Sundown khai thác kit thêm mã khai thác Internet Explorer trước khi bất kỳ bộ khác

Sundown exploit kit là bộ khai thác đầu tiên tích hợp mã khai thác cho CVE 2015-2444, sử dụng nó trong một cuộc tấn công watering-hole gần đây.

Sundown khai thác kit thêm mã khai thác Internet Explorer trước khi bất kỳ bộ khác

Trong khi theo dõi exploit hoạt động, Symantec phát hiện ra rằng Sundown exploit kit (EK) đã bắt đầu để tận dụng lợi thế của một lỗ hổng Internet Explorer gần đây được biết đến như CVE-2015-2444. Điều này dường như phá vỡ truyền thống tích hợp mã khai thác mới. Bảng sau đó bộ dụng cụ  khai thác tích hợp khai thác gần đây nhất nhanh nhất trong ba tháng qua:

Bảng- Điểm nổi bật của bộ dụng cụ khai thác và những lỗ hổng mà họ nhắm tới trong ba tháng qua
Bảng – Điểm nổi bật của bộ dụng cụ khai thác và những lỗ hổng mà họ nhắm tới trong ba tháng qua

Bảng này cho thấy rằng Angler exploit kit là dẫn đầu trong việc tích hợp khai thác mới nhất, tiếp theo là Magnitude, Neutrino, và Nuclear exploit kits. Nhưng Sundown exploit kit đã đi ngược lại xu hướng, trở thành người đầu tiên tích hợp CVE-2015-2444 exploit, trong đó lần đầu tiên được phát hành cho công chúng vào ngày 12/8/2015. Microsoft vá lỗi này trong bản cập nhật bảo mật MS15-079.

Symantec đã quan sát thấy những kẻ tấn công sử dụng Sundown để khai thác lỗi này trong các cuộc tấn công watering-hole và thả một back door Trojan vào máy tính. Các cuộc tấn công ảnh hưởng chủ yếu là người sử dụng tại Nhật Bản.

Hình 1. Các cuộc tấn công chủ yếu ảnh hưởng đến người sử dụng ở Nhật Bản
Hình 1. Các cuộc tấn công chủ yếu ảnh hưởng đến người sử dụng ở Nhật Bản

Phương thức làm việc của kiểu tấn công này

Trong chiến dịch này, những kẻ tấn công tiêm một iframe vào một trang web hợp pháp, là chuyển hướng người dùng đến một trang đích obfuscated cấp cao chứa Sundown exploit kit.

Hình 2. Obfuscated trang đích của Sundown EK
Hình 2. Obfuscated trang đích của Sundown EK

Khi người sử dụng đến trên trang đích, bộ khai thác kiểm tra máy tính của người dùng cho các tập tin trình điều khiển kết hợp với phần mềm bảo mật đặc biệt, môi trường ứng dụng kiểm soát (như Sandboxie), và các công cụ chặn bắt traffic(dùng quan sát các traffic độc hại). Để tránh bị phát hiện, các bộ khai thác không giảm khai thác nếu có của các sản phẩm này đã có mặt.

Hình 3. Exploit kit tránh giảm khai thác nếu phần mềm cụ thể đã có mặt
Hình 3. Exploit kit tránh giảm khai thác nếu phần mềm cụ thể đã có mặt

Sau khi kiểm tra các điều kiện thích hợp, các bộ khai thác đã cố gắng để khai thác lỗ hổng trong phần mềm khác nhau, bao gồm cả các lỗi Internet Explorer gần đây, CVE 2015-2444.

Hình 4. Mã khai thác
Hình 4. Mã khai thác

Trong chiến dịch này, bộ khai thác cũng đã lợi dụng các lỗ hổng sau đây:

Nếu bộ khai thác thành công bất kỳ lỗ hổng này, nó đưa payload Trojan.Nancrat vào máy tính của nạn nhân. Mối đe dọa này đóng vai trò như cánh back door và đánh cắp thông tin từ máy tính bị nhiễm.

Symantec and Norton protection

Các sản phẩm Symantec và Norton đã phát hiện vị trí của Sundown EK từ ngày nó nổi lên trên thị trường ngầm, vì vậy khách hàng cần phải cập nhật Antivirus và IPS signatures để được bảo vệ chống lại các cuộc tấn công này. Người sử dụng cần đảm bảo rằng họ cập nhật phần mềm của họ thường xuyên để ngăn chặn các tấn công khai thác lỗ hổng đã biết.

IPS

Antivirus