漏洞利用工具包回顾与总结

释放双眼,带上耳机,听听看~!

漏洞攻击套件在今年使用频率持续增高,基于此总结一下使用频率较高的几款漏洞利用工具包

{本篇涉及漏洞利用工具包:    

RIG EK,     

GrandSoft EK,     

Magnitude EK,     

GreenFlash ,

Sundown EK,     

KaiXin EK   ,  

Underminer EK,     

Pseudo-EKs}

===================================

今年的漏洞利用工具包中,Internet Explorer的CVE-2018-8174和Flash的CVE-2018-4878已被广泛使用。

RIG EK

        

        RIG EK在恶意广告活动和受到破坏的网站方面仍然非常活跃,并且是少数具有更广泛地理位置的漏洞利用工具包之一。下图中我们称之为HookAds活动,提供了AZORult 窃密者。

    

GrandSoft EK

GrandSoft可能是第二个最活跃的漏洞利用工具包,后端基础设施与RIG相对更静态化。有趣的是,有时可以看到两个EK共享相同的分发活动,如下图所示:

Magnitude EK

以韩国为攻击重点的EK,Magnitude不断提供自己的勒索软件(Magniber)。最近几周,我们记录了Magniber的变化,并对一些代码进行了改进,并在几个亚洲国家建立了更广泛的铸造网络。

GreenFlash Sundown EK

    由于OpenX广告服务器网络受到影响,GreenFlash Sundown仍然活跃在亚洲部分地区,是一款精致而又难以捉摸的EK专注于Flash的CVE-2018-4878。自从上次我们对其进行分析以来,我们没有看到任何重大变化,并且它仍在分发Hermes勒索软件。

KaiXin EK

KaiXin EK(也称为CK VIP)是一种 中国原产的旧版漏洞利用工具包,多年来一直保持着它的活动。它使用老的(Java)和新漏洞的组合这一事实是独一无二的。当我们捕获它时,我们注意到它推动了Gh0st RAT(远程访问特洛伊木马)。

Underminer EK

虽然这个漏洞利用工具包最近才被识别和命名,但至少从2017年11月开始  (可能仅限于中国市场)。从技术角度来看,这是一个有趣的EK,例如,使用加密来打包其利用并防止使用流量捕获进行离线重放。

Underminer的另一个不同寻常的方面是它的payload,它不是像其他人一样的打包二进制文件,而是一组在受感染系统上安装bootkit的库。通过更改设备的主引导记录,每次机器重新启动时,其都可以启动挖矿程序。

Pseudo-EKs

伪漏洞工具包,就是一群不会用poc的用来挂马利用,当然结果是不会生效的,如下图就是其利用CVE-2018-8174的效果

本文源自微信公众号:黑鸟

人已赞赏
安全工具

APT组织Lazarus最新行动:FASTCash,针对零售支付系统

2019-10-16 10:34:01

安全工具

利用Linux “脏牛”漏洞的恶意安卓程序:ZNIU,来源竟是国内黑产团队

2019-10-16 10:34:08

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索