拉斯维加斯- 今年早些时候,一个不满经销商泄露的源代码的RIG的2.0版本利用试剂盒。
此后,RIG的作者已经发布了3.0版本,这是最近由Trustwave研究人员发现。最新版本使用,以恶意广告提供其大部分流量,一些感染125万系统日期。
已经有过版本,包括更清洁的控制面板,导航更容易之间RIG做了一些显着的变化,变为由,帮助它避免检测试剂盒使用的URL结构和安全结构,防止未经授权的用户访问内部文件- 清楚地实施,以避免泄漏,如一个暴露的源代码的先前版本。
此外,有效载荷现在存储在数据库中。此前,该文件被存放在管理服务器上的文件夹中,但现在他们只能通过控制面板访问 - 防止在服务器上执行。
为了对付DDoS攻击,钻机笔者已经使用CloudFlare的服务,这有助于它尽管始终存在着进攻保持联机。
交通:
Trustwave研究人员观察到RIG 3.0的两个实例。根据他们的数据,该试剂盒已录得超过350万次,造成125万个成功的感染。
这创造了每天感染平均27000个系统,主要是由于的Adobe Flash数功勋由套件杠杆 - 包括文件的缓存中发现的功勋泄露黑客团队被攻破后,(CVE-2015-5119,CVE-2015-5122)。此外,RIG还利用CVE-2013至2551年和CVE-2014-6332的目标的Internet Explorer。当谈到受害者,越南,其次是印度尼西亚,泰国,巴西和土耳其都在研究人员观察到的攻击行动套件是当时最感染的位置。
通过RIG 3.0所使用的基础设施类似于用什么以前的版本,但试剂盒所做的更改已经影响检测。因为人们发现,许多厂商没有标志使用的URL通过利用递送服务器。
恶意广告:
在观察的情况下,研究人员确定了流量的近70%被传递到RIG可以直接链接到一些恶意广告活动。
Arseny莱,在Trustwave首席安全研究员,他说,许多恶意广告运行的是从一些小的广告网络,这在当时完全不知道他们正在使用的犯罪分子上演。
“犯罪分子将寻找最廉价的广告商,他们可以将他们的恶意广告,把廉价的交通到使用漏洞利用工具包的感染。对于criminal-这些感染他们的利润是很有意义的,在财务上,去到最低广告商环比有所下降,”他说。
其中一个受害者广告网络是buy-targeted-traffic.com,让客户谁是他们的广告将显示,包括浏览器类型,地理位置,操作系统类型和更多的选择性靶向。由于RIG只针对Internet Explorer用户,这个功能是完美的恶意广告运行,因为它使受害者筛选。
最低只要0.20美分,钻机客户可以在中低端的网站购买千所广告展示,提供稳定的流量,该雷达下运行。
“据引荐[由套件注册],许多大型网站被以恶意广告活动,以重定向访问者到RIG滥用攻击工具包,其中包括大型新闻网站,投资咨询公司,IT解决方案提供等,都在排名Alexa’s top 3000," Levin在博客中解释。
较大的网站被竞选尽管有与受虐广告网络没有直接的关系圈套。这是由于广告是如何工作招投标,莱文说。
“当大量合法的广告网络中没有一个高端的广告来显示,它变成谁更低的价格提供广告,在这些低价格范围攻击包如RIG可以找到相当低的价格命中分支机构。”
大鱼在一个大池塘:
一边看RIG服务器上的有效的广告活动中,研究人员发现,只有一名顾客占了观察到的感染的70%以上。该客户通过提供Tofsee垃圾邮件机器人跃升至榜首。
Tofsee的客户所使用的变体试图发送每日1万封电子邮件从一个受感染的系统,但只有其中约2000被实际发送。捣弄数字,蜘蛛实验室的研究人员确定客户是保守每月收入$ 60,000到$ 100,000美元。
“平均8万美金的是不是太从各方面来说寒酸了吧?也就是说,如果你不介意成为一个罪犯,”莱文说。
RIG和开发套件享有刑事市场人气的持续存在证明,只要有愿意的客户,这交钥匙业务将继续蓬勃发展。
“看来,漏洞利用工具包,很像神话中的九头蛇,只是继续回来。斩去一个头仅仅增长两个新来取代它。他们正变得越来越精确,更复杂的,最糟糕的是,更广泛,”莱文结论。
这个故事,“最新RIG漏洞套件恶意广告驱动的”最初发表CSO 。