Moćni hakerski alati - exploit kits

Opisi virusa, 14.02.2011, 03:49 AM

Moćni hakerski alati - exploit kits

Exploit kits (vidi u Rečniku: exploit) su paketi zlonamernih programa koji se uglavnom koriste za izvođenje “drive-by” napada sa ciljem širenja malicioznih programa. Ovi kompleti se prodaju na crnom tržištu gde se njihova cena kreće od nekoliko stotina do preko hiljadu dolara. Danas je uobičajeno i iznajmljivanje hostovanih exploit kompleta. Reč je, dakle, o konkurentnom tržištu sa mnogo igrača i mnogo autora zlonamernih programa.

Kada se pojavio pre nekoliko godina, MPack je bio jedan od prvih primera ovakve vrste “alata”. Ubrzo su se pojavili ICE-Pack, Fire-Pack i mnogi drugi. Danas su dobro poznati exploit kompleti na primer, Eleonore, YES Exploit Pack i Crimepack.

Exploit paketi - statistikički podaci

Šta je ono što jedan komplet zlonamernih programa, kit, čini uspešnim? Koji je ključni razlog njegove popularnosti? Najpre, pogledajmo evoluciju različitih exploit kompleta koji su otkriveni još u januaru 2009. godine.

новое окно

Prvo što upada u oči su različiti modeli distribucije različitih exploit kompleta. Glavni igrači su Phoenix i Eleonore, koje u stopu prati Neosploit. Grafikon ispod pokazuje Top 5 exploit kompleta svih vremena:

Iako tri vodeća exploit kompleta i dalje opstaju na listi najpopularnijih, vidimo da se pojavljuju i novi kompleti alata. Pogledajmo listu pet prvoplasiranih exploit kompleta tokom proteklih 6 meseci:

Kao što se može videti na slici iznad, pojavljuju se novi igrači - SEO Sploit Pack i Crimepack.

Pogledajmo sada ranjivosti u programima koje ovi exploit kompleti iskorišćavaju:

новое окно

Ranjivosti u Internet Explorer, PDF i Java zbirno čine 66% ranjivosti u programima koje ciljaju najpopularniji exploit kompleti. Koliko su stare ove ranjivosti? Grafikon na slici ispod pokazuje raspored ranjivosti po godinama kada su otkrivene i prijavljene:

Većina ranjivosti koje se iskorišćavaju su stare i sve one su ispravljene objavljivanim zakrpama (vidi u Rečniku: patch). Bez obzira na to, uspešno se nastavlja njihovo iskorišćavanje.

Interesantno je napomenuti da je stopa ponovljenog korišćenja ranjivosti 41% (iste ranjivosti koriste različiti exploit paketi).

I najzad, koji je uzrok povećane popularnosti Crimepack i SEO Sploit Pack tokom proteklih nekoliko meseci? Naravno, može biti mnogo razloga za to, a sposobnost iskorišćavanja je izvesno jedna od njih.

Pogledajmo koji su drugi mogući uzroci:

Noviji exploiti

Ukoliko uporedimo procenat distribucije korišćenih ranjivosti prema godini objavljivanja (ranjivosti) sa vodećih pet exploit kompleta, videćemo da i Crimepack i SEO Sploit Pack koriste novije exploite.

новое окно

Najpopularnije mete među programima

новое окно

Ponovo se PDF, Internet Explorer i Java nalaze među prvoplasiranom trojkom, ali u ovom slučaju, njihov zbirni procenat čini 75% svih iskorišćavanih programskih ranjivosti. To znači da exploit kompleti koriste slabosti najpopularnijih programa koje pronađu na pogođenom sistemu.

Exploit paketi - pogled izbliza

Da bismo dobili rezultate o kojima ćemo govoriti u nastavku teksta, analizirali smo nekoliko exploit kompleta i verzija istih. Tom prilikom obrađeno je 16 hiljada fajlova.

Prikaz podataka i dizajn

Da bi integrisali exploite, kompleti imaju interfejs koji pruža mogućnost sajber-kriminalcima da imaju uvid u statističke podatke koji se odnose na korišćeni expolit komplet.


Strana za prijavljivanje za Crimepack

новое окно
Pregled statistike za Eleonore

новое окно
Pregled statistike za BlackHole

Tokom analize fajlova, otkrili smo različite imdž fajlove koji se, uopšteno govoreći, mogu svrstati u GIF fajlove (stariji format) i PNG (fajlove noviji format). Popularniji kompleti sadrže veće slike, na primer, YES exploit komplet, Crimepack, MySploitsKit i Fragus. Vreme nastanka izgleda nema uticaja. Jedan od najstarijih kompleta, Mpack, sadrži veoma male slike, dok ICE-Pack (2007) i Siberia (2009) imaju mnogo veće slike.

Kvalitet prikaza podataka i dizajna svakog exploit kompleta zavisi od toga koliko je napora u taj segment razvoja uložio autor exploit kompleta. Za Eleonore exploit kit je korišćen besplatni CSS-template, dok su autori ostali koristili svoje sopstvene.

Poreklo, krađa i kopiranje

Analizirajući fajlove došli smo do zanimljivih statističkih podataka. Tokom analize, upoređivali smo fajlove što se pokazalo korisnim kada je reč o istoj porodici exploit paketa jer se na taj način mogu pratiti promene u raličitim verzijama istog kompleta i saznati više o njegovoj evoluciji. Takođe smo upoređivali sve fajlove različitih exploit paketa kako bi smo identifikovali bilo kakve sličnosti između njih, za koje se ispostavilo da zaista postoje, kao što pokazuje dijagram ispod (za uvećani prikaz klikni na sliku):

новое окно

Lako se može uočiti koji exploit komplet koristi kod drugog kompleta ili koji je komplet uticao na neki drugi exploit komplet. Ovo posebno važi za Phoenix Exploit Kit, koji koristi mnogo toga što pripada znatno starijim Fire-Pack i ICE-Pack kompletima. FirePackLite i BleedingLife takođe imaju mnogo toga sličnog. Samo SEO Sploit Pack i ElFiesta imaju ekskluzivne veze jedan sa drugim. Svi ostali imaju sličnosti sa više različitih kompleta.

новое окно

Zaključak



Na kraju - sve se vrti oko novca, uvek je reč o tome, kao što pokazuju fotografije koje su napravili tvorci exploit kompleta BlackHole. Ako exploit komplet postane popularan, njegov kreator će zarađivati više zbog povećane prodaje.

Postoji jedna stvar koju exploit komplet moraju da ponude kupcima kako bi se izborili sa konkurencijom na tržištu: visoku stopu infekcije. Zato pridošlice među explot kompletima često koriste postojeće, oprobane metode, i ovo je možda dobro objašnjenje zbog čega ima toliko sličnosti među exploit kompletima.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje