聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
Palo Alto Networks 公司的 Unit 42 发布新报告指出,美国仍然托管着最多的带来 web 威胁的恶意域名,也是最主要的利用包传播来源。
数据分析显示,托管恶意 URL 最多且传播利用包最多的国家是俄罗斯、中国、荷兰、澳大利亚和美国。研究披露称,美国托管的恶意域名的数量在今年第二季度下降为248个,第一季度的数量为257个。
第二季度,荷兰托管的恶意域名数量比第一季度翻了一番还多,而其余四个国家的恶意域名数量有所下降。下降最明显的国家是中国,数量下降到只有2个,而第一季度是106个。俄罗斯也下降到2个,而此前为20个。
利用包情况
今年第二季度,只有四个利用包呈活跃状态:KaiXin、Grandsoft、Sundown 和 RIG。
美国仍然是利用包传播最多的国家,传播的主要是 Grandsoft、Sundown 和 RIG,而 KaiXin 退居二线。KaiXin 攻击的是一个存在4年之久的漏洞 (CVE-2014-6332),它在亚洲更为流行,似乎主导着亚洲,尤其是中国的大陆和中国香港地区。
在俄罗斯,传播的利用包仅限于 Grandsoft、Sundown 和 RIG。
老旧漏洞仍然奏效
网络犯罪分子对于利用的漏洞并不十分挑剔,只要能影响大量电脑即可。
研究显示,利用包仍然依赖于9年多以前发现的 bug。例如,CVE-2008-4844 和CVE-2009-0075 的利用代码影响的是 IE 5、6和7,它仍然适用于约50个恶意 URL。
其它的例子包括 OLE 自动化漏洞 (CVE-2014-6332)、Adobe Reader 中的代码执行漏洞 (CVE-2015-5122) 和影响微软 VBscript 的脚本语言缺陷 (CVE-2016-0189),最后一个是这季度被利用最多的漏洞。
利用工具包中最新的安全漏洞是 CVE-2018-8174,它是存在于 VBscript 中的代码执行漏洞即“双杀”,它曾被 Darkhotel APT 用于 0day 攻击活动中。微软在5月份修复了该漏洞,但一旦 PoC 代码公布,它马上就会被集成到 RIG 利用包中。
报告指出,“在漏洞领域,我们看到了非常明显的一致性,本季度遭利用的漏洞和第一季度遭利用的漏洞非常相似。本季度值得注意的一个漏洞的特点是,它曾被用于 0day 攻击中。”
关联阅读
原文链接
https://www.bleepingcomputer.com/news/security/usa-is-the-top-country-for-hosting-malicious-domains-according-to-report/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。