Udnyttelsessæt er blevet indsat i masser af ransomware-kampagner i de sidste par år. Nogle udnyttelsessæt har en kort levetid, og andre, ligesom Magnitude EK, fortsætte med at udvikle sig og blive forbedret.
Faktisk, Størrelse EK er en af de længststående derude, bliver tilbudt i underjordiske fora siden 2013. I henhold til den seneste Kaspersky-analyse dedikeret til udnyttelsessættet, Magnitude har skiftet fokus for at distribuere ransomware specifikt til brugere fra Asien og Stillehavslandene, via metoden til malvertising.
Evolution of the Magnitude Exploit Kit
Ifølge forskerne, udnyttelsessættet understøttes aktivt og er konstant forbedret. En af de mest bemærkelsesværdige ændringer set i EK er beskæftigelsen af en nyere sårbarhed kendt som, CVE-2019-1367 i Internet Explorer. Denne særlige sårbarhed blev oprindeligt opdaget som en udnyttet nul-dag i naturen. Endvidere, Magnitures operatører bruger nu en tidligere ukendt forhøjelse af privilegietudnyttelse til CVE-2018-8641, der ser ud til at være udviklet af en produktiv forfatter, Siger Kaspersky.
Hvilke sårbarheder har Magnitude EK brugt?
Som de fleste tilgængelige udnyttelsessæt, i 2019 Størrelse EK anvendte primært CVE-2018-8174. Men, dets operatører var de første til at vedtage de meget nyere CVE-2019-1367 sårbarhed, og de har brugt det som deres primære udnyttelse siden februar 11, 2020, Kaspersky-noter. Angriberen brugte den oprindelige udnyttelse på nul dage og modificerede den bare med deres egen shellcode og tilsløring.
Hvad er CVE-2019-1367?
CVE-2019-1367 er en brugbar efter-fri sårbarhed på grund af, at en skraldesamler ikke sporer en værdi, der ikke var rodfæstet i den ældre JavaScript-motor, jscript.dll. Som standard, Internet Explorer 11 bruger Jscript9.dll, men det er stadig muligt at udføre scriptet ved hjælp af den gamle motor ved at aktivere kompatibilitetstilstand med Internet Explorer 7/8.
Fejlen kan tillade angribere at udføre angreb, med det formål at opnå adgang via et system. Sårbarheden er en scripting motor hukommelseskorruption problem, som blev opdaget af Clément Lecigne af Googles Threat Analysis Group.
Et angreb baseret på CVE-2019-1367 udnytte kunne iværksættes via e-mail (malspam) eller ved at narre brugeren til at besøge et skadeligt websted. Det skal nævnes, at den målrettede browser er Internet Explorer, som fortsat bruges af et stort userbase.
Størrelse EK mister sin egen ransomware nyttelast
En anden mærkelig kendsgerning om Magnitude er, at dens operatører bruger sin egen ransomware nyttelast i deres angreb. Denne ransomware leveres med en midlertidig krypteringsnøgle og en liste over domænenavne, som angriberen ofte ændrer. Victims filer er krypteret ved hjælp af Microsoft CryptoAPI samt Microsoft Enhanced RSA og AES Cryptographic Provider (PROV_RSA_AES).
Initialiseringsvektoren (IV) genereres pseudo tilfældigt for hver fil, og en 0x100 byte lang klods med krypteret IV føjes til slutningen af filen. Ransomware krypterer ikke filerne, der findes i almindelige mapper, såsom dokumenter og indstillinger, appdata, lokale indstillinger , prøve musik, tor browser, etc. Før kryptering, filtypenavne kontrolleres mod en hash-tabel med tilladte filtypenavne, der indeholder 715 poster.
Selvfølgelig, en løsepenge note slettes også i hver mappe med krypterede filer, og til sidst oprettes en notepad.exe-proces til at vise løsepunktsmeddelelsen. At skjule oprindelsen af den udførte proces, denne ransomware udsætter enten “wmic process call create” -teknikken eller “pcalua.exe –a… -c…”. Efter kryptering forsøger ransomware også at slette sikkerhedskopier af filerne ved hjælp af kommandoen “wmic shadowcopy delete” udført med en UAC-bypass, Kaspersky opdaget.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: