导语:Sundown是目前市场上最新款的漏洞利用工具,目前正在逐步积累用户,并已经在漏洞利用市场上占据了一席之地。

1481527073190461.png

Sundown是目前市场上最新款的漏洞利用工具,由于Angler和Nuclear这两款漏洞已经被成功防止,所以像Sundown这样的漏洞利用工具就开始逐步积累用户,并已经在漏洞利用市场上占据了一席之地。

据了解,Sundown已经活跃了一年多的时间了,在这段时间里,很多其他的漏洞利用工具慢慢淡出了人们的视野。而Sundown之所以会成为黑客们新的选择,很有可能是因为其开发者抄袭了SpiderLabs所公布的代码,并模仿了其他漏洞利用工具的持久化机制。

思科Talos安全威胁智能小组分析了Sundown攻击包的演变,在过去六个月黑客们已经大肆利用这个工具感染了很多用户,而且在这六个月期间漏洞利用工具的市场也发生了很大的变化,Sundown的排名也越来越靠前,目前Sundown以排名第二,仅次于RIG,Sundown的开发者抄袭了与与500多个域相关的80000个恶意子域的代码。

在对Sundown的样本进行分析研究的过程中,他们发现Sundown的开发者直接将AnglerEK中的一个针对IE浏览器漏洞(CVE-2015-2419)的利用代码拷贝了过来。不仅如此,他还从另一个竞争对手RIG(漏洞利用工具)那里窃取来了一个针对Silverlight漏洞(CVE-2016-0034)的利用代码。

被Sundown利用的漏洞

当然了,Sundown抄袭来的内容还远不止这些。你肯定想不到,Sundown的第三个漏洞(CVE-2015-5119)竟是从意大利间谍组织HackingTeam那里抄袭来的。而第四个漏洞是一个存在于AdobeFlash产品中的漏洞(CVE-2016-4117),针对该漏洞的利用代码则是从Magnitude漏洞利用工具中抄袭来的。除了上述这些漏洞之外,Sundown还可以利用CVE-2013-7331,CVE-2014-6332, CVE-2014-0569, CVE-2014-0556,CVE-2015-0311, 以及CVE-2015-0313等漏洞。

专家们发现,利用Sundown 的黑客会使用通配符作为子域,使恶意流量的节点数量呈指数增长。

使用通配符的缺点是对核心域的影响。如果域是活动的,如果有人尝试解析该特定域,它将重定向到黑客使用的恶意服务器。

研究人员对一个连续24小时运作的Sundown分析后发现,这个工具平均每分钟会产生三个子域。

虽然RIG EK用于删除各种恶意软件,包括恶意有效载荷,银行木马和数据窃取的恶意软件,但Sundown只用于银行木马而且其活动也只利用Adobe Flash和Silverligh两个t漏洞攻击受害者的系统。另外对那些被Sundown感染的文件,也都有标准的文件扩展名称,比如所有对flash文件的请求以“.swf”结束,所有silverlight请求以“.xap”结束,这在漏洞利用工具是很少见的。

源链接

Hacking more

...