Moćni hakerski alati - exploit kits

Opisi virusa, 14.02.2011, 03:49 AM

Moćni hakerski alati - exploit kits

Exploit kits (vidi u Rečniku: exploit) su paketi zlonamernih programa koji se uglavnom koriste za izvođenje “drive-by” napada sa ciljem širenja malicioznih programa. Ovi kompleti se prodaju na crnom tržištu gde se njihova cena kreće od nekoliko stotina do preko hiljadu dolara. Danas je uobičajeno i iznajmljivanje hostovanih exploit kompleta. Reč je, dakle, o konkurentnom tržištu sa mnogo igrača i mnogo autora zlonamernih programa.

Kada se pojavio pre nekoliko godina, MPack je bio jedan od prvih primera ovakve vrste “alata”. Ubrzo su se pojavili ICE-Pack, Fire-Pack i mnogi drugi. Danas su dobro poznati exploit kompleti na primer, Eleonore, YES Exploit Pack i Crimepack.

Exploit paketi - statistikički podaci

Šta je ono što jedan komplet zlonamernih programa, kit, čini uspešnim? Koji je ključni razlog njegove popularnosti? Najpre, pogledajmo evoluciju različitih exploit kompleta koji su otkriveni još u januaru 2009. godine.

новое окно

Prvo što upada u oči su različiti modeli distribucije različitih exploit kompleta. Glavni igrači su Phoenix i Eleonore, koje u stopu prati Neosploit. Grafikon ispod pokazuje Top 5 exploit kompleta svih vremena:

Iako tri vodeća exploit kompleta i dalje opstaju na listi najpopularnijih, vidimo da se pojavljuju i novi kompleti alata. Pogledajmo listu pet prvoplasiranih exploit kompleta tokom proteklih 6 meseci:

Kao što se može videti na slici iznad, pojavljuju se novi igrači - SEO Sploit Pack i Crimepack.

Pogledajmo sada ranjivosti u programima koje ovi exploit kompleti iskorišćavaju:

новое окно

Ranjivosti u Internet Explorer, PDF i Java zbirno čine 66% ranjivosti u programima koje ciljaju najpopularniji exploit kompleti. Koliko su stare ove ranjivosti? Grafikon na slici ispod pokazuje raspored ranjivosti po godinama kada su otkrivene i prijavljene:

Većina ranjivosti koje se iskorišćavaju su stare i sve one su ispravljene objavljivanim zakrpama (vidi u Rečniku: patch). Bez obzira na to, uspešno se nastavlja njihovo iskorišćavanje.

Interesantno je napomenuti da je stopa ponovljenog korišćenja ranjivosti 41% (iste ranjivosti koriste različiti exploit paketi).

I najzad, koji je uzrok povećane popularnosti Crimepack i SEO Sploit Pack tokom proteklih nekoliko meseci? Naravno, može biti mnogo razloga za to, a sposobnost iskorišćavanja je izvesno jedna od njih.

Pogledajmo koji su drugi mogući uzroci:

Noviji exploiti

Ukoliko uporedimo procenat distribucije korišćenih ranjivosti prema godini objavljivanja (ranjivosti) sa vodećih pet exploit kompleta, videćemo da i Crimepack i SEO Sploit Pack koriste novije exploite.

новое окно

Najpopularnije mete među programima

новое окно

Ponovo se PDF, Internet Explorer i Java nalaze među prvoplasiranom trojkom, ali u ovom slučaju, njihov zbirni procenat čini 75% svih iskorišćavanih programskih ranjivosti. To znači da exploit kompleti koriste slabosti najpopularnijih programa koje pronađu na pogođenom sistemu.

Exploit paketi - pogled izbliza

Da bismo dobili rezultate o kojima ćemo govoriti u nastavku teksta, analizirali smo nekoliko exploit kompleta i verzija istih. Tom prilikom obrađeno je 16 hiljada fajlova.

Prikaz podataka i dizajn

Da bi integrisali exploite, kompleti imaju interfejs koji pruža mogućnost sajber-kriminalcima da imaju uvid u statističke podatke koji se odnose na korišćeni expolit komplet.


Strana za prijavljivanje za Crimepack

новое окно
Pregled statistike za Eleonore

новое окно
Pregled statistike za BlackHole

Tokom analize fajlova, otkrili smo različite imdž fajlove koji se, uopšteno govoreći, mogu svrstati u GIF fajlove (stariji format) i PNG (fajlove noviji format). Popularniji kompleti sadrže veće slike, na primer, YES exploit komplet, Crimepack, MySploitsKit i Fragus. Vreme nastanka izgleda nema uticaja. Jedan od najstarijih kompleta, Mpack, sadrži veoma male slike, dok ICE-Pack (2007) i Siberia (2009) imaju mnogo veće slike.

Kvalitet prikaza podataka i dizajna svakog exploit kompleta zavisi od toga koliko je napora u taj segment razvoja uložio autor exploit kompleta. Za Eleonore exploit kit je korišćen besplatni CSS-template, dok su autori ostali koristili svoje sopstvene.

Poreklo, krađa i kopiranje

Analizirajući fajlove došli smo do zanimljivih statističkih podataka. Tokom analize, upoređivali smo fajlove što se pokazalo korisnim kada je reč o istoj porodici exploit paketa jer se na taj način mogu pratiti promene u raličitim verzijama istog kompleta i saznati više o njegovoj evoluciji. Takođe smo upoređivali sve fajlove različitih exploit paketa kako bi smo identifikovali bilo kakve sličnosti između njih, za koje se ispostavilo da zaista postoje, kao što pokazuje dijagram ispod (za uvećani prikaz klikni na sliku):

новое окно

Lako se može uočiti koji exploit komplet koristi kod drugog kompleta ili koji je komplet uticao na neki drugi exploit komplet. Ovo posebno važi za Phoenix Exploit Kit, koji koristi mnogo toga što pripada znatno starijim Fire-Pack i ICE-Pack kompletima. FirePackLite i BleedingLife takođe imaju mnogo toga sličnog. Samo SEO Sploit Pack i ElFiesta imaju ekskluzivne veze jedan sa drugim. Svi ostali imaju sličnosti sa više različitih kompleta.

новое окно

Zaključak



Na kraju - sve se vrti oko novca, uvek je reč o tome, kao što pokazuju fotografije koje su napravili tvorci exploit kompleta BlackHole. Ako exploit komplet postane popularan, njegov kreator će zarađivati više zbog povećane prodaje.

Postoji jedna stvar koju exploit komplet moraju da ponude kupcima kako bi se izborili sa konkurencijom na tržištu: visoku stopu infekcije. Zato pridošlice među explot kompletima često koriste postojeće, oprobane metode, i ovo je možda dobro objašnjenje zbog čega ima toliko sličnosti među exploit kompletima.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje