Skip to content

Exploit-Kits - Die Grundlage für Drive-by-Infektionen

Exploit-Kits oder Exploit-Packs sind eine besondere Kategorie von Schadsoftware und die einzige, mit der Sie als Benutzer nie direkt im Berührung kommen: Sie dienen dazu, Websites für Drive-by-Infektionen zu präparieren und danach mit den enthaltenen Exploits die Rechner der ahnungslosen Besucher zu kompromittieren.

Schädliche Software mit Support

Die Exploit-Kits erfüllen immer mindestens zwei Aufgaben: Zum einen enthalten sie Funktionen, um den Code für Drive-by-Infektionen zu erstellen und zu konfigurieren, der dann in harmlose Websites eingefügt wird. Zum anderen enthalten sie eine mehr oder weniger große Anzahl an Exploits zum Ausnutzen der verschiedensten Schwachstellen, um damit die Rechner ahnungsloser Besucher der präparierten Websites zu kompromittieren. Die Exploits schleusen dann z.B. Trojaner und Fake-Virenscanner ein.

Dabei geben sich die Cyberkriminellen nicht mehr mit einfachen Programmen zufrieden, heutzutage gibt es auch für Schadsoftware Updates und technischen Support, Foren zum Austausch mit Gleichgesinnten inbegriffen.

Die Exploit-Kits werden auf dem Schwarzmarkt gehandelt und laufend weiterentwickelt. Dabei werden z.B. neue Exploits hinzugefügt und die Tarnfunktionen verbessert. Alte Exploits werden nur selten entfernt, es gibt immer Benutzer mit veralteter Software, deren Rechner man auch mit einem einige Jahre alten Exploit für eine längst gepatchte Schwachstelle noch infizieren kann. Francois Paget vom McAfee hat im Mai 2010 alle damals bekannten Exploit-Kits mit den von ihnen verwendeten Exploits in einer Tabelle zusammengefasst. Eine erweiterte Version dieser Übersicht hat "Mila" im Oktober 2010 im Blog "contagio" bereitgestellt.

Für einige der Exploit-Kits nennt Francois Paget auch Preise:

Zeitraum Exploit-Kit Preis
Juli 2009 Eleonore 1.2 700 US-Dollar (plus 50 UD-Dollar für einen "encrypter")
Februar 2010 Eleonore 1.3.2 1.200 US-Dollar
unbekannt Eleonore 1.500 US-Dollar mit Management über eigene Domain
April 2010 Yes Exploit Kit Standard Edition 900 US-Dollar (für 250 US-Dollar zusätzlich mit 'abuse-immunity' Server für einen Monat inklusive zwei 'abuse-immunity' Domains)
Mai 2010 Fragus 800 US-Dollar

Symantec hat im Januar 2011 eine Untersuchung über "Cyber Attack Toolkits" veröffentlicht, die außer den Exploit-Kits auch Schädlingsbaukästen wie Zeus umfasst.

Aber betrachten wir mal ein paar Exploit-Kits etwas näher. Die Sortierung erfolgt in alphabetischer Reihenfolge:

Black Hole

"Black Hole" ist ein zur Zeit sehr verbreitetes Exploit-Kit. Oder, um Symantec zu zitieren: "... is spreading like wildfire. At present, it is the most prevalent exploit toolkit in the wild ..." (18. Februar 2011). Eingesetzt wird das Exploit-Kit z.B. über manipulierte harmlose Websites (z.B. nach einem Massenhack), präparierte Werbung in werbefinanzierten Programmen oder bösartige Websites, z.B. Phishing-Seiten oder gezielt nur für die Drive-by-Infektion präparierte Seiten, auf die die Opfer per E-Mail gelockt werden. Das Exploit-Kit stellt eine Vielzahl von Statistiken bereit.

Crimepack

Für "Crimepack" (manchmal auch "CRiMEPACK" geschrieben) wird angeblich mit dem Slogan "Highest Lowest rates for the price" geworben. Wie beobachtete Statistiken zeigen, ist Crimepack beim Infizieren von Client-Rechnern recht erfolgreich. Eingesetzt werden dabei 15 Exploits, von denen einige hier analysiert wurden.

Dragon Pack

"Dragon Pack" ist ein recht neues Exploit-Kit, das durch seine grafische Oberfläche für den Administrationsbereich auffällt, die ihm auch den Namen eingebracht hat. Das Kit wird über präparierte Werbung eingesetzt und enthält relativ wenig Exploits, diese sind aber i.A. sehr erfolgreich.

Eleonore

"Eleonore" ist ein Exploit-Kit, das beweist, dass auch ältere Exploits für längst gepatchte Schwachstellen noch sehr erfolgreich sein können. Eleonore nutzt aber auch 0-Day-Exploits aus. Eine neuere Version zeigt, dass insbesondere Java-Exploits sehr erfolgreich sind und bestätigt damit, dass Java immer mehr zum Risiko wird.

Fragus

"Fragus" ist schon etwas älter, erstmals wurde das Kit 2009 entdeckt. Das besondere an Fragus: Das Kit ist an die IP-Adressen und/oder Server-Namen gebunden, für die es gekauft wurde. Die Entwickler lassen sich Anpassungen an weitere IP-Adressen und Server-Namen bezahlen. Fragus enthält 8 Exploits für verschiedene Programme und stellt ebenfalls verschiedene Statistiken bereit.

Phoenix

"Phoenix" (auch PEK, Phoenix Exploit's Kit) ist ein sehr verbreitetes Kit. Ausgenutzt werden z.B. in Version 2.0 12 oder 18 Exploits, in Version 2.3 16 Exploits oder in Version 2.5 19 Exploits (darunter die meisten für Java). Das Kit wird über präparierte Websites oder präparierte Spam-Mails mit entsprechendem HTML-Anhang verbreitet und nutzt verschiedene Methoden zur Tarnung.
Phoenix enthält einen Installationsschutz, um die Analyse zu erschweren. Insbesondere die Exploits gibt es erst nach der erfolgreichen Installation.

Update 26.5.2011:
Es sind mehrere Exploit-Kits im Internet aufgetaucht, die in der nächsten Folge beschrieben werden!

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Mehrere Exploit-Kits im Internet aufgetaucht
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Digitale Schutzimpfung

Vorschau anzeigen
Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden? Virensc

Dipl.-Inform. Carsten Eilers am : Neues zur Sicherheit von Web-Clients

Vorschau anzeigen
Ab dieser Folge gibt es einen Überblick über die 2011 auf Sicherheitskonferenzen vorgestellten neuen Angriffe, Schutzmaßnahmen und Co., den Anfang machen Angriffe auf und über den Webbrowser bzw. den Client-Teil der Webanwendunge

Dipl.-Inform. Carsten Eilers am : Ein Jahresende mit Schwachstellen - Im Web, in Java und in WPS

Vorschau anzeigen
In den letzten zwei Wochen des Jahres 2011 wurden noch mal einige Schwachstellen veröffentlicht. Kommentieren werde ich davon hier nur drei: Die DoS-Schwachstelle in gängigen Skriptsprachen und Plattformen für Webanwendungen, die von

Dipl.-Inform. Carsten Eilers am : Exploit-Kit über Wordpress Version 3.2.1 verbreitet

Vorschau anzeigen
Zwei Berichten zu Folge wird (relativ) massiv über kompromittierte Wordpress-3.2.1-Installationen ein Exploit-Kit verbreitet. Darüber, wie die Wordpress-Installationen kompromittiert werden, herrscht Unklarheit. Zumindest gibt es zwei E

Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java

Vorschau anzeigen
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird

Dipl.-Inform. Carsten Eilers am : Kommentare zur Selbsterkenntnis eines Virenscanners, PINs und mehr

Vorschau anzeigen
Heute gibt es mal wieder Kommentare zu einer ganzen Reihe neuer Entwicklungen: Zur Selbsterkenntnis eines Virenscanners, einer statistischen Analyse von PINs, Spam für Cyberkriminelle, sicherer Entwicklung, gekürzten Hotmail-Passwörter

Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Adobe Reader X unterwegs?

Vorschau anzeigen
Laut einer Ankündigung des russischen Sicherheitsunternehmens Group-IB gibt es einen funktionsfähigen Exploit für den Adobe Reader X, der sämtliche Schutzfunktionen einschließlich der Sandbox aushebelt. Das wäre das

Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr

Vorschau anzeigen
In der letzten Woche hatte ich des öfteren den Eindruck eines Deja Vu. Oder um es mit Bernd dem Brot zu sagen: Alles ist wie immer, bloss schlimmer. Angriffe auf mTANs Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren.

Dipl.-Inform. Carsten Eilers am : Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr

Vorschau anzeigen
Heute gibt es Kommentare und Neuigkeiten... ... zu einem Java-Exploit Brian Krebs berichtet, dass auf dem Schwarzmarkt ein Exploit für eine bisher unbekannte Schwachstelle in Java angeboten wird. Vermutlich dürften die Entwick

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012

Vorschau anzeigen
Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich. Erste Angriffe am 27. 21. 7 Dezember 2012 Laut Symantec und FireEye konnten die er

Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen

Vorschau anzeigen
Mein Artikel im PHP Magazin 2.2013 beschäftigt sich mit den auch hier im Blog schon behandelten Drive-by-Infektionen. Da der Artikel im PHP Magazin erschienen ist, liegt der Schwerpunkt natürlich auf PHP. Konkret erkläre ich am B

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle nach 3 Tagen behoben

Vorschau anzeigen
Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen: 10. Januar: Exploit "in the wild" und vielen Ex

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt

Vorschau anzeigen
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: 28. Februar: FireEye meldet die nächste Java-0-Day-Schwachstelle F

Dipl.-Inform. Carsten Eilers am : Neues zu Java-Versionen, Android Packages, einem Rootkit und SSL/TLS

Vorschau anzeigen
Heute gibt es Kommentare und Hinweise zu installierten Java-Versionen, gefährlichen .apk-Dateien, einem übergewichtigen Rootkit und einer Info-Seite zu SSL/TLS. Java oft veraltet Wie aktuell ist eigentlich ihre Java-Version? Ist die a

Dipl.-Inform. Carsten Eilers am : Botnet greift Wordpress- und Joomla-Installationen an

Vorschau anzeigen
Zur Zeit greift ein Botnet Wordpress- und Joomla-Installationen an und versucht, über einen Brute-Force-Angriff das Administrator-Passwort zu ermitteln. Was danach passiert, ist nicht ganz klar: Entweder wird auf den erfolgreich angegriffenen S

Dipl.-Inform. Carsten Eilers am : Microsoft aktualisiert Security Bulletin: Erneut 0-Day-Schwachstelle im IE

Vorschau anzeigen
Microsoft hat das am 9. Juli veröffentlichte Security Bulletin MS13-055 für den Internet Explorer aktualisiert: Die Schwachstelle CVE-2013-3163 wird im Rahmen gezielter Angriffe ausgenutzt, betroffen ist konkret der IE 8. Wir haben es a

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, die dritte

Vorschau anzeigen
Es gibt schon wieder eine 0-Day-Schwachstelle im Internet Explorer. Insgesamt die 15. in diesem Jahr, und die dritte im Internet Explorer (und dann gab es da ja auch noch die Ende Dezember 2012 im IE gemeldete, die es fast in dieses Jahr geschaff

Dipl.-Inform. Carsten Eilers am : IE: Ein 0-Day-Exploit für zwei Angriffe?

Vorschau anzeigen
Es gibt neue Informationen zur aktuellen 0-Day-Schwachstelle im Internet Explorer. Nein, nicht zu der, für die Microsoft Mitte September eine FixIt-Tool veröffentlicht hat (CVE-2013-3893), sondern für die, die am Oktober-Patchday

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows

Vorschau anzeigen
Es gibt mal wieder eine 0-Day-Schwachstelle. Sie befindet sich in Microsoft Graphics und betrifft Windows (Vista und Server 2008, Microsoft Office und Lync. Es handelt sich um die 17. 0-Day-Schwachstelle in diesem Jahr. Wie (mit einer Ausnahme)

Dipl.-Inform. Carsten Eilers am : Neues zu Schad- und Antivirus-Software. Mehr Schlechtes als Gutes

Vorschau anzeigen
Es gibt mal wieder Neuigkeiten zu Schadsoftware und Virenscannern. Sowohl Pro als auch Contra, wenn auch die negativen Meldungen überwiegen. Mehr Negatives als Positives... (+) Es wurde mal wieder ein Ad-Network kompromittiert, um &uu

Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Flash Player unterwegs, Patch angekündigt

Vorschau anzeigen
Es ist mal wieder ein 0-Day-Exploit für den Flash Player aufgetaucht. Adobe hat einen Patch für den 7. April angekündigt. Die Schwachstelle mit der CVE-ID CVE-2016-1019 erlaubt die Ausführung eingeschleusten Codes (was au