Moćni hakerski alati - exploit kits

Opisi virusa, 14.02.2011, 03:49 AM

Moćni hakerski alati - exploit kits

Exploit kits (vidi u Rečniku: exploit) su paketi zlonamernih programa koji se uglavnom koriste za izvođenje “drive-by” napada sa ciljem širenja malicioznih programa. Ovi kompleti se prodaju na crnom tržištu gde se njihova cena kreće od nekoliko stotina do preko hiljadu dolara. Danas je uobičajeno i iznajmljivanje hostovanih exploit kompleta. Reč je, dakle, o konkurentnom tržištu sa mnogo igrača i mnogo autora zlonamernih programa.

Kada se pojavio pre nekoliko godina, MPack je bio jedan od prvih primera ovakve vrste “alata”. Ubrzo su se pojavili ICE-Pack, Fire-Pack i mnogi drugi. Danas su dobro poznati exploit kompleti na primer, Eleonore, YES Exploit Pack i Crimepack.

Exploit paketi - statistikički podaci

Šta je ono što jedan komplet zlonamernih programa, kit, čini uspešnim? Koji je ključni razlog njegove popularnosti? Najpre, pogledajmo evoluciju različitih exploit kompleta koji su otkriveni još u januaru 2009. godine.

новое окно

Prvo što upada u oči su različiti modeli distribucije različitih exploit kompleta. Glavni igrači su Phoenix i Eleonore, koje u stopu prati Neosploit. Grafikon ispod pokazuje Top 5 exploit kompleta svih vremena:

Iako tri vodeća exploit kompleta i dalje opstaju na listi najpopularnijih, vidimo da se pojavljuju i novi kompleti alata. Pogledajmo listu pet prvoplasiranih exploit kompleta tokom proteklih 6 meseci:

Kao što se može videti na slici iznad, pojavljuju se novi igrači - SEO Sploit Pack i Crimepack.

Pogledajmo sada ranjivosti u programima koje ovi exploit kompleti iskorišćavaju:

новое окно

Ranjivosti u Internet Explorer, PDF i Java zbirno čine 66% ranjivosti u programima koje ciljaju najpopularniji exploit kompleti. Koliko su stare ove ranjivosti? Grafikon na slici ispod pokazuje raspored ranjivosti po godinama kada su otkrivene i prijavljene:

Većina ranjivosti koje se iskorišćavaju su stare i sve one su ispravljene objavljivanim zakrpama (vidi u Rečniku: patch). Bez obzira na to, uspešno se nastavlja njihovo iskorišćavanje.

Interesantno je napomenuti da je stopa ponovljenog korišćenja ranjivosti 41% (iste ranjivosti koriste različiti exploit paketi).

I najzad, koji je uzrok povećane popularnosti Crimepack i SEO Sploit Pack tokom proteklih nekoliko meseci? Naravno, može biti mnogo razloga za to, a sposobnost iskorišćavanja je izvesno jedna od njih.

Pogledajmo koji su drugi mogući uzroci:

Noviji exploiti

Ukoliko uporedimo procenat distribucije korišćenih ranjivosti prema godini objavljivanja (ranjivosti) sa vodećih pet exploit kompleta, videćemo da i Crimepack i SEO Sploit Pack koriste novije exploite.

новое окно

Najpopularnije mete među programima

новое окно

Ponovo se PDF, Internet Explorer i Java nalaze među prvoplasiranom trojkom, ali u ovom slučaju, njihov zbirni procenat čini 75% svih iskorišćavanih programskih ranjivosti. To znači da exploit kompleti koriste slabosti najpopularnijih programa koje pronađu na pogođenom sistemu.

Exploit paketi - pogled izbliza

Da bismo dobili rezultate o kojima ćemo govoriti u nastavku teksta, analizirali smo nekoliko exploit kompleta i verzija istih. Tom prilikom obrađeno je 16 hiljada fajlova.

Prikaz podataka i dizajn

Da bi integrisali exploite, kompleti imaju interfejs koji pruža mogućnost sajber-kriminalcima da imaju uvid u statističke podatke koji se odnose na korišćeni expolit komplet.


Strana za prijavljivanje za Crimepack

новое окно
Pregled statistike za Eleonore

новое окно
Pregled statistike za BlackHole

Tokom analize fajlova, otkrili smo različite imdž fajlove koji se, uopšteno govoreći, mogu svrstati u GIF fajlove (stariji format) i PNG (fajlove noviji format). Popularniji kompleti sadrže veće slike, na primer, YES exploit komplet, Crimepack, MySploitsKit i Fragus. Vreme nastanka izgleda nema uticaja. Jedan od najstarijih kompleta, Mpack, sadrži veoma male slike, dok ICE-Pack (2007) i Siberia (2009) imaju mnogo veće slike.

Kvalitet prikaza podataka i dizajna svakog exploit kompleta zavisi od toga koliko je napora u taj segment razvoja uložio autor exploit kompleta. Za Eleonore exploit kit je korišćen besplatni CSS-template, dok su autori ostali koristili svoje sopstvene.

Poreklo, krađa i kopiranje

Analizirajući fajlove došli smo do zanimljivih statističkih podataka. Tokom analize, upoređivali smo fajlove što se pokazalo korisnim kada je reč o istoj porodici exploit paketa jer se na taj način mogu pratiti promene u raličitim verzijama istog kompleta i saznati više o njegovoj evoluciji. Takođe smo upoređivali sve fajlove različitih exploit paketa kako bi smo identifikovali bilo kakve sličnosti između njih, za koje se ispostavilo da zaista postoje, kao što pokazuje dijagram ispod (za uvećani prikaz klikni na sliku):

новое окно

Lako se može uočiti koji exploit komplet koristi kod drugog kompleta ili koji je komplet uticao na neki drugi exploit komplet. Ovo posebno važi za Phoenix Exploit Kit, koji koristi mnogo toga što pripada znatno starijim Fire-Pack i ICE-Pack kompletima. FirePackLite i BleedingLife takođe imaju mnogo toga sličnog. Samo SEO Sploit Pack i ElFiesta imaju ekskluzivne veze jedan sa drugim. Svi ostali imaju sličnosti sa više različitih kompleta.

новое окно

Zaključak



Na kraju - sve se vrti oko novca, uvek je reč o tome, kao što pokazuju fotografije koje su napravili tvorci exploit kompleta BlackHole. Ako exploit komplet postane popularan, njegov kreator će zarađivati više zbog povećane prodaje.

Postoji jedna stvar koju exploit komplet moraju da ponude kupcima kako bi se izborili sa konkurencijom na tržištu: visoku stopu infekcije. Zato pridošlice među explot kompletima često koriste postojeće, oprobane metode, i ovo je možda dobro objašnjenje zbog čega ima toliko sličnosti među exploit kompletima.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver za Windows, nazvan MosaicLoader, širi se po celom svetu, kao platforma za isporuku malvera koja se koristi za infekciju računara žrtava... Dalje

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Istraživači kompanije Avast upozorili su na piratske verzije popularnih igara u koje je ubačen malver Crackonosh. Crackonosh nije novi malver. On j... Dalje

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje