サンダウンエクスプロイトキット 昨年9月の活発なマルバタイジングキャンペーンで検出されました. 当時, エクスプロイトキットはCryLockerランサムウェアを配信していました, RIGEKと一緒に. 不運にも, トレンドマイクロのセキュリティ研究者は、Sundownが最近更新されたことを発見しました。これは、ランサムウェアとマルウェア攻撃の増加が予想されることを意味します。. ハックツールの性質を考慮する, ランサムウェアとマルウェアの両方の配布に引き続き展開される可能性があります. 最新のキャンペーンで, 研究者は検出しました Chthonic オペレーションのペイロードであるバンキング型トロイの木馬.
関連している: LockyRansomwareがBizarroSundownエクスプロイトキットと提携
サンダウンエクスプロイトキット 最新のアクティビティが12月に検出されました 27, 2016, 攻撃者がPNG画像を使用して、収集した情報とエクスプロイトコードを保存した場所. ペイロードがCryLockerランサムウェアである9月の攻撃, PNGファイルは、収集されたユーザー情報をパックするためにも使用されました. その後、サイバー犯罪者が検出を回避できるように、画像がImgurアルバムにアップロードされました.
サンダウンエクスプロイトキットステガノグラフィ機能
トレンドマイクロの研究者は、エクスプロイトキットが最近ステガノグラフィ技術で更新されたと報告しています. 結果として, PNGファイルは、収集された情報を保存するだけでなく、エクスプロイトコードを隠すように設計されています。:
12月に 27, 2016, Sundownが同様の手法を使用するように更新されていることに気づきました. PNGファイルは、収集された情報を保存するためだけに使用されたわけではありません; マルウェア設計者は、ステガノグラフィを使用してエクスプロイトコードを非表示にしました.
とは ステガノグラフィ? これは、悪意のあるコードを画像に隠して署名ベースの検出をバイパスするために展開される高度な技術です。. これは、エクスプロイトキットに基づくマルバタイジング攻撃で見られる一般的な手法です。. GooNkyマルバタイジングキャンペーンは、トラフィックを隠すために複数の戦術を使用したため、良い例です。, 悪意のあるコードの一部を画像に移動して検出を回避するなど.
この新しいで サンダウンエクスプロイトキット たとえば、攻撃者は画像自体のデータを実際には隠していませんでした。ファイルの最後に悪意のあるコードを追加しました。, 研究者は説明します.
更新されたEKはで見られました マルバタイジング 日本でマルウェアを配布するキャンペーン, カナダ, とフランス, 日本のユーザーが 30 すべてのターゲットのパーセント. 下の画像を参照してください (トレンドマイクロ):
この更新されたバージョンでは, エクスプロイトキットの不正行為により、Sundownランディングページに自動的に接続する非表示のiframeが作成されます. このページは白いPNG画像を取得してダウンロードします.
CVE-2015-2419最新のSundownエクスプロイトキット攻撃で活用
研究者はまた、PNG画像内のエクスプロイトコードに、 CVE-2015-2419 脆弱性.
CVE-2015-2419 説明
JScript 9 MicrosoftInternetExplorerで 10 と 11 リモートの攻撃者が任意のコードを実行したり、サービス拒否を引き起こしたりできるようにします (メモリの破損) 細工されたウェブサイト経由, 別名 “JScript9メモリ破損の脆弱性。”
加えて, CVE-2016-4117のFlashエクスプロイトもエクスプロイトコードによって取得されました. ランディングページ自体には、別のInternetExplorerを標的とするエクスプロイトが含まれています (IE) 脆弱性, CVE-2016-0189, 研究者は注意する.
興味深いことに, 上記のエクスプロイトはすべてパッチが適用されており、他のエクスプロイトキット全体で使用されています。 2016.
関連している: 上 3 で使用される脆弱性 2016 エクスプロイトキット攻撃
サンダウンエクスプロイトキットおよびその他のEKに対する保護
エクスプロイトキットは、産業規模で使用されています. これらは、ユーザーのWebブラウザーをスキャンする自動化されたツールキットです。, 悪意のあるペイロードを配信する前に、活用する欠陥がないか分析します. つまり、ブラウザには常に完全なパッチを適用する必要があります。セキュリティ更新プログラムの重要性を推定しないでください。. ユーザーは、パッチがリリースされたらすぐに、すべてのソフトウェアのセキュリティ修正プログラムをインストールする必要があります.
パッチがまだリリースされていない場合, この脆弱性に依存する攻撃は、最新のマルウェア対策ソフトウェアによって引き続き回避できます。. このようなプログラムのほとんどは、欠陥を利用しようとするエクスプロイトを検出して傍受します.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: