Ausnutzung von Schwachstellen
Capesand verwendet öffentliche Exploits und Tools
Die Sicherheitsforscher von Trend Micro haben kürzlich ein neues Exploit Kit namens Capesand entdeckt, das auf neuere Sicherheitslücken in Adobe Flash und Microsoft Internet Explorer (IE) zielt.
Save to Folio
Originalbeitrag von Elliot Cao, Joseph C. Chen, William Gamazo Sanchez
Die Sicherheitsforscher von Trend Micro haben kürzlich ein neues Exploit Kit namens Capesand entdeckt. Das Exploit Kit zielt auf neuere Sicherheitslücken in Adobe Flash und Microsoft Internet Explorer (IE). Die Recherche offenbarte auch den Missbrauch einer Sicherheitslücke für IE von 2015. Die kriminellen Hintermänner entwickeln das Kit ständig weiter und setzen Quellcode eines öffentlich gemachten Exploit Kit-Codes nochmals ein.
Mitte Oktober entdeckten die Forscher eine Malvertising-Kampagne, die das Rig Exploit Kit einsetzte und DarkRAT beziehungsweise njRAT Malware verbreitete. Zwei Wochen später stellten die Experten fest, dass das Malvertisement und die Umleitung nicht mehr durch das Rig Exploit Kit durchgeführt wurde, sondern von einem den Forschern nicht bekanntes Kit. Sie stießen auf ein Panel und dort auf Capesand, das den Quellcode für das Exploit Kit liefert.
Der Capesand-Code ist ziemlich einfach gehalten im Vergleich zu anderen Kits. Nahezu alle Funktionen verwenden quelloffenen Source Code wieder, so auch die Exploits, Verschleierung und Packing-Techniken. Es zeigt sich, dass Nutzer das Kit aktiv einsetzen, auch wenn es anscheinend noch nicht fertig ist. Das beobachtete Malvertisement wird vom Ad-Netzwerke direkt in den Browser des Opfers geliefert und gibt sich als Blog-Gespräch über Blockchain aus. Die Seite enthält einen versteckten iframe, über den das Exploit Kit geladen wird.
Die technischen Details dazu liefert der Originalbeitrag.
Fazit
Auch wenn die Malware bekannte Sicherheitslücken ausnutzt, so stellen die Malware-Autoren dennoch sicher, dass die Samples niedrige Erkennungsraten aufweisen. Auch sucht der Schädling nach installierten Antimalware-Produkten. Zudem wird die Architektur dahingehend weiterentwickelt, dass die bösartigen Landing Pages über gespiegelte Versionen einer legitimen Website verbreitet werden unter Domänennamen ähnlich den Originalen. Die Exploits werden als Service verbreitet, der über ein Remote API zugänglich ist – eine effiziente Methode, um die Exploits privat und über verschiedene Einsatzmechanismen wiederverwendbar zu halten.
Trend Micro-Lösungen
Trend Micro Endpoint-Lösungen wie Smart Protection Suites und Worry-Free™ Business Security können das Exploit Kit erkennen und blockieren, wie auch die zugehörigen bösartigen Domänen. Trend Micro™ Deep Security™-Kunden sind über folgende Regeln geschützt:
- 1009067 – Microsoft Windows VBScript Engine Remote Code Execution Vulnerability (CVE-2018-8174)
- 1009655 – Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2019-0752)
- 1008854 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2018-4878)
- 1009405 – Adobe Flash Player Use After Free Vulnerability (CVE-2018-15982)
- 1006868 – Microsoft Internet Explorer JScript9 Memory Corruption Vulnerability (CVE-2015-2419)