Moćni hakerski alati - exploit kits

Opisi virusa, 14.02.2011, 03:49 AM

Exploit kits (vidi u Rečniku: exploit) su paketi zlonamernih programa koji se uglavnom koriste za izvođenje “drive-by” napada sa ciljem širenja malicioznih programa. Ovi kompleti se prodaju na crnom tržištu gde se njihova cena kreće od nekoliko stotina do preko hiljadu dolara. Danas je uobičajeno i iznajmljivanje hostovanih exploit kompleta. Reč je, dakle, o konkurentnom tržištu sa mnogo igrača i mnogo autora zlonamernih programa.

Kada se pojavio pre nekoliko godina, MPack je bio jedan od prvih primera ovakve vrste “alata”. Ubrzo su se pojavili ICE-Pack, Fire-Pack i mnogi drugi. Danas su dobro poznati exploit kompleti na primer, Eleonore, YES Exploit Pack i Crimepack.

Exploit paketi - statistikički podaci

Šta je ono što jedan komplet zlonamernih programa, kit, čini uspešnim? Koji je ključni razlog njegove popularnosti? Najpre, pogledajmo evoluciju različitih exploit kompleta koji su otkriveni još u januaru 2009. godine.

Prvo što upada u oči su različiti modeli distribucije različitih exploit kompleta. Glavni igrači su Phoenix i Eleonore, koje u stopu prati Neosploit. Grafikon ispod pokazuje Top 5 exploit kompleta svih vremena:

Iako tri vodeća exploit kompleta i dalje opstaju na listi najpopularnijih, vidimo da se pojavljuju i novi kompleti alata. Pogledajmo listu pet prvoplasiranih exploit kompleta tokom proteklih 6 meseci:

Kao što se može videti na slici iznad, pojavljuju se novi igrači - SEO Sploit Pack i Crimepack.

Pogledajmo sada ranjivosti u programima koje ovi exploit kompleti iskorišćavaju:

Ranjivosti u Internet Explorer, PDF i Java zbirno čine 66% ranjivosti u programima koje ciljaju najpopularniji exploit kompleti. Koliko su stare ove ranjivosti? Grafikon na slici ispod pokazuje raspored ranjivosti po godinama kada su otkrivene i prijavljene:

Većina ranjivosti koje se iskorišćavaju su stare i sve one su ispravljene objavljivanim zakrpama (vidi u Rečniku: patch). Bez obzira na to, uspešno se nastavlja njihovo iskorišćavanje.

Interesantno je napomenuti da je stopa ponovljenog korišćenja ranjivosti 41% (iste ranjivosti koriste različiti exploit paketi).

I najzad, koji je uzrok povećane popularnosti Crimepack i SEO Sploit Pack tokom proteklih nekoliko meseci? Naravno, može biti mnogo razloga za to, a sposobnost iskorišćavanja je izvesno jedna od njih.

Pogledajmo koji su drugi mogući uzroci:

Noviji exploiti

Ukoliko uporedimo procenat distribucije korišćenih ranjivosti prema godini objavljivanja (ranjivosti) sa vodećih pet exploit kompleta, videćemo da i Crimepack i SEO Sploit Pack koriste novije exploite.

Najpopularnije mete među programima

Ponovo se PDF, Internet Explorer i Java nalaze među prvoplasiranom trojkom, ali u ovom slučaju, njihov zbirni procenat čini 75% svih iskorišćavanih programskih ranjivosti. To znači da exploit kompleti koriste slabosti najpopularnijih programa koje pronađu na pogođenom sistemu.

Exploit paketi - pogled izbliza

Da bismo dobili rezultate o kojima ćemo govoriti u nastavku teksta, analizirali smo nekoliko exploit kompleta i verzija istih. Tom prilikom obrađeno je 16 hiljada fajlova.

Prikaz podataka i dizajn

Da bi integrisali exploite, kompleti imaju interfejs koji pruža mogućnost sajber-kriminalcima da imaju uvid u statističke podatke koji se odnose na korišćeni expolit komplet.

Strana za prijavljivanje za Crimepack

Pregled statistike za Eleonore

Pregled statistike za BlackHole

Tokom analize fajlova, otkrili smo različite imdž fajlove koji se, uopšteno govoreći, mogu svrstati u GIF fajlove (stariji format) i PNG (fajlove noviji format). Popularniji kompleti sadrže veće slike, na primer, YES exploit komplet, Crimepack, MySploitsKit i Fragus. Vreme nastanka izgleda nema uticaja. Jedan od najstarijih kompleta, Mpack, sadrži veoma male slike, dok ICE-Pack (2007) i Siberia (2009) imaju mnogo veće slike.

Kvalitet prikaza podataka i dizajna svakog exploit kompleta zavisi od toga koliko je napora u taj segment razvoja uložio autor exploit kompleta. Za Eleonore exploit kit je korišćen besplatni CSS-template, dok su autori ostali koristili svoje sopstvene.

Poreklo, krađa i kopiranje

Analizirajući fajlove došli smo do zanimljivih statističkih podataka. Tokom analize, upoređivali smo fajlove što se pokazalo korisnim kada je reč o istoj porodici exploit paketa jer se na taj način mogu pratiti promene u raličitim verzijama istog kompleta i saznati više o njegovoj evoluciji. Takođe smo upoređivali sve fajlove različitih exploit paketa kako bi smo identifikovali bilo kakve sličnosti između njih, za koje se ispostavilo da zaista postoje, kao što pokazuje dijagram ispod (za uvećani prikaz klikni na sliku):

Lako se može uočiti koji exploit komplet koristi kod drugog kompleta ili koji je komplet uticao na neki drugi exploit komplet. Ovo posebno važi za Phoenix Exploit Kit, koji koristi mnogo toga što pripada znatno starijim Fire-Pack i ICE-Pack kompletima. FirePackLite i BleedingLife takođe imaju mnogo toga sličnog. Samo SEO Sploit Pack i ElFiesta imaju ekskluzivne veze jedan sa drugim. Svi ostali imaju sličnosti sa više različitih kompleta.

Zaključak

Na kraju - sve se vrti oko novca, uvek je reč o tome, kao što pokazuju fotografije koje su napravili tvorci exploit kompleta BlackHole. Ako exploit komplet postane popularan, njegov kreator će zarađivati više zbog povećane prodaje.

Postoji jedna stvar koju exploit komplet moraju da ponude kupcima kako bi se izborili sa konkurencijom na tržištu: visoku stopu infekcije. Zato pridošlice među explot kompletima često koriste postojeće, oprobane metode, i ovo je možda dobro objašnjenje zbog čega ima toliko sličnosti među exploit kompletima.

Preuzeto sa