Sikkerhed forskere har fulgt aktiviteten omkring berygtede Rig exploit kit. I disse kampagner, angribere er at gå på kompromis hjemmesider til at indsprøjte et ondsindet script, der omdirigerer potentielle ofre til EK destinationsside. Dette angreb scenario ændret en smule i marts sidste år, hvor Rig blev påvist i den såkaldte Problemfri kampagne, hvor endnu et lag blev sat før landing på udnytte kit side.
Udover koden opdateringer, sikkerhed forskere observerede Rig gennemføre en cryptocurrency minearbejder som den sidste nyttelast af operationen. Ifølge Trend Micro, Rig operatører har nu tilføjet en særlig sårbarhed over for deres udnytte arsenal – CVE-2018-8174. Denne fejl er den ekstern udførelse type og blev rapporteret at blive udnyttet aktivt i maj. Sårbarheden påvirker systemer, der kører Windows 7 og senere, og det bruger Internet Explorer og Microsoft Office-dokumenter ved hjælp af sårbare script motor.
CVE-2018-8174 Officiel beskrivelse
En fjernkørsel sårbarhed i den måde, at VBScript motor håndterer objekter i hukommelsen. Sårbarheden kan korrupte hukommelse på en sådan måde, at en hacker kunne udføre vilkårlig kode i forbindelse med den aktuelle bruger. En hacker, som det lykkes at udnytte sårbarheden kunne få de samme brugerrettigheder som den aktuelle bruger. Hvis den aktuelle bruger er logget på med administrative brugerrettigheder, som en hacker udnytte sårbarheden kunne tage kontrol over et berørt system,. En hacker kunne derefter installere programmer; visning, lave om, eller slette data; eller oprette nye konti med komplette brugerrettigheder.
Kampagnerne af Rig EK er ikke så overraskende overhovedet - der er opmærksomme på, at EK landskab drastisk ændret med modarbejdelse af nogle af de største udnytter kits. Som et resultat, Rig blev den mest udbredte én, ved hjælp af forskellige svagheder, både gamle og nye. En af de ældre mangler benyttes af Rig operatører er CVE-2015-8651, en gammel kode sårbarhed i Adobe Flash, at andre udnytter kits også ansætte.
Hvad har Rig EK operatører gjort sidst?
I tilfældet med den CVE-2018-8174 kampagne, indsat malvertisements har en skjult iframe, der omdirigerer ofre til Rig destinationsside, som omfatter en udnytte til CVE-2018-8174 og shellcode, Trend Micro skrev. Dette scenario gør fjernkørsel af programkode mulig via udførelsen af shellcode korrumperet i destinationssiden. Efter en vellykket udnyttelse, et andet trin downloader hentes, der er mest sandsynligt en variant af SmokeLoader grund URL. Den sidste fase er download af den endelige nyttelast, en minearbejder Monero.
Sådan beskytter mod Exploit Kits, Cryptocurrency minearbejdere og malware?
Da EKS er kendt for at bringe en række trusler mod ofrene, beskyttelse bør være en prioritet. Rig EK har brugt sårbarheder i sine kampagner betyder, at der i tide patching bør være tommelfingerregel. Her er nogle andre nyttige tips til at øge beskyttelsen mod sådanne angreb:
- Virtuel patching for beskyttelse legacy-systemer og netværk;
- Aktivering og implementering firewalls og intrusion detection og forebyggelse systemer;
- Anvender ansøgning kontrol for at afbøde uautoriseret adgang og privilegium;
- Begrænse eller deaktivere anvendelsen af unødvendige eller forældede plug-ins, udvidelser eller programmer, der kan anvendes som indgange.
For hjemmebrugere ansættelse af anti-malware beskyttelse er også tilrådeligt.
SpyHunter scanner vil kun afsløre truslen. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: