当前最活跃的Exploit Kit(漏洞利用工具包)—RIG


E安全9月28日讯,Exploit Kit市场风云变幻。据多个来源指出,Neutrino Exploit Kit的活动正减少,其地位被RIG取代。

Heimdal Security先前发现RIG活跃度增强;思科Talos协助打压大规模使用Neutrino exploit kit的恶意广告活动,给RIG留下一个巨大填充缺口。

安全公司Malwarebytes的Jerome Segura指出, 6月,Angler exploit kit销声匿迹之后,Neutrino EK因凭借顶级恶意软件和恶意广告活动占领领先地位。但自那时起,市场开始出现动摇, RIG EK在被攻击网站的数起高容量攻击上取代Neutrino EK。”

RIG吸收Neutrino客户和技术技巧

Segura指出,然而,RIG并不仅仅取代了Neutrino恶意广告活动,RIG还吸收了Neutrino的一些源代码。

Segura解释道,Neutrino历来使用wscript.exe进程漏斗式利用用户的计算机。Segura将其描述为“Neutrino的商标”,只有该exploit kit利用了这种进程。

9月初,当Neutrino的活动频率开始降低,RIG便开始使用wscript.exe进程,取代在此之前使用的iexplore.exe进程。

另外,同时,通过RIG EK服务的恶意广告活动开始部署CryptMIC勒索软件,而CryptMIC整个夏季只通过Neutrino部署。

RIG一跃成为Exploit Kit市场领先者

所有迹象都表明Exploit Kit市场的领先地位发生变化。Neutrino也许并未退出市场,但思科与GoDaddy联合打击多个恶意广告活动,这似乎影响了Neutrino的客户。继而客户似乎丧失了对Neutrino的信任,从而转向RIG。

最近Digital Shadows的报告显示,Exploit Kit市场竞争并不激烈,恶意软件分销商的选择空间并不是很多。

2016年,只有7个Exploit Kit活跃于该市场,但其中2个已经退出市场(Angler和Nuclear),目前的市场幸存者为RIG、 Neutrino、 Magnitude、 Sundown和 Hunter。

恶意软件流量分析等网站的信息也支持Malwarebytes和Heimdal的结论,9月,RIG独霸恶意广告市场。

E安全注:本文系E安全独家编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。