Moćni hakerski alati - exploit kits
Opisi virusa, 14.02.2011, 03:49 AM
Exploit kits (vidi u Rečniku: exploit) su paketi zlonamernih programa koji se uglavnom koriste za izvođenje “drive-by” napada sa ciljem širenja malicioznih programa. Ovi kompleti se prodaju na crnom tržištu gde se njihova cena kreće od nekoliko stotina do preko hiljadu dolara. Danas je uobičajeno i iznajmljivanje hostovanih exploit kompleta. Reč je, dakle, o konkurentnom tržištu sa mnogo igrača i mnogo autora zlonamernih programa.
Kada se pojavio pre nekoliko godina, MPack je bio jedan od prvih primera ovakve vrste “alata”. Ubrzo su se pojavili ICE-Pack, Fire-Pack i mnogi drugi. Danas su dobro poznati exploit kompleti na primer, Eleonore, YES Exploit Pack i Crimepack.
Exploit paketi - statistikički podaci
Šta je ono što jedan komplet zlonamernih programa, kit, čini uspešnim? Koji je ključni razlog njegove popularnosti? Najpre, pogledajmo evoluciju različitih exploit kompleta koji su otkriveni još u januaru 2009. godine.
Prvo što upada u oči su različiti modeli distribucije različitih exploit kompleta. Glavni igrači su Phoenix i Eleonore, koje u stopu prati Neosploit. Grafikon ispod pokazuje Top 5 exploit kompleta svih vremena:
Iako tri vodeća exploit kompleta i dalje opstaju na listi najpopularnijih, vidimo da se pojavljuju i novi kompleti alata. Pogledajmo listu pet prvoplasiranih exploit kompleta tokom proteklih 6 meseci:
Kao što se može videti na slici iznad, pojavljuju se novi igrači - SEO Sploit Pack i Crimepack.
Pogledajmo sada ranjivosti u programima koje ovi exploit kompleti iskorišćavaju:
Ranjivosti u Internet Explorer, PDF i Java zbirno čine 66% ranjivosti u programima koje ciljaju najpopularniji exploit kompleti. Koliko su stare ove ranjivosti? Grafikon na slici ispod pokazuje raspored ranjivosti po godinama kada su otkrivene i prijavljene:
Većina ranjivosti koje se iskorišćavaju su stare i sve one su ispravljene objavljivanim zakrpama (vidi u Rečniku: patch). Bez obzira na to, uspešno se nastavlja njihovo iskorišćavanje.
Interesantno je napomenuti da je stopa ponovljenog korišćenja ranjivosti 41% (iste ranjivosti koriste različiti exploit paketi).
I najzad, koji je uzrok povećane popularnosti Crimepack i SEO Sploit Pack tokom proteklih nekoliko meseci? Naravno, može biti mnogo razloga za to, a sposobnost iskorišćavanja je izvesno jedna od njih.
Pogledajmo koji su drugi mogući uzroci:
Noviji exploiti
Ukoliko uporedimo procenat distribucije korišćenih ranjivosti prema godini objavljivanja (ranjivosti) sa vodećih pet exploit kompleta, videćemo da i Crimepack i SEO Sploit Pack koriste novije exploite.
Najpopularnije mete među programima
Ponovo se PDF, Internet Explorer i Java nalaze među prvoplasiranom trojkom, ali u ovom slučaju, njihov zbirni procenat čini 75% svih iskorišćavanih programskih ranjivosti. To znači da exploit kompleti koriste slabosti najpopularnijih programa koje pronađu na pogođenom sistemu.
Exploit paketi - pogled izbliza
Da bismo dobili rezultate o kojima ćemo govoriti u nastavku teksta, analizirali smo nekoliko exploit kompleta i verzija istih. Tom prilikom obrađeno je 16 hiljada fajlova.
Prikaz podataka i dizajn
Da bi integrisali exploite, kompleti imaju interfejs koji pruža mogućnost sajber-kriminalcima da imaju uvid u statističke podatke koji se odnose na korišćeni expolit komplet.
Strana za prijavljivanje za Crimepack
Pregled statistike za Eleonore
Pregled statistike za BlackHole
Tokom analize fajlova, otkrili smo različite imdž fajlove koji se, uopšteno govoreći, mogu svrstati u GIF fajlove (stariji format) i PNG (fajlove noviji format). Popularniji kompleti sadrže veće slike, na primer, YES exploit komplet, Crimepack, MySploitsKit i Fragus. Vreme nastanka izgleda nema uticaja. Jedan od najstarijih kompleta, Mpack, sadrži veoma male slike, dok ICE-Pack (2007) i Siberia (2009) imaju mnogo veće slike.
Kvalitet prikaza podataka i dizajna svakog exploit kompleta zavisi od toga koliko je napora u taj segment razvoja uložio autor exploit kompleta. Za Eleonore exploit kit je korišćen besplatni CSS-template, dok su autori ostali koristili svoje sopstvene.
Poreklo, krađa i kopiranje
Analizirajući fajlove došli smo do zanimljivih statističkih podataka. Tokom analize, upoređivali smo fajlove što se pokazalo korisnim kada je reč o istoj porodici exploit paketa jer se na taj način mogu pratiti promene u raličitim verzijama istog kompleta i saznati više o njegovoj evoluciji. Takođe smo upoređivali sve fajlove različitih exploit paketa kako bi smo identifikovali bilo kakve sličnosti između njih, za koje se ispostavilo da zaista postoje, kao što pokazuje dijagram ispod (za uvećani prikaz klikni na sliku):
Lako se može uočiti koji exploit komplet koristi kod drugog kompleta ili koji je komplet uticao na neki drugi exploit komplet. Ovo posebno važi za Phoenix Exploit Kit, koji koristi mnogo toga što pripada znatno starijim Fire-Pack i ICE-Pack kompletima. FirePackLite i BleedingLife takođe imaju mnogo toga sličnog. Samo SEO Sploit Pack i ElFiesta imaju ekskluzivne veze jedan sa drugim. Svi ostali imaju sličnosti sa više različitih kompleta.
Zaključak
Na kraju - sve se vrti oko novca, uvek je reč o tome, kao što pokazuju fotografije koje su napravili tvorci exploit kompleta BlackHole. Ako exploit komplet postane popularan, njegov kreator će zarađivati više zbog povećane prodaje.
Postoji jedna stvar koju exploit komplet moraju da ponude kupcima kako bi se izborili sa konkurencijom na tržištu: visoku stopu infekcije. Zato pridošlice među explot kompletima često koriste postojeće, oprobane metode, i ovo je možda dobro objašnjenje zbog čega ima toliko sličnosti među exploit kompletima.
Preuzeto sa
Izdvojeno
Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera
Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje
Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima
Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje
Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u
Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje
Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera
Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje
Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka
SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje
Pratite nas
Nagrade