После полугода относительного затишья на рынке эксплойт-паков в арсенале Sundown появился PoC-эксплойт, опубликованный техасским стартапом, специализирующимся на исследованиях и разработке.

Этот эксплойт был создан в компании Theori из Остина, которая начала функционировать весной прошлого года. PoC атакует две уязвимости в Microsoft Edge (CVE-2016-7200 и CVE-2016-7201), обнаруженные Натали Силванович из Google Project Zero. Патчи для этих брешей вышли в составе ноябрьского накопительного обновления для Edge (MS16-129).

По свидетельству французского исследователя Kafeine, рабочие версии эксплойта Theori были добавлены в Sundown через два дня после публикации. В настоящее время целевой полезной нагрузкой является программа-загрузчик Zloader, хотя ранее Sundown использовался для доставки самых разных зловредов, в том числе Zeus Panda и Dreambot, а также программ для майнинга биткойнов. Kafeine отметил, что это первое за полгода значительное проявление активности, которое он зафиксировал в ходе наблюдений за эксплойт-паками.

Со слов исследователя, это уже второй раз, когда разработанный Theori PoC-эксплойт берется на вооружение злоумышленниками. Более ранняя аналогичная разработка этой компании, PoC для CVE-2016-0189 в IE, пропатченной Microsoft в мае, в итоге попала в несколько эксплойт-паков: Neutrino, RIG, Sundown и Magnitude. Kafeine ожидает, что и новое приобретение Sundown быстро пойдет в тираж, коль скоро долгие праздники закончились как на Западе, так и в России.

Threatpost запросил комментарий в Theori, но к моменту публикации ответ не был получен. В разделе Readme на GitHub представители компании пишут, что опробовали PoC на новейшей версии Edge, установленной под Windows 10. Уязвимости кроются в JavaScript-движке Chakra, разработанном Microsoft для Internet Explorer 9. Эксплойт Theori провоцирует утечку информации и путаницу типов данных; результатом является удаленное исполнение кода.

Выпустив соответствующие патчи для Edge, Microsoft охарактеризовала эти баги как нарушение целостности памяти и оценила их как критические для клиентских Windows и умеренно опасные для серверных (64-битных Windows Server 2016). Возможные сценарии атаки изложены в бюллетене следующим образом:

«Автор веб-атаки должен создать специальный сайт для эксплуатации уязвимости через браузер Microsoft, а затем заманить на него пользователя. Атакующий может также внедрить элемент ActiveX, помеченный как безопасный для запуска, в приложение или документ Microsoft Office, использующие движок Edge для рендеринга. Для атаки можно задействовать скомпрометированные сайты, как и сайты, принимающие или размещающие пользовательский контент либо рекламные объявления. Эти сайты могут содержать особый контент, способный осуществить эксплуатацию уязвимости».

Эксплойт-паки до сих пор используются в дикой природе для раздачи разнообразного вредоносного ПО, от вымогателей до мошеннических программ-кликеров. Однако с уходом ведущих игроков рынка вроде Angler освоение новых эксплойтов значительно замедлилось. Исчезновение с арены Angler по времени совпало с арестом в России 50 лиц, предположительно причастных к разработке и распространению троянца Lurk. Эксперты «Лаборатории Касперского», изучившие деятельность группировки, стоявшей за Lurk, обнаружили, что в погоне за прибылью эти преступники также занимались разработкой, поддержкой и сдачей в аренду эксплойт-пака Angler.

С конца прошлого года разработка остальных эксплойт-паков практически прекратилась, и распространители вредоносного ПО вновь вернулись к рассылке спама и загрузкам через макросы Microsoft Office. «Причины мне доподлинно неизвестны, — говорит Kafeine. — Может, их стало труднее писать, а может, создатели полноценных рабочих эксплойтов (к примеру, для Angler) попросту перестали этим заниматься. Впрочем, не думаю, что это сильно затормозило развитие [эксплойт-паков]».

Категории: вредоносные программы

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *