Angler und Nuclear Exploit Kits integrieren Pawn Storm Flash Exploit

Originalbeitrag von Brooks Li und Joseph C. Chen, Threats Analysten

Geht es um Exploit Kits, so ist Eile geboten. Diese Kits enthalten häufig neue oder Zero-Day Exploits, um eine höhere Anzahl an Opfern zu erreichen, deren Systeme nicht auf aktuellem Stand sind. Trend Micros Sicherheitsforscher fanden zwei Lücken, die die Exploit Kits ins Visier genommen haben, eine davon ist der Pawn Storm Flash Zero-Day. Die zweite Lücke war eine Flash-Schwachstelle in verschiedenen Versionen bis 18.0.0.232. Trend Micro steht in Kontakt zu Adobe, um die CVE-Nummer dafür zu bestätigen.
Seit dem 28. Oktober werden diese beiden Sicherheitslücken von Angler und Nuclear Exploit Kits (EK) ins Visier genommen.

Bild 1. Angler EK .saz Snapshot von CVE-2015-7645 (Klicken zum Vergrößern))

Bild 2. Nuclear EK .saz Snapshot von CVE-2015-7645  (Klicken zum Vergrößern)

Bild 3. Angler EK .saz Snapshot des zweiten Exploit (Klicken zum Vergrößern)

Missbrauch des Diffie-Hellman-Protokolls

Die neuesten Untersuchungen der Sicherheitsforscher haben den Missbrauch des Schlüsselaustauschs des Diffie-Hellman-Protokolls bestätigt. Es gibt lediglich kleine Unterschiede zu einem früheren Einsatz. Damit wollen die Cyberkriminellen ihren Netzwerkverkehr verbergen und bestimmte Sicherheitsprodukte umgehen.

Zu den Neuerungen gehört der Versuch, den Forschern die Analyse des Schlüsselaustauschs zu erschweren. Das Angler EK hat auch eine gewisse Verschleierung dem bislang ziemlich klaren und offensichtlichen Prozess hinzugefügt. Des Weiteren

  1. sendet die Malware kein g und p mehr vom Client zum Server, sondern eine ssid, die g-und p-Paar identifiziert.
  2. Der Schlüssel K ist nun 128 Byte lang statt nur 16 Byte. Die Nutzung des 128-Byte-Schlüssels erschwert die Entschlüsselung der Rohdaten.


Bild 4. Diffie-Hellman-Protokoll nutzt SSID, um g-/p-Paar zu identifizieren


Bild 5. Code-Schnipsel zeigt 128-Byte-Schlüssel

Mehrfache Payloads

Diese Exploit Kits luden mehrfache Payloads auf die Systeme der Nutzer herunter. Die Forscher fanden Instanzen mit BEDEP und CryptoLocker als gleichzeitige endgültige Payload. In anderen Fällen wurde der Hintertürschädling ROVNIX, TeslaCrypt/CryptoWall-Ransomware sowie der Infostealer KASIDET heruntergeladen.


Bild 6. BEDEP C&C-Serveraktivität

Feedback aus dem Smart Protection Network deutet auf mehr Aktivität des Angler Exploit Kits in den ersten Oktoberwochen hin. Möglicherweise ist das Hinzufügen dieser Sicherheitslücken ein Versuch, das Verkehrsaufkommen des Exploits auf einen früheren Level anzuheben. Am meisten waren die Nutzer in Japan, den Vereinigsten Staaten und Australien betroffen.

Gegenmaßnahmen

Trend Micro kann die Anwender vor dieser Bedrohung schützen. Die vorhandene Sandbox mit der Script Analyzer Engine als Teil von Trend Micro™ Deep Discovery erkennt die Bedrohung über eine Verhaltensanalyse, ohne Updates der Engine oder Pattern.

Die SHA1 der Flash Exploits und Payloads sind folgende:

  • 0e05229784d993f1778bfc42510c1cd2d90f3938
  • 4cf3361c750135eaa64946292ea356f4a75b9b1c
  • 56a96c79b027baa70fc5f388412c6c36e4aa3544
  • 600fd58cdd0d162dd97be1659c5c0c4b9819e2e3
  • 69143d6bd45f99729123531583c54740d6be190d
  • af6c40b12e5cd917bb02440d8f3db85c649b8ba9
  • c332856b0b85b06235c440c4b1d6a48afdf9775b
  • f6b6287240323f914bd0c7ddf768d850d8002592

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*