网络罪犯使用的攻击工具是时常变化的, 从他们使用的攻击工具包的不断变化中,你就可以看出这一点。尽管可利用的工具种类很多,但攻击者似乎都特别青睐其中的几种。

研究攻击工具包的专家表示, Angler和Nuclear这两种主要工具可能已经退出了市场。这两种工具都曾造成数千万美元的损失,和无数的基于web的点击欺诈恶意软件感染。但由于恶意软件Lurk背后的俄罗斯组织已经于最近被捕,Angler攻击工具包的时代可能也随之终结了,而Check Point软件技术最近的一次公开揭露显然也对Nuclear攻击工具包造成了巨大打击。

专门研究攻击工具包的法国专家Kafeine说, 自4月30日和6月7日以来,他还没有看到任何与Nuclear和Angler有关的活动。

与此同时,Proofpoint在周一发布了一份报告,列举数字证明了攻击工具包的衰落。例如,他们指出,一些交易量很大、进行利润高昂的恶意广告活动的犯罪集团已经转向了Neutrino,与此相同的是, CryptXXX的输出也从Angler转向了Neutrino。

该报告称:“在我们的估计中, 用于输出CryptXXX的Neutrino占我们观察到的攻击工具包流量的75%,另有10%来自输出Cerber勒索软件的Neutrino和Magnitude,剩余15%的EK流量来自于输出各种载荷(银行木马、信息窃贼、装载机)的RIG,还有一些应用规模较小的攻击工具包,如Sundown、Kaixin、Hunter等——这些大约只占到EK相关流量的1%。”

Check Point 在4月份发布了一份由两部分组成的系列文章,深度剖析了Nuclear攻击工具包,他们不仅分析了其基础设施,还分析了它的运营计划、控制面板、主服务器、感染流和内部联系。当时,Nuclear正在广泛输出勒索软件Locky(Locky曾因攻击几家美国医院而备受瞩目)。

报告的第二部分研究了Nuclear的服务,探究有效载荷是如何被传递给受害者的,并且对其造成的危害进行了概括描述。

Kafeine 向Threatpost表示: “我认为Nuclear的消失与Check Point 的分析有关,Nuclear的基础设施已经被暴露了,在我看来,它的主人应该是害怕了。”

Kafeine表示,这很有可能只是一个暂时的情况,但是在看到俄罗斯论坛内的一个声明后,这名研究员说,Nuclear不会再提供出租了,而它的创建者已经离开了论坛。

俄罗斯论坛上帖子的内容是:“如果他回来了,我们会发布官方的通知 。“

同时,Angler的客户也可能会转而使用其他的开发工具,例如Neutrino和RIG。Angler用户正忙着兜售CryptXXX,但SANS互联网风暴中心在6月9日的一份报告中表示, 远离Angler的过程过于突然。

CryptXXX出现的时间相对较晚,但它已经被用新的加密方法进行了更新,还带有一个窃取凭证的模块。Kafeine说:“Angler消失后,CryptXXX通过Neutrino进行传播,在6月初的时候,当这个攻击工具包拥有更多的感染途径之后,传播规模也变得更大。”今年4月,帕洛阿尔托网络的研究人员发现了一个用Nuclear攻击工具包输出Locky的活动,他们将这个活动称为Afraidgate。奇怪的是,它突然转用了Angler,并且开始在受感染电脑上输出CryptXXX,而Afraidgate运动也使用CryptXXX作为主要的勒索软件威胁方式。

帕洛阿尔托说,这两个活动的共同点是,都使用Angler来利用有漏洞的、与浏览器相关的应用程序,并传递含有CryptXXX和点击欺诈恶意软件的下载器Bedep。CryptXXX手段尤其低劣,因为在初始感染后不久,它就会加密本地文件,还会加密所有的随机附赠内存。除了加密本地文件之外,这种恶意软件也有其他的功能,例如,它会拷贝一些关键性的文件,让受害者面临身份盗窃的风险,它还会窃取存储在本地硬盘上的比特币。

有人怀疑,这些攻击工具包的消失仅仅是因为可获得的利润有限。但现在,我们能享受这短暂的喘息的时间。Kafeine说“有些组织最近不太活跃, 我几乎已经看不到VirtualDonna了,SadClowns最近也很安静,还有其他两个组织也保持着沉默。”

文章原文链接:https://www.anquanke.com/post/id/84102