Rig Exploit Kit missbraucht CVE-2018-8174 und legt den Monero Miner ab

Originalbeitrag von Miguel Ang, Martin Co und Michael Villanueva, Threats Analysten

Ein Exploit Kit wie Rig startet üblicherweise mit einem Bedrohungsakteur, der eine Website kompromittiert und ein bösartiges Skript bzw. Code einfügt, der dann mögliche Opfer auf die Landing-Seite des Exploit Kits umleitet. Im Februar und März im letzten Jahr fügte Rigs Seamless Campaign eine weitere Schicht oder Gate vor die tatsächliche Landing-Seite ein.

Zusätzlich zu Code-Updates integrierte Rig eine Krypto-Mining Malware als endgültige Payload. Die Sicherheitsforscher stellten fest, dass Rig nun CVE-2018-8174 missbraucht, eine Remote Code Execution-Schwachstelle, die im Mai gepatcht wurde. Der Sicherheitsfehler betrifft Windows 7 und neuere Versionen. Der Exploit funktioniert über den Internet Explorer (IE) und Microsoft Office-Dokumente, die die angreifbare Script Engine nutzen.

Rig wurde zum aktivsten Exploit Kit, nachdem die Vorgänger ihre Aktivitäten eingestellt hatten oder zu anderen Geschäftsmodellen übergingen. Rig nutzt eine Vielfalt von Schwachstellen aus. Dazu gehört CVE-2015-8651, eine alte Code Execution-Lücke in Adobe Flash, die auch andere Exploit Kits wie Astrum und weitere Cyberkriminelle nutzten.

Rigs neuere Aktivitäten

Rig zeigt, dass ein Rückgang in der Exploit Kit-Aktivität nicht deren Verschwinden bedeutet. Andere Cyberkriminelle nutzen diese Chance, um ihre Tools und Techniken zu verfeinern. Im letzten April etwa nutzte Rig einen Exploit für CVE-2018-4878 (mit Patch aus dem Februar), einer Use-after-Free-Sicherheitslücke in Adobe Flash, um ihren Exploit für CVE-2015-8651 zu ersetzen. Daher nehmen die Forscher an, dass der Exploit für CVE-2018-8174 ein Ersatz für den früheren Exploit für CVE-2016-0189 ist.

Später lieferte Rig Payloads wie die GandCrab Ransomware und Panda Banker (Variante des ZeuS Banking Trojaners). Dies ist nicht verwunderlich angesichts der Beliebtheit (und möglichen Profits) des Krypto-Minings. Bösartige Krypto-Miner sind zwar nicht so zerstörerisch, aber ihre Wirkung ist langanhaltend. Sie können solange unbemerkt bleiben, bis die Zeichen einer Infektion offensichtlich werden, sodass die Cyberkriminellen Zeit haben, mehr illegales Geld zu verdienen.

Bild 1: Infektionskette der Kampagne

Infektionskette

Wie bereits in den früheren Kampagnen nutzt auch Rigs Seamless Campaign Malvertising. Diesmal umfassen die Malvertisements einen versteckten iframe, der Opfer auf Rigs Landing-Seite umleitet, wo ein Exploit für CVE-2018-8174 und Shellcode eingebettet sind. Damit lässt sich Remote Code des Shellcode versteckt ausführen. Danach wird ein Downloader geladen, der, nach der URL zu urteilen, eine Variante des SmokeLoader ist. Dieser lädt dann die endgültige Payload herunter, einen Monero Miner.

Gegenmaßnahmen

Exploit Kits können Opfer vielfältigen Bedrohungen aussetzen – von Informationsdiebstahl und Dateiverschlüsselung bis zu bösartigem Krypto-Mining. Regelmäßiges Patching stellt eine effiziente Verteidigung dar. Zu den Best Practices gehören:

  • Virtual Patching für den Schutz von Altsystemen und -netzwerken.
  • Einsetzen von Firewalls und Intrusion Detection and Prevention Systems für das Monitoring und Scanning des Verkehrs, der durch die Unternehmensnetzwerke fließt.
  • Einsatz von Anwendungskontrolle, um nicht autorisierten Zugriff zu verhindern sowie die Ausführung von verdächtigen Anwendungen.
  • Einschränken oder Deaktivieren der Nutzung von nicht benötigten oder veralteten Plugins, Extensions oder Anwendungen, die als Eintrittspunkt genutzt werden könnten.

Trend Micro-Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten — vom Gateway, Endpoints, Netzwerken und Servers. Trend Micro™ OfficeScan™ mit XGen™ bietet Vulnerability Protection, die Endpunkte vor bekannten und unbekannten Sicherheitslücken-Exploits schützt. Lösungen wie Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced schützen Unternehmen und Endanwender vor diesen Bedrohungen, denn die Systeme erkennen und blocken bösartige Dateien und alle zugehörigen bösartigen URLs.

Trend Micro Deep Security™ und Vulnerability Protection schützt Anwendersysteme folgende DPI-Regel:

  • 1009067 – Microsoft Windows VBScript Engine Remote Code Execution Vulnerability (CVE-2018-8174)

Trend Micro™ TippingPoint™-Kunden sind über diesen MainlineDV-Filter geschützt:

  • 31493: HTTP: Microsoft Windows VBScript Engine Class_Terminate Use-after-Free Vulnerability

Indicators of Compromise (IoCs) enthält der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .