Dipl.-Inform. Carsten Eilers

Einen Teil der Exploit-Kits findet man ständig “in the Wild”. Und
damit meine ich nicht einen Teil im Sinne von “einige der Kits”, sondern
wirklich (Bestand)teile der Kits: Die Exploits sowie der JavaScript-Code,
der die Opfer zu den Exploits lotst. Die sorgen für die
Kompromittierung der Rechner harmloser Websurfer im Rahmen von
Drive-by-Infektionen
und können natürlich, so wie alle anderen im Internet
veröffentlichten Dateien auch, von jedermann heruntergeladen und
analysiert werden. Jetzt sind aber eine größere Anzahl von
vollständigen Exploit-Kits “in the Wild” aufgetaucht, genauer: Ebenso
wie der
Zeus-Sourcecode
bei allen bekannten Filehostern. Denn jedes Exploit-Kit besteht aus

Frontend und Backend

oder besser “Exploits und Administrations-Tool”: Der Schadcode, sowohl in
Form der JavaScript-Dateien als auch der eigentlichen Exploits für
verschiedene Schwachstellen, ist ja nur der für die Opfer sichtbare
Teil der Exploit-Kits. Dahinter steht eine mehr oder weniger ausgefeilte
Administrationsoberfläche, mit der die Cyberkriminellen die
Drive-by-Infektionen vorbereiten. Und diese
Administrationsoberflächen samt zugehörigen Tools zum Erstellen
und Konfigurieren der Tools waren bisher nur auf entsprechenden
Schwarzmärkten erhältlich.

Black Hole – das prominenteste veröffentlichte Kit

(Mehr oder weniger) Allgemein bekannt wurde das Auftauchen der
Exploit-Kits, namentlich Black Hole und Impassioned Framework, nachdem
threatpost darüber
berichtet
hat. Dort wird auch der aktuelle, sonst übliche Preis für das
Exploit-Kit “Black Hole” genannt: 1.500 US-Dollar pro Jahr. Das klingt
relativ teuer, es gibt aber noch teurere, das Impassioned Framework kostet
laut Heise Security
normalerweise 4.000 Euro pro Jahr. Und trotz (oder wegen, evtl.
sind die 1.500 US-Dollar ja zur Zeit ein Schnäppchen?) des Preises ist
Black Hole das zur Zeit
verbreitetste
Exploit-Kit.

threatpost hat Aviv Raff von Seculert zu Black Hole befragt, der das
veröffentlichte Kit für eine ältere Version hält, in
der sehr wahrscheinlich die neuesten Exploits fehlen. Das ist für die
Cyberkriminellen aber nicht unbedingt ein Problem, da es i.A. sehr viele
Rechner gibt, auf denen nie oder nur selten Patches installiert werden.
Und die fallen dann auch einer eigentlich längst behobenen, uralten
Schwachstelle zum Opfer.

Exploits mit bzw. nach Umleitungen

In der veröffentlichten Version von Black Hole enthalten ist laut
threatpost aber ein besonderes “Feature” dieses Exploit-Kits: Das TDS oder
Traffic Direction Script, dass die Benutzer je nach verwendeten Browser und
System auf verschiedene Zielseiten mit jeweils speziellen Exploits
weiterleitet. Solche “Browserweichen” gibt es auch in anderen
Exploit-Kits, die von Black Hole soll aber besonders ausgefeilt sein.
Nachdem der Code nun veröffentlicht wurde dürften die Entwickler
der anderen Exploit-Kits nicht lange zögern und ihre Versionen
entsprechend verbessern.

Black Hole, Impassioned Framework – und mehr

Bisher war nur von Black Hole und (kurz) von Impassioned Framework die
Rede, aber diese beiden Exploit-Kits sind nur die prominenten “Spitze(n)
des Eisbergs” und die aktuellsten Veröffentlichungen. Folgt man der im
threatpost-Artikel
verlinkten Quelle, landet man bei einer Aggregation-Website, die über
eine Vielzahl weiterer Exploit-Kits berichtet, die ebenfalls bei
verschiedenen Filehostern abgelegt wurden. Da scheint jemand den
Entwicklern der Exploit-Kits das Geschäft verderben zu wollen, denn
welcher Cyberkriminelle kauft noch ein Exploit-Kit, wenn er etliche mehr
oder weniger aktuelle auch ohne Bezahlung herunterladen kann?

Skriptkiddies mit Massenvernichtungswaffen?

Die tatsächlichen Cyberkriminellen sind zumindest für einige Zeit
evtl. das kleinere Problem: Durch die allgemeine Verfügbarkeit der
Exploit-Kits können nun auch Skriptkiddies (und das im wahrsten Sinne
des Wortes, denn die meisten Exploit-Kits werden über PHP-basierte
Oberflächen gesteuert) Webseiten für Drive-by-Infektionen
präparieren. Da einige der Kits im Grunde “point-and-shoot
toolkits”
sind,
könnte es in nächster Zeit eine größere Anzahl
zumindest auf den ersten Blick harmloser Websites geben, die mit Code
für Drive-by-Infektionen verseucht sind. Die Frage ist nur, was die
Skriptkiddies dann letztendlich einschleusen, denn die Exploit-Kits
enthalten i.A. nur den Code zum Nachladen weiteren Schadcodes, der dann von
den jeweiligen Cyberkriminellen je nach Einsatzzweck hinzugefügt wird.
Aber mit dem
Zeus-Sourcecode
steht ja schon eine “Nutzlast” (oder besser “Schadlast”) zur Verfügung.

Exploit-Kits mit Bugs

Zumindest eines der veröffentlichten Exploit-Kits, CrimePack, ist
laut Brian Krebs
nur eingeschränkt nutzbar, da ein Hauptbestandteil des Kits nicht
funktioniert: Der Code zum Angriff auf Schwachstellen im Adobe Reader
erzeugt keine funktionsfähigen Exploits. Das bestätigt auch eine
Analyse
im Blog “contagio”.

Trojanische Exploit-Kits?

Nicht zu unterschätzen ist auch die Gefahr, dass die Exploit-Kits u.U. “von
Haus aus” Hintertüren enthalten, über die auf die Server, auf denen die
Administrations-Tools installiert werden, zugegriffen werden kann. Da die
Skripte teilweise mit dem
ionCube PHP Encoder
getarnt sind, lassen sich mögliche Hintertüren nur schwer entdecken.
Es ist auch nicht ausgeschlossen, dass die veröffentlichten Exploit-Kits
um Hintertüren erweitert wurden – Cyberkriminellen ist in der Hinsicht
(und jeder anderen auch) wohl alles zuzutrauen.

Lohnen sich Analysen?

Zum Schluss stellt sich die Frage, ob sich eine Analyse der Exploit-Kits
lohnen würde. In den meisten Fällen dürfte die Antwort “Nein!”
oder “Kaum!” sein, denn dem interessantesten Teil der
Exploit-Kits begegnet man regelmäßig im Web: Den Exploits sowie den
JavaScript-Skripten, die ihren Einsatz vorbereiten. Die müssen von
Schutzprogrammen wie Virenscannern etc. erkannt werden, und das werden sie
i.A. auch. Aus Websicherheits-Sicht sind die Exploit-Kits auch nur mäßig
interessant, denn wie der Code für die Drive-by-Infektionen auf die
harmlosen Server kommt, ist schon
lange
bekannt:
SQL-Injection, kompromittierte Addserver, ausgespähte
FTP-Zugangsdaten, bösartige Suchmaschinenoptimierung … – nichts,
worüber sich durch die Analyse der Exploit-Kits großartige neue
Erkenntnisse gewinnen lassen. Die Administrationstools könnten
höchstens Aufschluss über die weiteren Möglichkeiten zur
Anpassung der Exploits geben, aber auch da dürfte man alles schon von
der “Opferseite” her gesehen haben. Interessant sein könnten die
Exploit-Kits für Analysen der Vorgehensweise der Cyberkriminellen,
immerhin enthalten die Administrationstools z.B. auch Möglichkeiten
zur Auswertung der Angriffe. Aber auch darüber wurde bereits mehrfach im
Web berichtet. Insgesamt betrachtet, verraten die vollständigen
Exploit-Kits nicht viel neues.

Auch der Nutzen für Penetration Tests hält sich in Grenzen, dazu
sind Tools wie z.B. das
Metasploit Framework
mit harmlosen Test-Exploits besser geeignet. Und “Scharfe” Exploits zum
Testen von Schutzmaßnahmen wie Virenscannern bekommt man im Web ja
überall hinterher geschmissen. Der Besuch einer für
Drive-by-Infektionen präparierten Seite reicht, und wo man die bei
Bedarf findet, verrät die
Malware Domain List.
Sogar mit Hinweisen auf die zu findenden Exploits.

In der
nächsten Folge
geht es um weitere Kits: Rootkits, die sich so tief
im System einnisten, dass sie kaum entdeckt und nur schwer entfernt werden
können.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware – Der Spion in Ihrem Computer

Viren – Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer – Schadsoftware, die sich selbst verbreitet

Trojaner – Der Feind im harmlosen Programm

Zeus – Trojaner, Botnet, Schädlingsbaukasten, …

Exploit-Kits

Exploit-Kits – Die Grundlage für Drive-by-Infektionen

Mehrere Exploit-Kits im Internet aufgetaucht

Rootkits – Schadsoftware im System

Remote Administration Toolkits – Fernwartung in der Grauzone

Botnets – Zombie-Plagen im Internet

Schadsoftware – Infektionen verhindern

Schadsoftware im Überblick