来自 防护 2021-05-02 22:22 的文章

游戏盾_香港女星高_超高防御

游戏盾_香港女星高_超高防御

顶部漏洞工具包活动汇总概述大多数恶意软件和其他计算机安全威胁都是通过网络浏览传递的。漏洞工具包是可快速部署的软件包,旨在利用web浏览器中的漏洞将恶意负载传递到受害者的计算机上。漏洞工具包的作者提供他们的服务出售,向其他恶意参与者分发恶意软件。本文的目的是强调最近三个最活跃的开发工具:钓鱼者,钻机和中微子。钓鱼者开发工具包关于钓鱼者自2013年出现以来,钓鱼者一直负责大量的漏洞利用工具包感染。然而,自2016年6月第二周以来,所有钓鱼者的活动都有所下降,这使得许多安全研究人员怀疑这一漏洞工具包的终结。钓鱼者以其频繁变化的模糊处理方法而闻名,帮助它避免被发现。活动钓鱼者活动在2016年春季一直保持相当稳定。活跃的恶意广告和被破坏的网站活动仍然活跃,引入了几种新的登录页面格式来逃避检测。自2014年以来持续时间较长的EITest活动和Darkleech活动仍然活跃。图1:2016年4月至5月,彩云美国高防cdn,钓鱼者点击量:2016年4月至5月中旬,我们看到6500个钓鱼者被阻止。Graph activity与exploit kits一样,与western work week的浏览流量相匹配,周六和周日的点击量明显减少。图2:阻塞的钓鱼者热图是常见的,大多数钓鱼者的活动是在美国看到的。西欧国家的钓鱼者数量也相对较多。2016年6月中旬,钓鱼者活动迅速下降到前几个月观察到的一小部分。许多以前为钓鱼者服务的EITest活动大门现在只提供中微子或日落探索套件登录页。钓鱼者活动的减少也导致了CryptXXX感染的下降,因为钓鱼者是勒索软件家族的主要分销来源。图3:2016年6月钓鱼者之门重定向活动2016年4月初执行时,我们观察到钓鱼者登录页面的一个新变体,高防cdn价格,利用不同形式的混淆来逃避检测。在4月和5月的大部分时间里,钓鱼者的活动与这些新的模式保持一致。与此活动相关联的钓鱼者域也使用不同的JavaScript混淆技术为两个独立的登录页面提供服务。图4:已知由同一个钓鱼者主机钓鱼者服务的两个登录页在攻击周期中检查防病毒、分析工具和沙盒产品工件。如果在系统上检测到AV引擎列表中的任何DLL或其他工件,则会中止攻击周期,并且不会丢弃恶意软件负载。图5:AV和安全产品工件检查钓鱼者主要利用Flash和Silverlight中的漏洞。4月份观察到的是使用CVE-2016-1019的闪存有效负载,它影响了早于21.0.0.182的闪存版本,并积极瞄准20.0.0.306。我们还看到了针对Silverlight 4.0.50524.0的活动。整个4月份,恶意软件交付TeslaCrypt仍然是常见的恶意软件负载。在5月初,最近的钓鱼者活动被认为放弃了Bedep(点击欺诈机器人和第二阶段下载程序)和CryptXXX取代了TeslaCrypt。RIG-RIG-Exploit-Kit关于RIG-RIG-Exploit-Kit于2014年被发现,针对Java、Flash和Silverlight中的漏洞。2015年初,漏洞工具包的源代码被泄露,引起了人们对RIG的关注。泄漏事件发生后,内网ddos怎么防御,负载均衡可以防御ddos吗,RIG的架构没有发生重大变化,但RIG仍然是一个流行的漏洞工具包。Activity RIG在其登录页资源和有效负载下载中继续使用相同的URI方案。我们在4月份和可能观察到的大多数攻击周期都通过了"topgunn"门,这仍然是RIG EK感染的主要来源。在6月初,一些RIG活动开始使用一种新的格式为其登陆页域,放弃典型的2字符子域,并利用动态DNS提供者。图6:新的RIG登录页域和动态DNS最近也观察到了一些攻击周期的门重定向流的变化。受损站点将首先重定向到.html文档,然后重定向到具有相同文件名的.phtml文档(对于PHP来说是一种不常见的文件类型),最后重定向到登录页。图7:RIG EK感染,2016年4月至5月4月底RIG活动有所减少,但从5月到6月,感染人数一直在增加。图8:钻机登陆页面热图我们观察到的大多数登陆页面都是在美国托管的。正如我们在2016年2月的博客中所描述的,执行"四重权力"之门活动在4月和5月一直持续。Quad Power gate使用具有相同二级域的.win、.top、.party和.bid TLD来服务登录页。图9:示例钻井平台受损站点IFrame注入图10:2016年早些时候交付的示例钻机登录页恶意软件交付被观察到作为其漏洞利用周期的一部分,RIG最近也被观察到丢弃了新的宙斯有效载荷。恶意软件流量分析最近报告了几个钻井平台掉落以查看有效载荷的例子。这些发现与我们自2015年秋季以来观察到的活动一致。在四月初,我们观察到一个来自"Whoads"广告服务的令人不满的活动。这个循环导致了通过HTTPS连接和两个级别的门来安装登录页面,并最终放弃了Qbot作为其最终的有效负载。据英国宇航系统公司(BAE Systems)和卡巴斯基威胁邮报(kasperskythreatpost)报道,这一活动与Qbot活动的总体上升直接相关。中微子开发工具包关于中微子中微子有一个相当简单的架构,并没有吹嘘一些更强大的混淆和反沙盒技术,作为其他开发工具包,但它仍然很受欢迎。自从最近垂钓者活动减少以来,中微子的命中率飙升,填补了这一空白。中微子通常也与各种畸形运动有关。中微子的活跃度通常不如瑞格和垂钓者,但自2015年秋季以来一直相当稳定。每周都会有几个新的登陆页面主机,用于恶意攻击和受损主机活动。EITest gate活动,通常用于服务钓鱼者,也被看到服务中微子登陆页。自从垂钓者活动停止以来,防御ddos攻击命令,EITest盖茨在大多数情况下都会发布中微子登陆页面。我们在2016年春季观察到的大多数活动都使用.top TLD域名作为登录页面,并将目标锁定在Adobe Flash Player上。我们已经看到中微子登陆页面投放了各种恶意软件,包括Tofsee、Gamarue/Andromeda、Panda Banker和各种勒索软件。图11:中微子命中率,2016年4月至5月图12:中微子登陆页热图最近在美国、意大利和罗马尼亚观察到了大多数中微子宿主。中微子在受损网站上的足迹非常小,通常只是页面正文内容开头的一个IFrame标签。除了最重要的战役,盖茨很少用于中微子战役。图13:被破坏的站点IFrame injection Neutrino登录页缺少Angler和其他更高级的漏洞工具包的复杂JavaScript混淆。今年春天我们观察到的所有登录页面都使用了类似的格式,只不过是一个加载SWF漏洞的flashplayer对象。luisrocha在四月发表的SANS白皮书包含了对中微子结构的详细分析。图14:中微子登陆页面4月和5月观测到的中微子页面也被简单构建。恶意页面通常只包含一个IFrame重定向到登录页面,有时还包括第二个IFrame来加载实际的广告内容。恶意软件交付在5月中旬,我们观察到一个完整的利用周期,从一个恶意活动,最终放弃了一个伽马鲁木马有效载荷。广告服务提供的页面包含一个IFrame,用于加载以赌场为主题的广告内容,以及一个IFrame,该IFrame从同一主机加载一个中间页面,以帮助屏蔽漏洞工具包的存在。中间页包含重定向到中微子登录页。我们最近的博客进一步描述了这场运动。图15:在简单的网页浏览过程中,使用中间页面结论漏洞工具包的恶意广告活动对用户构成了严重威胁。在勒索软件感染的情况下,结果可能是用户无法访问其文件。开发工具包作者用来隐藏他们的活动的技术经常在变化,安全研究人员努力分析和阻止这些新的威胁。为了帮助避免此类感染,用户应始终阻止不受信任的第三方脚本和资源,并避免单击可疑广告。Zscaler的ThreatLabZ已经确认了这些顶级漏洞工具包和后续有效负载的覆盖范围,确保了使用Zscaler的互联网安全平台的组织的保护。