「流氓」廣告聯手新型漏洞攻擊，要搞事情？

說起惡意廣告，那就不得不提到一個詞「流氓」！雖然，惡意廣告已經成為當今犯罪組織首選的計算機劫持技術，看著還挺高大上。但它依然擺脫不了一個事實：其本質就是互聯網上用流氓軟體感染用戶電腦的廣告。小編作為深受流氓廣告坑害的資深用戶，下面要發表感言……（這處文字因「打碼」太多，省略1萬字）

近日，亞信安全網路監測實驗室發現：「流氓」廣告ProMediads又找到了一個新型漏洞攻擊套件，這是又要耍流氓的節奏。我們將這新漏洞攻擊套件稱為「Sundown Pirate」。

「流氓廣告」 ProMediads的攻擊變化

說起ProMediads早在2016年就開始活動，會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍，但在6月16日又通過Rig漏洞攻擊套件捲土重來。不過，我們注意到ProMediads惡意廣告活動在6月25日又不再使用Rig而改用Sundown-Pirate。

值得注意的是，迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件，就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

亞信安全網路監測實驗室分析和監測顯示，Sundown-Pirate借用了之前出現的Hunter和Terror漏洞攻擊套件的代碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的變種。

【ProMediads的後端控制台出現「PirateAds–Avalanche Group」的登錄提示】

【ProMediads惡意廣告示例】

ProMediads藉助Sundown-Pirate散布的病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件，讓受害者電腦感染各種惡意軟體。

• 在6月25日，Sundown-Pirate會植入Trojan SmokeLoader（TROJ_SMOKELOAD.A），它會安裝數據竊取殭屍網路感染病毒Zyklon（TSPY_ZYKLON.C）。

• 直到7月12日，這漏洞攻擊套件變成散播端點銷售（PoS）惡意軟體LockPOS。LockPOS因為Flokibot攻擊活動而知名，是另一個針對銷售端點/信用卡數據的惡意威脅。

• 我們還發現Sundown-Pirate散播的LockPOS帶有額外的數字貨幣採礦軟體CPUMiner-Multi。我們認為CPUMiner並不是想要針對PoS系統，而是利用LockPOS作為載體或管道來將中毒系統變成採礦機器。LockPOS會變成隱藏後門來從其C&C伺服器取得殭屍網路主人的其他命令。

• 在7月13日，Sundown-Pirate開始植入Stampado勒索病毒（RANSOM_STAMPADO.K）。

【Sundown-Pirate在2017年7月12日散播LockPOS】

【LockPOS下載CPUMiner並注入一個explorer程序】

Sundown-Pirate攻擊分析

Sundown-Pirate使用三個IE瀏覽器漏洞和一個Flash漏洞

• CVE-2013-2551，在2013年5月經由MS13-037修補

• CVE-2014-6332，在2014年11月經由MS14-064修補

• CVE-2016189，在2016年5月經由MS16-051修補

• CVE-2015-7645，Adobe在2015年10月經由APSA15-05修補

不幸中的萬幸是，漏洞越多，修補速度就越快。而這些漏洞攻擊就不會那麼高效，因為使用者和企業會格外注意這些安全隱患。這可以從近來漏洞攻擊套件下降得到證明，特別是較新漏洞的使用。

Chrome和Firefox瀏覽器對攻擊免疫

Flash在這些瀏覽器上預設停用，即使啟用，其安全機制仍然可以封鎖惡意內容，例如Firefox的Web應用程序界面（API）和保護模式以及Chrome的沙盒技術。

但Sundown-Pirate所帶來的大量惡意軟體仍然讓它具備相當的威脅性。漏洞攻擊套件比以往任何時候都更加凸顯出保持系統更新的重要。系統和網路仍然容易受到安全漏洞威脅（即便修補程序已經出現了很久），給不法分子更大的空窗期來進行攻擊。

建議安全專家和IT/系統管理員在企業系統和網路內加多一層安全防護。防火牆、入侵偵測和防禦系統、虛擬修補、網址分類和強制性的修補程序管理政策都是針對漏洞攻擊最佳實作的一部分。

亞信安全教你如何防護

漏洞攻擊套件會利用系統或軟體內的安全漏洞，這也是為什麼選取多層次安全防護相當重要。具備XGen端點安全防護的亞信安全防毒牆網路版（OfficeScan）具有漏洞防護功能，可以在修補程序部署前防護端點上已知和未知的漏洞攻擊。主要功能如下：

1、 有效防禦各種病毒、木馬、間諜軟體及其衍生的變種體，通過在 POP3 電子郵件和 Outlook 文件夾中掃描威脅來確保終端郵箱的安全；

2、 強化插件管理與事件數據整合，提升安全狀態的一體可視性，更快關聯威脅及響應安全事件；

3、 具備多重網路及系統通道監控，防止數據資料外泄；

4、 通過桌面虛擬化，自動識別客戶端在物理終端或虛擬終端的運行狀況，從而提供更好的防護目標。