漏洞利用工具包在本质上是动态的,尤其是在其传送机制方面。他们的目标网页(即内容)经常被混淆和更改,以规避各种安全软件。但是,RIG 利用套件有一个不同的故事要讲。该工具包会先提供一个预登陆页面,然后再将最终的登陆页面加载到受害者的机器上。而且我们注意到,自2016年12月以来,此页面从未更改过-令人惊讶的事实!
包含预登陆页面的RIG 利用 Kit的典型感染链如下所示。
让我们看一看这样的预登陆页面。
登陆前页面
登陆前页面包含一个登陆页面URL,该URL加载RIG 利用登陆页面并利用受害者计算机浏览器中的漏洞。
RIG开发套件登陆页面URL
http:// acc [。] dognametags [。] org /?ie = UTF-16&sourceid=yandex&es_sm=104&q = znrQMvXcJwDQDoPGMvrESLtEMUnQA0KK2OH_766yEoH9JHT1vrPUSkrtt&aqs = yandex.120c96.406f0r4&oq = gWCel6CoPcuL7sBOwHhjUKILwJhno9cU19CpayqiUaDyR6Y1sLX-By9UTo
登陆前页面首先通过调用一个名为“ getBrowser”的功能来检查浏览器的版本,并检查浏览器是否容易受到攻击。找到易受攻击的浏览器后,它将向上述RIG 利用 Kit登陆页面URL发送POST请求。
自最近六个月以来,登陆前页面的上述结构未发生变化。
热门趋势
妥协指标
acc.dognametags [。] org
top.wildcoastcampinggear [。] com
see.smartpettags [。] org
vfv.chronic-organics [。] com
new.hayatgroup [。] net
new.wildcoastcampinggear [。] ca
dd.3dwtoledo [。] com
all.rebatebutton [。] com
在这种不断发展的威胁形势下,RIG 利用 Kit似乎并没有通过众所周知的机制进行可预测性困扰。我们建议用户保持Seqrite发布的最新更新。
没意见