×

警惕Neutrino EK攻击
  

深信服安全产品研发 4536

{{ttag.title}}
本帖最后由 某公司安全产品研发 于 2016-8-10 14:56 编辑

作者简介:小黑,千里目安全实验室团队成员。
关注微信,掌握千里目安全实验室最新技术动态

警惕Neutrino EK攻击

作为一款操作简单、功能强大的黑客攻击工具包,最新各大攻击事件中几乎都能看到Neutrino Exploit kit的身影。该工具包集成了包括最新的IE漏洞以及Flash漏洞在内的大量漏洞利用工具,并且成为最新勒索软件的主要传播途径,已经取代Angler EK成为当前最流行的攻击工具包。

千里百科
EK(Exploit Kit)指攻击工具包,包含多种漏洞利用载荷,用于传播病毒、木马、勒索软件等恶意软件,比较知名的有Angler EK,Neutrino EK,RIG EK等。
自6月份以来,Angler逐渐消失踪迹,而Neutrino取代其位置成为当前最活跃的EK。该工具包使用简单,即使安全经验以及编程经验并不充分的人员,也能轻松上手,实现自己的攻击目标。

(1) 用户使用存在漏洞的浏览器访问受害网站;

(2) 受害服务器将用户信息发送给Neutrino后台服务器;

(3) Neutrino后台服务器验证用户IP、地理位置等信息,并生成恶意JS脚本,以及通过DGA生成Neutrino EK服务地址,最后通过受害服务器将这些恶意信息返回给用户浏览器。

(4) 用户浏览器执行恶意JS脚本,该脚本会检查用户系统信息,判断是否存在可利用漏洞,若存在,JS脚本执行一个IFRAME标签;

(5) 通过IFRAME标签向(3)中生成的Neutrino服务地址发送请求;

(6) 上述请求域名的DNS解析服务由攻击者控制的DNS服务器来完成;

(7) 用户浏览器下载攻击负载,如针对FLASH漏洞的SWF文件等;

(8) 攻击负载完成漏洞利用,控制用户主机;

(9) 漏洞利用完成后,下载恶意软件并执行;

(10) 如有需要,恶意软件C&C通过控制命令完成后续操作。

攻击事件
Ø 勒索软件
继Angler EK后,Neutrino EK已经成为当下勒索软件的主要传播途径之一。恶意软件分析网站 www.malware-traffic-analysis.net 共享信息显示,自7月份以来,Cerber, CryptMIC, Locky, CryptXXX, Bandarchor等勒索软件都借助Neutrino实施攻击。
Ø Flash漏洞
Flash漏洞也是Neutrino攻击的主要目标,例如最新Flash漏洞CVE-2016-4117已经被Neutrino利用实施攻击。

Ø IE漏洞
Neutrino已经集成IE最新漏洞CVE-2016-0189,可直接对用户浏览器实施攻击。

Ø 恶意广告
根据malwarebytes分析,Neutrino已经取代Angler成为主要的恶意广告攻击方式,6月份Yahoo便遭到Neutrino恶意广告攻击。

安全建议
Neutrino一直在持续不断的集成已知漏洞以及0day漏洞利用方式,作为载体传播不同类型的恶意软件,用户应提高安全意识防止被攻击:

(1) 及时更新系统以及应用程序,已知漏洞及时打上补丁;

(2) 开启防火墙防御;

(3) 安装反病毒软件。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_小云 发表于 2016-8-12 09:54
  
好帖顶起!
千里目_小齐子 发表于 2016-8-19 11:03
  
这款集成的黑客工具好厉害
一个无趣的人 发表于 2019-12-15 18:19
  
很有营养的技术贴,我想知道的是楼主能不能分享一下工具。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
每日一问
干货满满
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
功能体验
通用技术
秒懂零信任
安装部署配置
原创分享
技术晨报
自助服务平台操作指引
每周精选
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人