本帖最后由 某公司安全产品研发 于 2016-8-10 14:56 编辑
作者简介:小黑,千里目安全实验室团队成员。 关注微信,掌握千里目安全实验室最新技术动态
警惕Neutrino EK攻击
作为一款操作简单、功能强大的黑客攻击工具包,最新各大攻击事件中几乎都能看到Neutrino Exploit kit的身影。该工具包集成了包括最新的IE漏洞以及Flash漏洞在内的大量漏洞利用工具,并且成为最新勒索软件的主要传播途径,已经取代Angler EK成为当前最流行的攻击工具包。
千里百科 EK(Exploit Kit)指攻击工具包,包含多种漏洞利用载荷,用于传播病毒、木马、勒索软件等恶意软件,比较知名的有Angler EK,Neutrino EK,RIG EK等。 自6月份以来,Angler逐渐消失踪迹,而Neutrino取代其位置成为当前最活跃的EK。该工具包使用简单,即使安全经验以及编程经验并不充分的人员,也能轻松上手,实现自己的攻击目标。
(1) 用户使用存在漏洞的浏览器访问受害网站;
(2) 受害服务器将用户信息发送给Neutrino后台服务器;
(3) Neutrino后台服务器验证用户IP、地理位置等信息,并生成恶意JS脚本,以及通过DGA生成Neutrino EK服务地址,最后通过受害服务器将这些恶意信息返回给用户浏览器。
(4) 用户浏览器执行恶意JS脚本,该脚本会检查用户系统信息,判断是否存在可利用漏洞,若存在,JS脚本执行一个IFRAME标签;
(5) 通过IFRAME标签向(3)中生成的Neutrino服务地址发送请求;
(6) 上述请求域名的DNS解析服务由攻击者控制的DNS服务器来完成;
(7) 用户浏览器下载攻击负载,如针对FLASH漏洞的SWF文件等;
(8) 攻击负载完成漏洞利用,控制用户主机;
(9) 漏洞利用完成后,下载恶意软件并执行;
(10) 如有需要,恶意软件C&C通过控制命令完成后续操作。
攻击事件 Ø 勒索软件 继Angler EK后,Neutrino EK已经成为当下勒索软件的主要传播途径之一。恶意软件分析网站 www.malware-traffic-analysis.net 共享信息显示,自7月份以来,Cerber, CryptMIC, Locky, CryptXXX, Bandarchor等勒索软件都借助Neutrino实施攻击。 Ø Flash漏洞 Flash漏洞也是Neutrino攻击的主要目标,例如最新Flash漏洞CVE-2016-4117已经被Neutrino利用实施攻击。
Ø IE漏洞 Neutrino已经集成IE最新漏洞CVE-2016-0189,可直接对用户浏览器实施攻击。
Ø 恶意广告 根据malwarebytes分析,Neutrino已经取代Angler成为主要的恶意广告攻击方式,6月份Yahoo便遭到Neutrino恶意广告攻击。
安全建议 Neutrino一直在持续不断的集成已知漏洞以及0day漏洞利用方式,作为载体传播不同类型的恶意软件,用户应提高安全意识防止被攻击:
(1) 及时更新系统以及应用程序,已知漏洞及时打上补丁;
(2) 开启防火墙防御;
(3) 安装反病毒软件。 | 
发表于 2016-8-10 14:56
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
好帖顶起!
工程师2级 
