣礦工的公共JavaScript庫，我們可以看到用戶是「John-doe」。根據相關報道，最近有越來越多的網路木馬被用來挖掘加密貨幣。

總結

根據Unit 42在2018年第一季度數據統計和分析，我們能夠看到KaiXin正在成為最活躍的EK，而且它仍在不斷發展——更多的層混淆，並增加了加密貨幣礦工。傳統的EK，如Sundown和Rig，仍然存在，但沒有太多的更新且仍在使用一些舊漏洞。此外，並非所有網路威脅都來自EK，大約20％的惡意網站鏈接並非來自EK家族，而是使用了一些公開的漏洞。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！