Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Exploit-Kits oder Exploit-Packs sind eine besondere Kategorie von Schadsoftware und die einzige, mit der Sie als Benutzer nie direkt im Berührung kommen: Sie dienen dazu, Websites für Drive-by-Infektionen zu präparieren und danach mit den enthaltenen Exploits die Rechner der ahnungslosen Besucher zu kompromittieren.
Schädliche Software mit Support
Die Exploit-Kits erfüllen immer mindestens zwei Aufgaben: Zum einen enthalten sie Funktionen, um den Code für Drive-by-Infektionen zu erstellen und zu konfigurieren, der dann in harmlose Websites eingefügt wird. Zum anderen enthalten sie eine mehr oder weniger große Anzahl an Exploits zum Ausnutzen der verschiedensten Schwachstellen, um damit die Rechner ahnungsloser Besucher der präparierten Websites zu kompromittieren. Die Exploits schleusen dann z.B. Trojaner und Fake-Virenscanner ein.
Dabei geben sich die Cyberkriminellen nicht mehr mit einfachen Programmen zufrieden, heutzutage gibt es auch für Schadsoftware Updates und technischen Support, Foren zum Austausch mit Gleichgesinnten inbegriffen.
Die Exploit-Kits werden auf dem Schwarzmarkt gehandelt und laufend weiterentwickelt. Dabei werden z.B. neue Exploits hinzugefügt und die Tarnfunktionen verbessert. Alte Exploits werden nur selten entfernt, es gibt immer Benutzer mit veralteter Software, deren Rechner man auch mit einem einige Jahre alten Exploit für eine längst gepatchte Schwachstelle noch infizieren kann. Francois Paget vom McAfee hat im Mai 2010 alle damals bekannten Exploit-Kits mit den von ihnen verwendeten Exploits in einer Tabelle zusammengefasst. Eine erweiterte Version dieser Übersicht hat "Mila" im Oktober 2010 im Blog "contagio" bereitgestellt.
Für einige der Exploit-Kits nennt Francois Paget auch Preise:
Zeitraum | Exploit-Kit | Preis |
---|---|---|
Juli 2009 | Eleonore 1.2 | 700 US-Dollar (plus 50 UD-Dollar für einen "encrypter") |
Februar 2010 | Eleonore 1.3.2 | 1.200 US-Dollar |
unbekannt | Eleonore | 1.500 US-Dollar mit Management über eigene Domain |
April 2010 | Yes Exploit Kit Standard Edition | 900 US-Dollar (für 250 US-Dollar zusätzlich mit 'abuse-immunity' Server für einen Monat inklusive zwei 'abuse-immunity' Domains) |
Mai 2010 | Fragus | 800 US-Dollar |
Symantec hat im Januar 2011 eine Untersuchung über "Cyber Attack Toolkits" veröffentlicht, die außer den Exploit-Kits auch Schädlingsbaukästen wie Zeus umfasst.
Aber betrachten wir mal ein paar Exploit-Kits etwas näher. Die Sortierung erfolgt in alphabetischer Reihenfolge:
Black Hole
"Black Hole" ist ein zur Zeit sehr verbreitetes Exploit-Kit. Oder, um Symantec zu zitieren: "... is spreading like wildfire. At present, it is the most prevalent exploit toolkit in the wild ..." (18. Februar 2011). Eingesetzt wird das Exploit-Kit z.B. über manipulierte harmlose Websites (z.B. nach einem Massenhack), präparierte Werbung in werbefinanzierten Programmen oder bösartige Websites, z.B. Phishing-Seiten oder gezielt nur für die Drive-by-Infektion präparierte Seiten, auf die die Opfer per E-Mail gelockt werden. Das Exploit-Kit stellt eine Vielzahl von Statistiken bereit.
Crimepack
Für "Crimepack" (manchmal auch "CRiMEPACK" geschrieben) wird angeblich mit dem Slogan "Highest Lowest rates for the price" geworben. Wie beobachtete Statistiken zeigen, ist Crimepack beim Infizieren von Client-Rechnern recht erfolgreich. Eingesetzt werden dabei 15 Exploits, von denen einige hier analysiert wurden.
Dragon Pack
"Dragon Pack" ist ein recht neues Exploit-Kit, das durch seine grafische Oberfläche für den Administrationsbereich auffällt, die ihm auch den Namen eingebracht hat. Das Kit wird über präparierte Werbung eingesetzt und enthält relativ wenig Exploits, diese sind aber i.A. sehr erfolgreich.
Eleonore
"Eleonore" ist ein Exploit-Kit, das beweist, dass auch ältere Exploits für längst gepatchte Schwachstellen noch sehr erfolgreich sein können. Eleonore nutzt aber auch 0-Day-Exploits aus. Eine neuere Version zeigt, dass insbesondere Java-Exploits sehr erfolgreich sind und bestätigt damit, dass Java immer mehr zum Risiko wird.
Fragus
"Fragus" ist schon etwas älter, erstmals wurde das Kit 2009 entdeckt. Das besondere an Fragus: Das Kit ist an die IP-Adressen und/oder Server-Namen gebunden, für die es gekauft wurde. Die Entwickler lassen sich Anpassungen an weitere IP-Adressen und Server-Namen bezahlen. Fragus enthält 8 Exploits für verschiedene Programme und stellt ebenfalls verschiedene Statistiken bereit.
Phoenix
"Phoenix" (auch PEK, Phoenix Exploit's Kit) ist ein sehr verbreitetes Kit.
Ausgenutzt werden z.B. in Version 2.0
12
oder
18
Exploits, in Version 2.3
16 Exploits
oder in Version 2.5
19 Exploits
(darunter die meisten für Java). Das Kit wird über
präparierte
Websites
oder
präparierte
Spam-Mails
mit entsprechendem HTML-Anhang verbreitet und nutzt
verschiedene
Methoden
zur Tarnung.
Phoenix enthält einen
Installationsschutz,
um die Analyse zu erschweren. Insbesondere die Exploits gibt es erst nach
der erfolgreichen Installation.
Update 26.5.2011:
Es sind mehrere Exploit-Kits im Internet aufgetaucht, die in der
nächsten Folge
beschrieben werden!
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits
-
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Mehrere Exploit-Kits im Internet aufgetaucht
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Digitale Schutzimpfung
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zur Sicherheit von Web-Clients
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein Jahresende mit Schwachstellen - Im Web, in Java und in WPS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Exploit-Kit über Wordpress Version 3.2.1 verbreitet
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu SQL-Injection-Massenhacks, Drive-by-Infektionen und Exploit-Kits
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Windows 8 Metro erleichtert Phishing, das Blackhole Exploit-Kit Kompromittierungen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zur Selbsterkenntnis eines Virenscanners, PINs und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Adobe Reader X unterwegs?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle nach 3 Tagen behoben
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu Java-Versionen, Android Packages, einem Rootkit und SSL/TLS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Botnet greift Wordpress- und Joomla-Installationen an
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft aktualisiert Security Bulletin: Erneut 0-Day-Schwachstelle im IE
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, die dritte
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : IE: Ein 0-Day-Exploit für zwei Angriffe?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu Schad- und Antivirus-Software. Mehr Schlechtes als Gutes
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Flash Player unterwegs, Patch angekündigt
Vorschau anzeigen