拉斯维加斯-今年早些时候,a不满的经销商泄露了钻机开发工具包2.0版本的源代码。
从那时起,钻机的作者发布了3.0版本,这是最近由Trustwave的研究人员发现的。最新版本使用了恶意广告来提供大部分流量,到目前为止感染了125万个系统。
有一些引人注目的变化之间的平台版本,包括清洁控制面板容易导航,更改URL结构使用的工具,帮助它避免检测和安全结构,防止未经身份验证的用户访问内部文件——显然实现避免泄漏等,暴露了以前版本的源代码。
此外,有效载荷现在存储在数据库中。以前,文件存储在管理服务器上的一个文件夹中,但现在只能通过控制面板访问它们——这阻止了在服务器上执行。
为了应对DDoS攻击,这位钻机作者开始使用CloudFlare服务,这帮助他在不断受到攻击的情况下仍能在线。
交通:
Trustwave的研究人员观察了两个钻机3.0的实例。根据他们的数据,该工具包记录了超过350万例感染,导致125万例成功感染。
这造成了平均每天2.7万个系统的感染,很大程度上是由于Adobe Flash利用的数量,包括在文件缓存中发现的漏洞在黑客团队被入侵后泄露(cve cve - 2015 - 5119 - 2015 - 5122)。此外,RIG还使用CVE-2013-2551和CVE-2014-6332来针对Internet Explorer。当谈到受害者时,越南,其次是印度尼西亚,泰国,巴西和土耳其是最受感染的地方,在研究人员观察开发工具包的行动。
钻机3.0使用的基础设施与以前版本使用的类似,但是对工具包所做的更改已经影响了检测。自从它被发现以来,许多供应商都有未能标记所使用的url利用传递服务器。
正如大家所知道的那样:
通过观察这些实例,研究人员确定,发送到RIG的流量中有近70%可能直接与一些恶意广告活动有关。
Trustwave首席安全研究员阿尔谢尼•莱文(Arseny Levin)表示,许多恶意广告是由一些规模较小的广告网络策划的,而这些网络当时并不知道它们正被犯罪分子利用。
“犯罪分子会寻找最便宜的广告提供商,在那里投放他们的恶意广告,然后利用开发工具包把这些廉价的流量变成传染病。”对罪犯来说,这些感染是他们的利润,所以从经济上讲,向产业链上最低的广告提供商求助是合理的。”
其中一个受害的广告网络是buy- targetedtraffic.com,它使客户能够选择性地确定他们的广告将显示给谁,包括浏览器类型、地理位置、操作系统类型等。由于RIG只针对Internet Explorer用户,这个功能非常适合恶意运行,因为它启用了受害者筛选功能。
只需0.20美分,RIG的客户就可以在低端网站上购买1000个广告印象,从而在不被察觉的情况下提供稳定的流量。
Levin说:“根据引介者(工具包注册的),许多大型网站被恶意宣传活动滥用,目的是将访问者重定向到钻机开发工具包,这些网站包括大型新闻网站,投资咨询公司,IT解决方案提供等,所有都在Alexa的前3000名中。在一篇博文中解释。
大型网站虽然与被滥用的广告网络没有直接关系,但还是被卷入了这场运动。莱文说,这是由于广告招标的工作方式。
“当一个大型的合法广告网络没有高端广告展示时,它就会转向提供较低价格广告的子公司,在这些低价范围内,RIG等开发工具可以找到相当低的价格。”
大池塘里的大鱼:
在观察钻机服务器上活跃的活动时,研究人员注意到,只有一个客户造成了超过70%的观察到的感染。这个客户通过发送Tofsee垃圾邮件机器人而跃居榜首。
客户使用的Tofsee变体试图通过一个受感染的系统每天发送100万封电子邮件,但实际发送的电子邮件只有大约2000封。经过计算,蜘蛛实验室的研究人员确定,客户的保守估计是每月6万到10万美元。
“平均8万美元,从各方面来看都不算太低了吧?”也就是说,如果你不介意成为一名罪犯的话。”莱文说。
钻塔的持续存在和开发工具在犯罪市场上的流行证明,只要有愿意的客户,这个交钥匙业务将继续繁荣。
似乎开发工具,就像神话中的九头蛇一样,不断地回来。砍掉一个脑袋只会长出两个新的脑袋。他们变得越来越精确,越来越复杂,最糟糕的是,越来越广泛。”莱文总结道。
这个故事,“最新的钻机开发工具包驱动的恶意广告”最初发表方案 。