Exploitkits zijn de afgelopen jaren in tal van ransomwarecampagnes ingezet. Sommige exploitkits hebben een korte levensduur, en anderen, zoals Magnitude EK, blijven evolueren en worden verbeterd.
In feite, Magnitude EK is een van de langst bestaande die er is, sindsdien aangeboden in ondergrondse fora 2013. Volgens de laatste Kaspersky-analyse gewijd aan de exploitkit, Magnitude heeft haar focus verlegd om ransomware specifiek te distribueren naar gebruikers uit landen in Azië-Pacific, via de methode van malvertising.
Evolutie van de Magnitude Exploit Kit
Volgens de onderzoekers, de exploitkit wordt actief ondersteund en is voortdurend verbeterd. Een van de meest opvallende veranderingen in de EK is het gebruik van een recentere kwetsbaarheid die bekend staat als, CVE-2019-1367 in Internet Explorer. Deze specifieke kwetsbaarheid werd oorspronkelijk ontdekt als een misbruikte zero-day in het wild. Bovendien, De operators van Magniture gebruiken nu een voorheen onbekende misbruik van misbruik van bevoegdheden voor CVE-2018-8641, die lijkt te zijn ontwikkeld door een productieve exploit-schrijver, Zegt Kaspersky.
Welke kwetsbaarheden heeft Magnitude EK gebruikt?
Zoals de meeste beschikbare exploitkits, in 2019 Magnitude EK gebruikte voornamelijk CVE-2018-8174. Echter, de operators waren de eersten die de veel nieuwere adopteerden CVE-2019-1367 kwetsbaarheid, en ze gebruiken het sinds februari als hun belangrijkste exploit 11, 2020, Kaspersky merkt op. De aanvallers hergebruikten de oorspronkelijke zero-day-exploit en pasten deze alleen aan met hun eigen shellcode en verduistering.
Wat is CVE-2019-1367?
CVE-2019-1367 is een Use-After-Free-kwetsbaarheid omdat een garbage collector een waarde niet bijhoudt die niet is geroot in de oude JavaScript-engine jscript.dll. Standaard, Internet Explorer 11 gebruikt Jscript9.dll, maar het is nog steeds mogelijk om het script uit te voeren met de verouderde engine door de compatibiliteitsmodus met Internet Explorer in te schakelen 7/8.
De bug waardoor aanvallers op afstand aanvallen uit te voeren met het oog op het verkrijgen van toegang tot meer dan een systeem. De kwetsbaarheid is een scripting engine poolbeschadiging, die werd ontdekt door Clément Lecigne van Google's Threat Analysis Group.
Een aanval op basis van de CVE-2019-1367 exploit kan worden gestart via e-mail (malspam) of door tricking de gebruiker in een bezoek aan een kwaadwillig vervaardigde website. Hierbij moet worden vermeld dat de gerichte browser is Internet Explorer, dat beheerst blijft door een groot userbase.
Magnitude EK laat zijn eigen ransomware-lading vallen
Een ander merkwaardig feit over Magnitude is dat de operators hun eigen ransomware-payload gebruiken bij hun aanvallen. Deze ransomware wordt geleverd met een tijdelijke coderingssleutel en een lijst met domeinnamen die de aanvallers regelmatig wijzigen. Slachtofferbestanden worden versleuteld met Microsoft CryptoAPI en Microsoft Enhanced RSA en AES Cryptographic Provider (PROV_RSA_AES).
De initialisatievector (IV) wordt pseudo willekeurig gegenereerd voor elk bestand en een 0x100 byte lange blob met gecodeerde IV wordt toegevoegd aan het einde van het bestand. De ransomware versleutelt de bestanden in algemene mappen zoals documenten en instellingen niet, app data, lokale instellingen, voorbeeldmuziek, tor browser, etc. voordat encryptie, de bestandsextensies worden vergeleken met een hashtabel met toegestane bestandsextensies die bevat 715 entries.
Natuurlijk, in elke map met versleutelde bestanden wordt ook een losgeldbrief neergezet en aan het einde wordt een notepad.exe-proces gemaakt om de losgeldbrief weer te geven. De oorsprong van het uitgevoerde proces verbergen, deze ransomware gebruikt ofwel de techniek "wmic process call create" of "pcalua.exe –a… -c…". Na versleuteling probeert de ransomware ook back-ups van de bestanden te verwijderen met behulp van de opdracht "wmic shadowcopy delete" uitgevoerd met een UAC-bypass, Ontdekte Kaspersky.