El kit de exploits más prolíficos es el RIG que ha llenado el vacío dejado por la salida de Angler, Neutrino y Nuclear
Los investigadores de Cisco Talos tienen la esperanza de arrojar nueva luz en el desarrollo continuo de la potente EK con la esperanza de neutralizar la amenaza RIG EK. Al igual que con la desintegración de cualquier EK, una de las claves para detener la tasa de infección es la determinación de las formas de transmisión y cómo eludir adversarios software de seguridad y dispositivo.
En un análisis profundo de RIG, el equipo de Cisco Talos describió recientemente en la red un único paquete de exploits. En pocas palabras, al igual que otros paquetes de exploits del equipo detrás de RIG están utilizando puertas para redirigir a sus víctimas a su paquete de exploits. Pero lo que hace única RIG, según los investigadores de Cisco Talos es la forma RIG combina diferentes tecnologías, tales como DoSWF, JavaScript, Flash y VBScript para ocultar el ataque.
Para empeorar las cosas, cada estrategia de ataque separada utiliza "cambio dinámico de codificación y encriptación para todos los archivos transmitidos. Cisco también revela que esta técnica asegura guiones aspecto diferente cada vez que se inicia una sesión de ataque. Esto, pueden no ser detectados por las coincidencias de cadena sencilla o valores hash".
El ataque RIG es una estrategia de ataque de tres puntas que aprovecha ya sea un ataque, basados en VBScript Flash, JavaScript, según sea necesario.
Con RIG, cuando se trata de la entrega de los archivos de malware ", el mismo archivo de malware a menudo se escribe y ejecuta varias veces en el PC de la víctima. Si un método no funciona o está bloqueado por una solución anti-malware, tienen un par de métodos de copia de seguridad. Todas las etapas y métodos se ofuscado, unos más, otros menos ", segun Cisco Talos.
En menor medida, otras campañas utilizan puertas, que estaban usando técnicas de publicidad maliciosa, redirigiendo el tráfico a la cadena de infección del adversario. Aquí las víctimas son canalizados ya sea en un ataque basado en VBScript JavaScript, Flash,. Al final, todas estas secuencias de comandos están descargando y ejecutar el mismo archivo de malware, que el exploit kit quiere instalar en la máquina de la víctima.
La primera etapa del ataque es dirigir el tráfico a un sitio web comprometido que se inicia la cadena de redirección. La página web comprometida carga un archivo malicioso Flash (SWF). A continuación, ese archivo Flash inserta uno o dos iFrames en el sitio comprometido. Ahora, el navegador de la víctima se redirige a través del marco flotante a la puerta.
"La puerta lo cual no es más que otra página web en otro servidor qué realiza algunas comprobaciones y redirige al usuario de nuevo, pero ahora a la página de aterrizaje kit de explotar - de nuevo otra página web en otro servidor".
"Por último, la página de destino del kit incluye tres variables JavaScript un JavaScript que carga un Flash (SWF) a explotar, una de VBScript con un exploit, y una tercera JavaScript que también contiene un exploit. "Se trata de una cadena de infección muy complejo, con todos estos pasos utilizando sus propias técnicas de ofuscación," dijo Unterbrink.
El archivo SWF está muy ofuscado por el software de protección comercial llamado DoSWF, un profesional encriptador Flash SWF. Este archivo Flash en sí, se crean dos iFrames maliciosos, de acuerdo con Talos, que se sirven en el interior de un sitio web malicioso. Uno se genera al instante, el otro se genera y se coloca en el sitio web de compromiso un poco más tarde después de un contador de tiempo en los primeros tiempos de archivo flash fuera.
Unterbrink dice que la razón de la demora temporizada no está clara, pero la teoría de que podría ser como un mecanismo de copia de seguridad si el primero falla compromiso.
A continuación redirige a la víctima a la pagina del kit del exploit RIG. Aquí navegador de la víctima se enfrenta a tres scripts incrustados ocultos dentro de las variables JavaScript correspondiente.
Una de las secuencias de comandos ocultos dentro de la página de destino RIG EK es un VBScript. "Después de un par de pruebas en el sistema de destino, (el VBScript) realiza la función DoMagic(), que descarga la carga principal de la campaña de malware, como ransomware utilizando la URL almacenada en el guión", de acuerdo con Talos.
Un segundo paso también está presente en la página de destino RIG EK que tiene la capacidad de insertos comentarios al azar como "/ * sw7586sdd * /" entre el código JavaScript utilizado, Talos señala. "Estos comentarios se cambian por sesión, lo que significa que el blob codificado base 64 se ve diferente en cada sesión,"
Este script ejecuta entonces otro archivo malicioso Flash (SWF) que está una vez más ofuscado por la herramienta DoSWF flash. Talos dice que está trabajando en-de ofuscar el código, pero por ahora afirma el código "parece ser un tipo de carga útil de código shell que consigue decodificado en tiempo de ejecución, combinada con otras cadenas almacenadas en el archivo SWF, y finalmente ejecutado por un exploit".
El archivo JavaScript que queda en la pagina del RIG exploit, de acuerdo con Talos, está explotando CVE-2013-2551 (aka MS13-037) para descargar e infectar a la víctima. MS13-037 es una vulnerabilidad que explota un desbordamiento de enteros en Internet Explorer, de acuerdo con un boletín de seguridad de Microsoft desde mayo de 2013.
"La vulnerabilidad en el manejo de la longitud de dashstyle.array formas VML en el módulo vgx.dll. El exploit ha sido construido y probado específicamente en contra de Windows 7 SP1 con Internet Explorer 8 ", de acuerdo a una descripción técnica de MS13-037 por Rapid7.
De acuerdo con Talos, MS13-037 incluye código que conduce a la víctima a una URL para descargar el malware EK final.
En las campañas seguidas por Cisco Talos para este informe, se dijo cargas útiles incluyen ransomware (principalmente CRYPTFILE2 e incluyendo Locky y CryptXXX), troyanos (Gamarue y Gootkit) y algunos ejecutables rotos, dijo Unterbrink.
