McAfee2018年12月威胁报告(下)

利用工具包为漏洞、勒索软件加码

漏洞工具包是很多网络犯罪活动的传送工具,有些还存在于市面,而另外一些已经被执法部门取缔。其研究人员第三季度发现了两种新的漏洞工具。八月份发现的Fallout工具包利用的是Adobe Flash播放器和微软Windows漏洞,可让攻击者将恶意软件下载到受害者计算机上,这一点跟Nuclear工具包很相似。虽然并未针对特别地区,但Fallout是在一些日本机构的调查中发现。CVE-2018-4878和CVE-2018-8174 是该工具包中仅有的两个漏洞,其后面被用于传播GandCrab版本5。

下表基于McAfee全球威胁情报遥测得出,显示了9月末和10月初四个 GandCrab版本5的分发样本,但这些样本不太像Fallout利用工具包所传播。该表展示的是典型的工具包感染率:起初命中率很高,短时间内迅速下降,这也是工具包的普遍工作模式。客户要么在安装时付款,要么要定时付款。图中9月28日的上升可能是另一轮样本发布的原因。

McAfee2018年12月威胁报告(下)

Underminer:该工具包在7月时被发现,其使用RSA加密,保护了自身的代码和控制服务器流量,利用微软IE和Flash播放器漏洞、感染一系列恶意软件,包括cryptominer 和boot kit等。该工具包针对的是亚太地区用户。第三季度,该工具包里有两个漏洞:CVE-2018-4878 (Adobe Flash 播放器 <= 28.0.0.137 Use-after-free 远程代码执行)和 CVE-2018-8174(Windows VB脚本引擎远程代码控制漏洞)。

McAfee2018年12月威胁报告(下)

漏洞可执行Shell代码、特权升级

第三季度的恶意软件种类或活动主要使用了三个漏洞。

微软VB脚本引擎远程代码执行漏洞 (CVE-2018-8174) :该漏洞在五月份时打过补丁,但在第三季度时被“Personality Disorder”行动利用。攻击者使用的是包含VB脚本的恶意RTF文档,利用IE浏览器上的漏洞发起shell代码执行,代码中放置了后门负载、控制被感染系统。该活动由Cobalt团伙发起,其首领于今年被捕。该漏洞也随Fallout和Underminer一道在第三季度加进了新的利用工具包中, 用于通过Fallout工具让用户感染GandCrab版本5的活动。恶意广告活动背后的威胁实施者使用合法的广告网站将受害者重定向到含有利用工具包的页面,该页面包含了64位编码的VB脚本代码,需要Java脚本功能进行解码。该解码代码通过在VB脚本引擎中利用漏洞来执行shell代码。之后shell代码会下载负载,在感染系统上将GandCrab加载到内存上;

Windows ALPC 特权升级漏洞 (CVE-2018-8440):该漏洞在9月份得到修复。这个0day漏洞在八月末经安全研究人员发现,其在Twitter和Github上发布了理念验证细节,之后迅速占领头条,微软9月时对其进行了修补。该漏洞可让任何访问本地的人获取系统特权。漏洞感染通过利用Windows中的特权升级漏洞让用户感染GandCrab,恶意软件继而可获取升级特权并对文件加密。该攻击试图利用Windows任务系统的问题,即操作系统对高级本地程序的不当调用,这取决于作者编写恶意软件代码的方式,利用代码的一个版本仅在Win7 到Win10服务器上可用,却不能在XP或Vista上运行,因为一个文件需要多个调用,但在旧版本上没有xpsprint.dll;

脚本引擎内存损坏漏洞(CVE-2018-8373):一个传送QuasarRAT 的IE脚本引擎远程代码执行漏洞的变种,该漏洞不能在任何环境下运行、也不能一直成功传送恶意软件。包括McAfee高级威胁研究团队在内的多个团队的安全分析人员发布了该活动的信息及恶意软件的运行方式。其中一个团队,VBScript!AccessArray在栈内存储了一个数组元素地址。之后,VBScript!AssignVar触发调用“默认属性获取功能”,在脚本上修改数组长度,释放元素内存,其地址在栈内得到保存。打好补丁之后添加SafeArrayLock功能,在VBScript!AssignVar之前锁住当前数组,这样数组长度便可不必在默认属性获取功能上进行修改。

下表显示的是第三季度恶意软件活动中漏洞利用的频率。攻击者采用的多是这些漏洞,将文件武器化、安装和发起恶意程序:

McAfee2018年12月威胁报告(下)

第三季度中,研究人员所记录了多达35起由网络间谍活动促成、有针对性的攻击活动。这些活动绝大多数关乎政治紧张局势地区、为收集情报而进行的网络活动。研究人员认为是俄罗斯政府支持下的多个组织的活动,同时期表现最活跃的还有APT28、Dragonfly和 Sandworm等组织,不过其针对政府、实验室、能源和军事部门等。 ESET的研究人员发现了第一个利用统一可扩展固件接口(UEFI)的工具包,并表示该恶意软件由APT28研究和使用。该威胁被称作“LoJax”,可感染UEFI。感染后进行Reboot命令甚至替换硬盘都不能将其清除;对手用“LoJack”软件的木马化版本对恶意软件进行分发。 感染者多为巴尔干半导地区及中、东欧的政府机构。一些组织现在使用开源工具、宏或脚本语言等,其中两个攻击案例针对的是金融机构。

Double Infection行动:该活动于8月被发现,是包含两个恶意URL链接企图安装后门的钓鱼邮件。两封邮件看上去来自金融机构试图从感染者那里窃取资金。行动攻击者主要针对东欧和俄罗斯公司;

“Personality Disorder”行动:该行动使用唯一附件或URL链接放置“More_eggs” 后门。成功利用后,威胁实施者会控制计算机、获取系统信息访问权并安装最终加载“Cobalt Strike”。钓鱼邮件看上去来自欧洲合法的金融机构,一些恶意RTF文件含CVE-2018-8174在内的一系列漏洞利用。

 

两个行动的共同之处在于:

■ 瞄准东欧和俄罗斯的金融机构;

■使用来自合法金融公司或商家的钓鱼邮件;

■使用Word文件、在用户允许运行宏后用VBA代码感染系统;

■使用TXT文件为伪装的自定义JavaScript二进制后门访问并感染系统。

■使用命令行工具“cmstp.exe” (微软连接管理器配置文件安装程序)携带恶意安装信息文件、绕过Microsoft Windows AppLocker并下载和执行远程代码

■ 使用regsvr32.exe 绕过Windows AppLocker

■ 由为人熟知的Cobalt组织所发起。该组织至少自2013年便开始行动,据报告是世界范围内的100多家金融机构遭攻击的幕后黑手。

■该组织的嫌疑领导人在3月被捕,但攻击活动还在继续。

McAfee2018年12月威胁报告(下)

威胁统计

McAfee 全球威胁情报

McAfee2018年12月威胁报告(下)

每个季度McAfee® 全球威胁情报(McAfee GTI)的云仪表在沙盒里日均接收到490亿份请求和130亿行遥测数据,分析5,600,000个URL和700,000文件外加200,000文件。

■ McAfee GTI 测试了770亿份可疑文件并对7300万份(0.01%)风险文件进行报告。

■ McAfee GTI 测试了160亿个潜在的恶意URL链接,并对其中的6300万份(0.4%)风险文件进行报告。

■ McAfee GTI 测试了150亿潜在的恶意IP地址将6600万 (0.4%)个存在风险的地址报告。

McAfee2018年12月威胁报告(下)

McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下)

McAfee2018年12月威胁报告(下)

McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下)

事件

McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下)

McAfee2018年12月威胁报告(下)

网页和网络威胁

McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下) McAfee2018年12月威胁报告(下)

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/reports/133942.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code