Exploit-Kits oder Exploit-Packs sind eine besondere Kategorie von Schadsoftware und die einzige, mit der Sie als Benutzer nie direkt im Berührung kommen: Sie dienen dazu, Websites für Drive-by-Infektionen zu präparieren und danach mit den enthaltenen Exploits die Rechner der ahnungslosen Besucher zu kompromittieren.
Donnerstag, 31. März 2011
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Die Exploit-Kits erfüllen immer mindestens zwei Aufgaben: Zum einen enthalten sie Funktionen, um den Code für Drive-by-Infektionen zu erstellen und zu konfigurieren, der dann in harmlose Websites eingefügt wird. Zum anderen enthalten sie eine mehr oder weniger große Anzahl an Exploits zum Ausnutzen der verschiedensten Schwachstellen, um damit die Rechner ahnungsloser Besucher der präparierten Websites zu kompromittieren. Die Exploits schleusen dann z.B. Trojaner und Fake-Virenscanner ein.
Dabei geben sich die Cyberkriminellen nicht mehr mit einfachen Programmen zufrieden, heutzutage gibt es auch für Schadsoftware Updates und technischen Support, Foren zum Austausch mit Gleichgesinnten inbegriffen.
Die Exploit-Kits werden auf dem Schwarzmarkt gehandelt und laufend weiterentwickelt. Dabei werden z.B. neue Exploits hinzugefügt und die Tarnfunktionen verbessert. Alte Exploits werden nur selten entfernt, es gibt immer Benutzer mit veralteter Software, deren Rechner man auch mit einem einige Jahre alten Exploit für eine längst gepatchte Schwachstelle noch infizieren kann. Francois Paget vom McAfee hat im Mai 2010 alle damals bekannten Exploit-Kits mit den von ihnen verwendeten Exploits in einer Tabelle zusammengefasst. Eine erweiterte Version dieser Übersicht hat "Mila" im Oktober 2010 im Blog "contagio" bereitgestellt.
Für einige der Exploit-Kits nennt Francois Paget auch Preise:
| Zeitraum | Exploit-Kit | Preis |
|---|---|---|
| Juli 2009 | Eleonore 1.2 | 700 US-Dollar (plus 50 UD-Dollar für einen "encrypter") |
| Februar 2010 | Eleonore 1.3.2 | 1.200 US-Dollar |
| unbekannt | Eleonore | 1.500 US-Dollar mit Management über eigene Domain |
| April 2010 | Yes Exploit Kit Standard Edition | 900 US-Dollar (für 250 US-Dollar zusätzlich mit 'abuse-immunity' Server für einen Monat inklusive zwei 'abuse-immunity' Domains) |
| Mai 2010 | Fragus | 800 US-Dollar |
Symantec hat im Januar 2011 eine Untersuchung über "Cyber Attack Toolkits" veröffentlicht, die außer den Exploit-Kits auch Schädlingsbaukästen wie Zeus umfasst.
Aber betrachten wir mal ein paar Exploit-Kits etwas näher. Die Sortierung erfolgt in alphabetischer Reihenfolge:
Black Hole
"Black Hole" ist ein zur Zeit sehr verbreitetes Exploit-Kit. Oder, um Symantec zu zitieren: "... is spreading like wildfire. At present, it is the most prevalent exploit toolkit in the wild ..." (18. Februar 2011). Eingesetzt wird das Exploit-Kit z.B. über manipulierte harmlose Websites (z.B. nach einem Massenhack), präparierte Werbung in werbefinanzierten Programmen oder bösartige Websites, z.B. Phishing-Seiten oder gezielt nur für die Drive-by-Infektion präparierte Seiten, auf die die Opfer per E-Mail gelockt werden. Das Exploit-Kit stellt eine Vielzahl von Statistiken bereit.
Crimepack
Für "Crimepack" (manchmal auch "CRiMEPACK" geschrieben) wird angeblich mit dem Slogan "Highest Lowest rates for the price" geworben. Wie beobachtete Statistiken zeigen, ist Crimepack beim Infizieren von Client-Rechnern recht erfolgreich. Eingesetzt werden dabei 15 Exploits, von denen einige hier analysiert wurden.
Dragon Pack
"Dragon Pack" ist ein recht neues Exploit-Kit, das durch seine grafische Oberfläche für den Administrationsbereich auffällt, die ihm auch den Namen eingebracht hat. Das Kit wird über präparierte Werbung eingesetzt und enthält relativ wenig Exploits, diese sind aber i.A. sehr erfolgreich.
Eleonore
"Eleonore" ist ein Exploit-Kit, das beweist, dass auch ältere Exploits für längst gepatchte Schwachstellen noch sehr erfolgreich sein können. Eleonore nutzt aber auch 0-Day-Exploits aus. Eine neuere Version zeigt, dass insbesondere Java-Exploits sehr erfolgreich sind und bestätigt damit, dass Java immer mehr zum Risiko wird.
Fragus
"Fragus" ist schon etwas älter, erstmals wurde das Kit 2009 entdeckt. Das besondere an Fragus: Das Kit ist an die IP-Adressen und/oder Server-Namen gebunden, für die es gekauft wurde. Die Entwickler lassen sich Anpassungen an weitere IP-Adressen und Server-Namen bezahlen. Fragus enthält 8 Exploits für verschiedene Programme und stellt ebenfalls verschiedene Statistiken bereit.
Phoenix
"Phoenix" (auch PEK, Phoenix Exploit's Kit) ist ein sehr verbreitetes Kit.
Ausgenutzt werden z.B. in Version 2.0
12
oder
18
Exploits, in Version 2.3
16 Exploits
oder in Version 2.5
19 Exploits
(darunter die meisten für Java). Das Kit wird über
präparierte
Websites
oder
präparierte
Spam-Mails
mit entsprechendem HTML-Anhang verbreitet und nutzt
verschiedene
Methoden
zur Tarnung.
Phoenix enthält einen
Installationsschutz,
um die Analyse zu erschweren. Insbesondere die Exploits gibt es erst nach
der erfolgreichen Installation.
Update 26.5.2011:
Es sind mehrere Exploit-Kits im Internet aufgetaucht, die in der
nächsten Folge
beschrieben werden!
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits
-
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Mehrere Exploit-Kits im Internet aufgetaucht
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden? Virensc
Aufgenommen: Okt 17, 11:29
Ab dieser Folge gibt es einen Überblick über die 2011 auf Sicherheitskonferenzen vorgestellten neuen Angriffe, Schutzmaßnahmen und Co., den Anfang machen Angriffe auf und über den Webbrowser bzw. den Client-Teil der Webanwendunge
Aufgenommen: Dez 01, 08:21
In den letzten zwei Wochen des Jahres 2011 wurden noch mal einige Schwachstellen veröffentlicht. Kommentieren werde ich davon hier nur drei: Die DoS-Schwachstelle in gängigen Skriptsprachen und Plattformen für Webanwendungen, die von
Aufgenommen: Jan 02, 09:43
Zwei Berichten zu Folge wird (relativ) massiv über kompromittierte Wordpress-3.2.1-Installationen ein Exploit-Kit verbreitet. Darüber, wie die Wordpress-Installationen kompromittiert werden, herrscht Unklarheit. Zumindest gibt es zwei E
Aufgenommen: Feb 02, 10:32
Man nehme einige SQL-Injection-Massenhacks, eine Prise Drive-by-Infektionen und zwei Exploit-Kits, würze mit einigen Kommentaren, rühre gut um - und schon ist dieser Standpunkt fertig. Lizamoon weiterhin aktiv Vor etwas mehr als
Aufgenommen: Mai 14, 07:37
Windows 8 Metro begünstigt Phishing, und das Exploit-Kit Blackhole macht wieder von sich reden. Zwei Themen, zu denen ich unbedingt meinen Senf dazugeben möchte. Phisher-freundliches Windows 8 Metro Prashant Gupta von McAfee hat
Aufgenommen: Jul 02, 07:01
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird
Aufgenommen: Aug 30, 09:13
Heute gibt es mal wieder Kommentare zu einer ganzen Reihe neuer Entwicklungen: Zur Selbsterkenntnis eines Virenscanners, einer statistischen Analyse von PINs, Spam für Cyberkriminelle, sicherer Entwicklung, gekürzten Hotmail-Passwörter
Aufgenommen: Sep 24, 10:07
Laut einer Ankündigung des russischen Sicherheitsunternehmens Group-IB gibt es einen funktionsfähigen Exploit für den Adobe Reader X, der sämtliche Schutzfunktionen einschließlich der Sandbox aushebelt. Das wäre das
Aufgenommen: Nov 12, 09:57
In der letzten Woche hatte ich des öfteren den Eindruck eines Deja Vu. Oder um es mit Bernd dem Brot zu sagen: Alles ist wie immer, bloss schlimmer. Angriffe auf mTANs Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren.
Aufgenommen: Nov 19, 10:19
Es gibt Neues zu Flame, ein neuer Wurm macht den Nahen Osten unsicher, ein Exploit-Kit scheint sich auf Java zu spezialisieren, und ein Rootkit verbreitet Drive-by-Infektionen. Das ist doch ein paar Kommentare wert. Neues zu Flame Sie erinn
Aufgenommen: Nov 26, 08:11
Heute gibt es Kommentare und Neuigkeiten... ... zu einem Java-Exploit Brian Krebs berichtet, dass auf dem Schwarzmarkt ein Exploit für eine bisher unbekannte Schwachstelle in Java angeboten wird. Vermutlich dürften die Entwick
Aufgenommen: Dez 03, 10:08
Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich. Erste Angriffe am 27. 21. 7 Dezember 2012 Laut Symantec und FireEye konnten die er
Aufgenommen: Jan 07, 11:35
Mein Artikel im PHP Magazin 2.2013 beschäftigt sich mit den auch hier im Blog schon behandelten Drive-by-Infektionen. Da der Artikel im PHP Magazin erschienen ist, liegt der Schwerpunkt natürlich auf PHP. Konkret erkläre ich am B
Aufgenommen: Jan 10, 17:20
Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen: 10. Januar: Exploit "in the wild" und vielen Ex
Aufgenommen: Jan 14, 00:48
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: 28. Februar: FireEye meldet die nächste Java-0-Day-Schwachstelle F
Aufgenommen: Mär 04, 09:06
Heute gibt es Kommentare und Hinweise zu installierten Java-Versionen, gefährlichen .apk-Dateien, einem übergewichtigen Rootkit und einer Info-Seite zu SSL/TLS. Java oft veraltet Wie aktuell ist eigentlich ihre Java-Version? Ist die a
Aufgenommen: Apr 02, 10:01
Zur Zeit greift ein Botnet Wordpress- und Joomla-Installationen an und versucht, über einen Brute-Force-Angriff das Administrator-Passwort zu ermitteln. Was danach passiert, ist nicht ganz klar: Entweder wird auf den erfolgreich angegriffenen S
Aufgenommen: Apr 15, 14:12