Sundown漏洞攻击包需严加防范.PDFVIP

2 0 1 6 年 1 0 月 3 1 日，星期一 Sundown 漏洞攻击包：需严加防范 作者：Nick Biasini 在过去六个月里，漏洞攻击包的市场格局发生了巨大变化。这些变化始于四五月份时 Nuclear 停止运作和俄罗斯的逮捕行动，以及六月份Angler 退出舞台。最近，Neutrino 也加 入到了在2016 年不再活跃的漏洞攻击包之列。在这个仰赖于勒索软件和银行木马等负载， 非法利润仍然高达数百万美元的行业里，剩余的一些较小漏洞攻击包正在争夺头把交椅。 现在，我们应将目光转向市场上活跃的另外一个漏洞攻击包，那就是Sundown。过去， Sundown 漏洞攻击包曾是二等漏洞攻击包（包括Magnitude 和Sweet Orange）的一员。这 些攻击包虽能成功攻击用户，但往往不像其他主要漏洞攻击包那样采用先进技术，影响范围 也不如主要漏洞攻击包大。这并不意味着这些攻击包不是重大威胁，但是从潜在受害者角度 而言，它们在历史上的覆盖范围比不上之前的其他漏洞攻击包（例如Angler 或RIG）。 在过去几周时间里，Talos 对Sundown 的活动进行了重点研究，结果出人意料。我们发现， 这个攻击包运作所用的基础设施的覆盖范围相对较小，不过在实施域遮蔽方面，它的范围之 大却是我们很少见的。该攻击包的攻击活动局限在少量 IP 上，但我们最终发现利用各种注册 者帐户的500 多个域上有超过8 万个相关联的恶意子域。这意味着，该攻击包将能在很大程 度上躲避传统的黑名单解决方案。Sundown 的警惕性一直很高，为了躲避检测，用过的子域 很快会被回收。有时候，它会以一次性域遮蔽的形式出现，这让使用黑名单阻止它变得极其 困难。 概述 Sundown 的运作方式与大多数其他漏洞攻击包很相似。它由登录页面和包含负载的攻击页面 等部分组成。与如今大多数漏洞攻击包一样，它还包含一个常用作重定向初始点的网关。攻 击者依靠两种方式将大多数受害者引导至漏洞攻击包：受感染网站和恶意广告。此特定攻击 活动的主要流量来源是受感染网站。 在大多数受感染网站的网页上，都会在某个位置添加一个渲染到屏幕外的iframe，Sundown 攻击活动也不例外。 受感染网站中的网关重定向 此初始重定向指向该攻击活动使用的网关。其他遮蔽域指向其他页面，如下所示： 来自网关的漏洞攻击包登录页面 突出显示的部分实际重定向至Sundown 登录页面。此登录页面接着会检测用户系统，确定 用户系统是否有可能受到攻击，然后发送包含负载的攻击页面。来自Sundown 服务器的响 应的标头中包含一个“Yugoslavian Business Network”字段，通过这个字段可以明确区分 该漏洞攻击包与其他漏洞攻击包的流量。由Sundown 发送的所有登录页面响应中都存在这 个特殊字符串，示例如下： Sundown 名片：Yugoslavian Business Network 注意，这只存在于登录页面请求中，并且在漏洞页面请求中显然不存在。 Sundown 漏洞页面GET 请求示例 Sundown 感染链中有一个针对/undefined 的额外GET 请求。这会在请求漏洞页面之前，导 致服务器返回404 。就漏洞攻击而言，Talos 发现Sundown 在攻击受害者时既利用Adobe Flash 漏洞，也利用Silverlight 漏洞。有趣的是，在这两种情况下，漏洞攻击均使用这些文件 的标准扩展名。所有Flash 请求以“.swf”结尾，所有Silverlight 请求以“.xap”结尾。这在 漏洞攻击包中极不常见，漏洞攻击包一般会努力故意让活动变得混乱。 攻击活动 Talos 根据上述信息开始收集与该漏洞攻击包相关的数据。首先收集的数据是托管Sundown 的IP 地址。此攻击活动的攻击者利用系统长时间托管Sundown。就我们搜索漏洞攻击包的 经验而言，托管漏洞攻击包的服务不会长时间保持活跃。在Angler 时代，这个活跃时间可能 不到 12 小时，最长也不超过48 小时。而据我们观察，托管Sundown 的IP 的活跃时间为数 周，有些还能达到数月。这个发现让人倍感意外，因为大多数安全运营商会在相对较短的时 间内封掉托管恶意活动的IP。对于此特定攻击活动，为Sundown 提供服务的主机全部托管 在荷兰。我们已将此活动的信息告知相关运营商，但截至本博客撰