Es ist ein Geheimnis niemandem (in der infosec Welt) dass das Kit Markt ausnutzen wurde, um die aktuellen Bedürfnisse der Malware-Verbreiter gerecht zu werden neu geordnet.
mehrere Wochen Erst vor, es war eine bemerkenswerte Malvertising Vorfall auf der beliebten Website answers.com, die über hat 2 Millionen Besucher täglich. Das Szenario war sehr ähnlich sowohl Angler und Neutrino, aber es war in der Tat RIG die Arbeit macht. Es verwendet, um die Domain-Shadowing-Technik und das HTTPS offen Redirector von Rocket Fuel.
Der Forscher hinter Malware Sie nicht Bedarfs-Kaffee (MDNC) ein Mitte August Übergang von vielen bösartigen Operationen in Richtung der RIG beobachteten Exploit-Kit. Die Kampagnen wurden mehr geo orientierte Banking-Trojaner zu verteilen und weniger CryptXXX Ransomware. Während seiner Untersuchungen, MDNC stieß auch auf ein (gegebenenfalls) neue Exploit-Kit.
MDNC war "versuchen, diese Bewegung zu verstehen,", die ganze Zeit das Vorhandensein eines internen TDS Verdacht (Verkehr Distribution System) innen RIG Exploit Kit, ein Verdacht, der später bestätigt wurde.
Diese Besonderheit wird angenommen, dass zunächst in der EK-Markt mit Blackhole zu haben schien, und es verschwand mit Kern- und Angler.
Was ist die TDS alle über verfügen?
Die TDS-Funktion ermöglicht das Kit Betreiber ausnutzen mehrere Nutzlasten zu einem einzigartigen Thread zu befestigen. Es ist in der Tat ein Schlüsselmerkmal zu einer Nutzlast Verkäufer. Weiter, die Nutzlast wird auf die GEO und OS-Einstellungen des Ziels angepasst. Jedoch, es ist die Bedingung, dass "Sie müssen eine pro Nutzlast Gewinde Exploit Kit erstellen, ein externes TDS (wie Keitaro / Sutra / BlackHat TDS / SimpleTDS / BossTDS, etc…) und von diesem TDS, Punkt um den Verkehr zu den richtigen Kit Gewinde Exploit (oder, wenn Sie kaufen Verkehr, informieren Sie Ihren Traffic-Provider, wo der Verkehr für jedes Zielland zu schicken)".
Schließlich, viele Malware-dropping Operationen geschaltet RIG. Gegen Ende September, 2016, die Neutrino Anzeigen und Banner aus dem Untergrund-Foren verschwunden.
Gibt es eine neue Exploit-Kit in diesem Moment geformt ist,?
Nachdem alle Änderungen in der EK-Markt im Auge, vielleicht ist es kein Zufall, dass ein neuer Exploit-Kit zur Zeit in den U-Bahn-Foren diskutiert wird - Empire-Pack. Diese Diskussionen sind gehalten privat und die EK ist nicht öffentlich (noch?).
Die Schnittstelle, wie bereits von MDNC, sehr vertraut ist und Hinweise auf RIG. Der Forscher spekuliert, dass das Empire-Pack Start könnte auf die erste Welle von RIG-angetriebenen Angriffe zusammenhängen. Vielleicht ist das Empire-Pack eine RIG-Instanz von einem Wiederverkäufer / Nutzlast Verkäufer verwaltet?
Für die vollständigen technischen Informationen, Sprung zum Original Forschung.