Neues Exploit Kit Capesand verwendet alte und neue öffentliche Exploits und Tools

Originalbeitrag von Elliot Cao, Joseph C. Chen, William Gamazo Sanchez

Die Sicherheitsforscher von Trend Micro haben kürzlich ein neues Exploit Kit namens Capesand entdeckt. Das Exploit Kit zielt auf neuere Sicherheitslücken in Adobe Flash und Microsoft Internet Explorer (IE). Die Recherche offenbarte auch den Missbrauch einer Sicherheitslücke für IE von 2015. Die kriminellen Hintermänner entwickeln das Kit ständig weiter und setzen Quellcode eines öffentlich gemachten Exploit Kit-Codes nochmals ein.

Mitte Oktober entdeckten die Forscher eine Malvertising-Kampagne, die das Rig Exploit Kit einsetzte und DarkRAT beziehungsweise njRAT Malware verbreitete. Zwei Wochen später stellten die Experten fest, dass das Malvertisement und die Umleitung nicht mehr durch das Rig Exploit Kit durchgeführt wurde, sondern von einem den Forschern nicht bekanntes Kit. Sie stießen auf ein Panel und dort auf Capesand, das den Quellcode für das Exploit Kit liefert.

Bild 1. Capesand Exploit Kit Panel

Der Capesand-Code ist ziemlich einfach gehalten im Vergleich zu anderen Kits. Nahezu alle Funktionen verwenden quelloffenen Source Code wieder, so auch die Exploits, Verschleierung und Packing-Techniken. Es zeigt sich, dass Nutzer das Kit aktiv einsetzen, auch wenn es anscheinend noch nicht fertig ist. Das beobachtete Malvertisement wird vom Ad-Netzwerke direkt in den Browser des Opfers geliefert und gibt sich als Blog-Gespräch über Blockchain aus. Die Seite enthält einen versteckten iframe, über den das Exploit Kit geladen wird.

Bild 2. Malvertisement mit einer kopierten Blockchain Blog-Seite

Die technischen Details dazu liefert der Originalbeitrag.

Fazit

Auch wenn die Malware bekannte Sicherheitslücken ausnutzt, so stellen die Malware-Autoren dennoch sicher, dass die Samples niedrige Erkennungsraten aufweisen. Auch sucht der Schädling nach installierten Antimalware-Produkten. Zudem wird die Architektur dahingehend weiterentwickelt, dass die bösartigen Landing Pages über gespiegelte Versionen einer legitimen Website verbreitet werden unter Domänennamen ähnlich den Originalen. Die Exploits werden als Service verbreitet, der über ein Remote API zugänglich ist – eine effiziente Methode, um die Exploits privat und über verschiedene Einsatzmechanismen wiederverwendbar zu halten.

Trend Micro-Lösungen

Trend Micro Endpoint-Lösungen wie Smart Protection Suites und Worry-Free Business Security können das Exploit Kit erkennen und blockieren, wie auch die zugehörigen bösartigen Domänen. Trend Micro Deep Security-Kunden sind über folgende Regeln geschützt:

  • 1009067 – Microsoft Windows VBScript Engine Remote Code Execution Vulnerability (CVE-2018-8174)
  • 1009655 – Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2019-0752)
  • 1008854 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2018-4878)
  • 1009405 – Adobe Flash Player Use After Free Vulnerability (CVE-2018-15982)
  • 1006868 – Microsoft Internet Explorer JScript9 Memory Corruption Vulnerability (CVE-2015-2419)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.