Adobe 0day漏洞导致1800个域名被控制

思科安全研究人员Nick Biasini在博文中指出，Adobe Flash Player的0day漏洞导致1800个域名被控制。全文如下：

1月7日，Talos的研究人员发现一种新的Angler Exploit Kit恶意活动正在利用与CVE-2015-0311相关的新变种。我们的遥测数据显示，恶意活动从1月26日一直持续到1月30日，并且大多数活动发生在1月28日及29日。

研究人员在引用一个发送最新Flash的0day漏洞（CVE-2015-0311）Known hash时检测到这个新型恶意活动。在调查过程中发现，为避免被检测到，它使用了几个子域名层。在写本博文时，已发现由1800个子域名被以下IP地址所使用：

85.25.107.126

207.182.149.14

178.32.131.248

178.32.131.185

85.25.107.127

这些域名与登录页面及漏洞利用有关。并没有发现有实际的根域名被攻陷或者被合法地注册到owner名下。看起来威胁发动者似乎已经设法攻陷了一大批注册账户并且已经建立了子域名（即acfbbfhdahfeh.legitdomain.info）。这些域名已经够多了，导致有些域名仅在被丢弃之前见过一次。多数被攻陷的域名是通过GoDaddy注册的，并且超过50个账户已被攻陷。许多账户控制了多个域名，其中有些控制的独立域名超过45个。以下样本显示了被注册到一个单独域名的一小部分子域名都被解析为一个单独的IP地址。

再进一步看，这些威胁行动者利用这些子域名的另外一层作为初始的定向页面。我们的遥测数据指向这些子域名中的另外一个~650链接回一个单独的IP地址，176.103.144.48。主要的分布方法是投放恶意广告，并将恶意广告指向被攻陷的子域名起始层。这些站点随后被重新定向至另外一个提供登录页面及漏洞利用的子域名。这些威胁发动者已对Adobe Flash以及Silverlight的漏洞展开攻击。详情如下：

利用详情

被利用的漏洞是对已知以及现有漏洞新变体的结合。第一个也是最常见的漏洞示例：

SHA256: 56f61bd84f6851dcd749c95ebcbc94b7814bedb12ae72db776e3c27d4be43ef8

它是Angler Exploit Kit中发布最广泛的Flash 0day漏洞版本。第二组样例基于Silverlight，它是Angler EK的一部分，就像Talos先前讨论过的那样。

SHA256: ca0cd15e28620dcb1b2fb5d29fb6daaa88346d8775139607bd9d2f583415e7b8

还有额外一组哈希，它们是CVE-2015-0311的所有变体但目前的检测率很低（约为1/57-3/57）。

SHA256: 6e2d96990f92864c81277ed3291d79c27e0c326df43eccb050058cc3b1705ade

SHA256: 003156c92d99aa8bca0f7bc443a03f32a8ce5e26e940f6681747abbc44e1409c

尽管杀毒检测率低，但思科AMP以及网络安全IDS & NGFW成功地检测并阻止了新变体以及旧样例。

IOC

IP 地址：

85.25.107.126

207.182.149.14

178.32.131.248

178.32.131.185

85.25.107.127

176.103.144.48

SHA256:

56f61bd84f6851dcd749c95ebcbc94b7814bedb12ae72db776e3c27d4be43ef8

6e2d96990f92864c81277ed3291d79c27e0c326df43eccb050058cc3b1705ade

003156c92d99aa8bca0f7bc443a03f32a8ce5e26e940f6681747abbc44e1409c

ca0cd15e28620dcb1b2fb5d29fb6daaa88346d8775139607bd9d2f583415e7b8

域名列表请见此处。

结论

这是Angler Exploit Kit如何将自己区别开来的另外一个例子。它一直在变化并且不断发展，不断在现有的漏洞利用上生成新变体并在最近的漏洞（CVE-2015-0311）上不断自定义化，以此来有效躲避有效检测。如果说2015年的第一个月是某种预示，对于Angler Exploit Kit而言，2015可能将是一个丰收年。

Snort规则：33271-33274，33286。请参见防御中心（Defense Center）获取最新列表。

保护用户免受威胁

高级恶意软件防御（AMP）是阻止恶意软件执行的理想选择。

CWS或者WSA网络扫描阻止对恶意网站的访问，包括下在攻击中对可下载恶意软件的下载。

IPS以及NGFW的网络安全防御拥有最新的签名来检测威胁发动者发起的恶意网络活动。

原文链接：http://blogs.cisco.com/talos/angler-variants