Rückläufig aber nicht weg: Jüngste Exploit Kit-Aktivitäten

Originalbeitrag von Martin Co und Joseph C. Chen

Exploit Kits mögen rückläufig sein, doch sind sie nicht weg. Sie nutzen zwar immer noch dieselben Techniken, etwa Malvertisements oder in Spam eingebettete Links und bösartige/kompromittierte Websites, doch zeigen die jüngsten Aktivitäten, dass sie wieder einen nicht zu vernachlässigenden Faktor in der Bedrohungslandschaft darstellen. Zu den aktivsten gehören Rig und GrandSoft sowie das private Exploit Kit Magnitude — alles Exploit Kits, die im Zusammenhang mit relativ neuen Schwachstellen auftauchten, um Krypto-Mining Malware, Ransomware, Botnet Loader und Banking-Trojaner abzulegen.

Die neusten Aktivitäten der Exploit Kits lassen vermuten, dass die Hintermänner ihre Taktiken auf Profite durch Kryptowährung ausrichten oder auf den Einsatz von vorgefertigter Schadsoftware. Auch werden weitere Exploits auftauchen, die sich auf andere Software wie etwa CVE-2018-8174 konzentrieren, die über Word und den IE ausgenutzt werden können.


Bild 1: Verlauf der GrandSoft-, Magnitude- und Rig-Aktivitäten von Januar bis Juni 2018

Rig, in der vierten Version, ist seit 2017 das aktivste Exploit Kit. Dazu trugen mehrere Faktoren bei: Angler, das bis dahin beliebteste Kit, verschwand. Dann wurde Neutrino privat, Sundown bot seinen Service nicht mehr an und der Quellcode wurde öffentlich. In der zweiten Hälfte 2017 gab es nur noch Rig, Disdain und Terror, wobei letztere Ende des Jahres auch verschwanden.

Magnitude, im Untergrund seit 2014 erhältlich, wurde 2016 privat und beschränkte entsprechend den Radius seiner Ziele auf Taiwan und Südkorea. GrandSoft, von 2012 bis 2014 aktiv, tauchte im September 2017 wieder auf. Dieses Exploit Kit wurde häufig von Bedrohungsakteuren eingesetzt, die auch Rig zur Verbreitung ihrer Schadsoftware nutzten und während ihrer Kampagnen wechselten. Dies kann ein Hinweis darauf sein, dass GrandSoft auch als Dienstleistung im Untergrund angeboten wird.


Bild 2: Verteilung der Angriffe mit GrandSoft, Magnitude und Rig Exploit Kits

Exploits für CVE-2018-8174

CVE-2018-8174 wurde letzten April entdeckt und einen Monat später gepatcht. Es handelt sich um eine Use-after-Free-Sicherheitslücke in der Microsoft Windows VBScript Engine, die über Office Word-Dokumente ausgenutzt wurde. Doch da die Lücke auch das Betriebssystem betrifft, könnte sie auch über andere Mittel wie den Internet Explorer (IE) angegriffen werden.

Rig war eines der ersten, das von der Sicherheitslücke profitierte. Weitere Exploit Kits, deren Implementierung dem öffentlichen Proof-of-Concept (PoC) ähnelten, folgten.

Bild 3: Infektionskette von Rig (oben), Magnitude (Mitte) und GrandSoft (unten) für den Missbrauch von CVE-2018-8174

Rig und GrandSoft sprangen auf den Zug auf und verteilten Krypto-Mining Malware, sei es direkt über das Exploit Kit oder sei es über einen Botnet Loader, den das Kit installierte. Auch GandCrab Ransomware scheint eine beliebte Payload zu sein, wird sie doch als Ransomware-as-a-Service angeboten, den Berichten zufolge von mehr als 80 Anbietern.

Exploit Kits pushten auch Botnets und Bankentrojaner, so etwa Karius (TROJ_KARIUS.A) über Rig. Der Trojaner weist eine ähnliche Implementierung auf wie der berüchtigte Ramnit. Als die Sicherheitsforscher Karius entdeckten, testete die Malware ihre auf Injection basierten Angriffe auf Banking- und Kryptowährung-bezogenen Websites, um Login-Informationen zu stehlen und Zahlungen zu kapern.

Ein neuer Loader namens “Ascentor Loader” (TROJ_DLOADR.SULQ) wird von GrandSofts Kunden genutzt. Bislang dient Ascentor Loader dazu, GandCrab Ransomware (RANSOM_HPGANDCRAB.SMG) zu extrahieren und sie auszuführen.

Rigs Payload beim Nutzen von CVE-2018-8174 ist ein Monero Miner. Technische Einzelheiten zu den Exploit Kits enthält der Originalbeitrag.

Exploit Kits stellen immer noch ernste Bedrohungen dar

Die Verhaftung von Hintermännern, ein Mangel an Zero-Day-Lücken und die Verbesserungen in den Sicherheitsprodukten tragen zum Rückgang von Exploit Kits bei. Dennoch stellen sie nach wie vor eine ernst zu nehmende Bedrohung dar. Exploit Kits sind opportunistisch: Die Tatsache, dass sie immer noch alte Sicherheitslücken ausnutzen, lässt beispielsweise vermuten, dass sie dabei immer noch erfolgreich sind. Ihre Autoren können neue Schwachstellen oder PoCs leicht integrieren, sobald sie verfügbar sind.

Exploit Kits mögen ihren Höhepunkt überschritten haben, doch heißt das für Unternehmen keine Entwarnung. 2017 etwa gab es 119 Zero-Day-Lücken — Exploit Kits benötigen lediglich eine, um sich in einem System festzusetzen. Abgesehen von Patching (oder dem Einsatz von Virtual Patching für Altsysteme), können Organisationen weitere Schritte gegen Exploit Kits unternehmen, wenn sie stärkere Patch Management Policies durchsetzen, mit dem Ziel festzustellen, welche Sicherheitslücken sofort geschlossen werden müssen. Auch das Prinzip der geringsten Privilegien und tiefgehende Verteidigung sind hilfreich — von Firewalls und Intrusion Detection and Prevention Systems bis zu Applikationskontrolle und Verhaltensmonitoring. Backup der persönlichen und Unternehmensdaten sowie Vorsicht beim Klicken auf unbekannte Links sind ebenfalls zu empfehlen.

Trend Micro-Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko durch Bedrohungen, die Sicherheitslücken ausnutzen, möglichst gering zu halten.

Trend Micro™ OfficeScan™ mit XGen™ Endpoint-Sicherheit umfasst Vulnerability Protection, die Endpunkte vor bekannten und unbekannten Sicherheitslücken schützt, auch bevor sie gepatcht wurden. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken.

Indicators of Compromise (IoCs) sind im Originalbeitrag enthalten.

Dank an Kafeine für die IoCs bezüglich des Magnitude Exploit Kits.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.