За последние полгода бодрое, громогласное присутствие эксплойт-паков на интернет-арене сократилось до еле слышного шепота. Однако это не значит, что им больше нечего сказать. По данным экспертов, операторы эксплойт-паков проводят реорганизацию, подправляют код, ищут новые эксплойты и цели.

Каково же современное распределение сил в этой сфере и какие тенденции сохранятся в ближайшем будущем?

RIG: сдал позиции, но не выбыл

Согласно Zscaler, эксплойт-пак RIG не столь заметен, как прежде, однако продолжает доставлять разных вымогателей: CryptoShield, Cerber, Locky. Ныне он активен преимущественно в Южной Америке, Юго-Восточной Азии и Австралии, хотя ранее явно отдавал предпочтение Западной Европе, Северной Америке и России.

«Если ничего не изменится, RIG — это эксплойт-пак, который не стоит упускать из виду в ближайшие месяцы», — заявил Брэд Дункан (Brad Duncan), вирусный аналитик из Palo Alto Networks. С его слов, RIG — самый распространенный эксплойт-пак из наблюдаемых Palo Alto; он выбился в лидеры после исчезновения Angler (летом прошлого года) и «приватизации» Neutrino (в сентябре).

Microsoft тоже отслеживает RIG, именуя его Meadgive. «Авторы атак, использующие Meadgive, обычно внедряют на скомпрометированный сайт фрагмент с вредоносным скриптом, — пишут исследователи в блоге. — При заходе на скомпрометированный сайт вредоносный скрипт, как правило, обфусцированный, загружает эксплойт. В последнее время Meadgive в основном задействует эксплойт для уязвимости CVE-2015-8651 в Adobe Flash, который исполняет JavaScript-файл, загружающий зашифрованный файл PE».

Sundown стал приметнее

В отличие от RIG, эксплойт-пак Sundown за последний год постепенно набирает обороты. Так, недавно изменился код его лендинг-страниц, а в Zscaler даже зафиксировали ребрендинг: у этого инструмента появилось новое название — Nebula.

«Если ранее при размещении лендинг-страниц [участники криминальной организации Yugoslavian Business Network] отдавали предпочтение доменам .xyz, то с 9 февраля они регистрируются во многих других родовых TLD-доменах от имени Брайана Кребса», — пишет в блоге Zscaler Дерек Гули (Derek Gooley). Со слов эксперта, в начале текущего месяца Sundown был уличен в раздаче банковского троянца DiamondFox.

По свидетельству FireEye, этот эксплойт-пак демонстрирует хорошую адаптивность и быстро приспосабливается к смене обстановки, меняя схему URI и осваивая новые технологии, например стеганографию.

Magnitude ушел в тень

Некогда грозного Magnitude теперь редко заметишь на радарах. «Эксплойт-пак Magnitude продолжает операции в малом объеме, с региональными ограничениями, — свидетельствует Гули. — Мы обычно наблюдаем Magnitude в Юго-Восточной Азии, где он атакует тех пользователей, которые посещают сайты, незаконно транслирующие видеоматериалы».

Исследователь также отметил, что эксплойты Magnitude обычно раздаются через вредоносную рекламу и нацелены на засев вымогателя Cerber.

Новые террористы

Новобранцы на рынке эксплойт-паков тоже не переводятся. Так, в начале текущего года Zscaler идентифицировала Terror, состряпанного из фрагментов кода других наборов эксплойтов — Sundown, Hunter и проч. По словам экспертов, это типичный представитель нового поколения подобных инструментов.

«Он невелик, более кастомизирован, — рассказывает Дипен Десаи (Deepen Desai), старший директор Zscaler по исследованиям и оперативному управлению. — Цель гораздо лучше определена, а выбор географического региона для атак весьма специфичен». Исследователи полагают, что избирательность операторов Terror и ограниченный охват — лишь временное явление. Злоумышленники, скорее всего, отлаживают свой инструмент, чтобы пустить его в оборот в большем масштабе.

По наблюдениям Check Point, RIG и Terror ныне используются для доставки самых разных зловредов, от вымогателей и банкеров до спам-ботов и генераторов биткойнов. В марте исследователи зафиксировали рост активности Terror.

GongDa и KaiXin

Эксплойт-паки старшего поколения с корейскими именами GongDa и KaiXin тоже пока актуальны. В январе FireEye сообщила, что корейский новостной сайт перенаправляет посетителей на эксплойт-площадки GongDa для последующей загрузки вредоносного ПО.

«Хотя GongDa существует давно и продолжает использовать эксплойты к Java, он также был замечен в доставке Flash- и VBScript-эксплойтов, — отмечено в блог-записи FireEye годовой давности. — Хотя GongDa — более слабый проект по сравнению с более новыми эксплойт-паками вроде Angler или Neutrino, он доказывает, что старые трюки (или уязвимости) все еще эффективны».

В прошлом месяце исследователи из Zscaler обнаружили новую эксплойт-кампанию KaiXin. Последний был впервые идентифицирован в 2012 году; он тоже проводит атаки с азиатских сайтов (корейских). Новейший вариант KaiXin использует немолодой скрипт для определения антивирусов по отпечаткам; этот скрипт пытается определить присутствие защитных продуктов на целевом ПК, приостанавливая исполнение основного кода. KaiXin оперирует эксплойтами для Java, Flash и Silverlight и в случае успеха загружает различные программы показа рекламы на китайском языке.

Новые цели

Важной составляющей успешной активности эксплойт-паков является обновление их арсенала. В этой связи эксперты Palo Alto предупреждают об актуальном тренде — использовании новых уязвимостей в Microsoft Edge. Директор компании по аналитике угроз Райан Олсон (Ryan Olson) отметил, что такие бреши, в том числе баги порчи памяти в механизме визуализации Edge, уже добавлены в список векторов атак Sundown. В прошлом году Microsoft исправно латала свой браузер, однако операторы Sundown, видимо, считают Edge перспективной целью.

Новаторство тоже не чуждо авторам эксплойт-паков, живое свидетельство тому — DNSChanger, о появлении которого Proofpoint предупредила в декабре. Этот набор эксплойтов примечателен тем, что нацелен на уязвимости не в браузерах, а в роутерах, притом меняет настройки DNS и открывает порты для удаленного администрирования.

Подражатели

Исследователи из FireEye зафиксировали множество малоактивных эксплойт-операций, инициаторами которых, по всей видимости, являются хакеры-одиночки. «По большей части они копируют известные техники, однако это происходит с завидной регулярностью, — заявил Зайн Гардези (Zain Gardezi), специалист по анализу уязвимостей из FireEye. — Тем не менее это небольшая угроза, если судить по количественным показателям».

Такие плагиаторы, по словам исследователя, обычно надолго привязываются к одному рекламному сервису с целью доставки эксплойтов через вредоносные баннеры. К регистрации доменов они прибегают редко, опасаясь засветиться. «Некоторые подражатели используют не имена доменов, а один IP в течение трех-четырех дней, а затем переходят на другой», — говорит Гардези.

Sundown тоже склонен заимствовать уже доказавшие свою эффективность эксплойты из наборов старшего поколения, используемых устоявшимися группировками. В FireEye полагают, что тенденцию к умножению мелких копипаст-операций спровоцировало сворачивание деятельности ведущих игроков рынка эксплойт-паков.

Рост противодействия

Эксперты сходятся во мнении, что вероятность возврата прежнего уровня активности эксплойт-паков невелика. Дункан из Palo Alto с удовлетворением констатирует повышение защищенности браузеров от эксплойта, другие исследователи тоже отметили эффективность оборонных мероприятий.

«В настоящее время доля Google Chrome на рынке браузеров составляет 58%, и он стал, как мне кажется, гораздо более крепким орешком для авторов эксплойт-паков, — комментирует Дункан. — При использовании Chrome в качестве веб-браузера мне не удалось заразить какой-либо хост Windows посредством эксплойт-пака за последние месяцы».

Эксперт также полагает, что уходу из «бизнеса» ряда игроков, полагающихся на эксплойт-паки, способствует снижение популярности некоторых атакуемых ими продуктов, в частности Internet Explorer и Edge. Так, по данным Дункана, на долю IE и Edge в настоящее время совокупно приходится лишь 25% рынка.

Результаты исследований Microsoft тоже показывают, что многие операторы эксплойт-паков, таких как Neutrino, перестали давать повод для броских заголовков. Часть этих инструментов атаки перешла в «приватный режим», став выбором единичных криминальных групп.

Категории: аналитика, вредоносные программы, Главное

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *