Mehrere Exploit-Kits im Internet aufgetaucht

Geschrieben von Carsten Eilers am Donnerstag, 26. Mai 2011 um 10:28

Nach dem (und teilweise parallel zum) Zeus-Sourcecode sind eine ganze Reihe von Exploit-Kits im Internet aufgetaucht. Und zwar als vollständige Archive und nicht nur im Rahmen von Drive-by-Infektionen, wie es eigentlich üblich ist.

Exploit-Kits "in the wild"

Einen Teil der Exploit-Kits findet man ständig "in the Wild". Und damit meine ich nicht einen Teil im Sinne von "einige der Kits", sondern wirklich (Bestand)teile der Kits: Die Exploits sowie der JavaScript-Code, der die Opfer zu den Exploits lotst. Die sorgen für die Kompromittierung der Rechner harmloser Websurfer im Rahmen von Drive-by-Infektionen und können natürlich, so wie alle anderen im Internet veröffentlichten Dateien auch, von jedermann heruntergeladen und analysiert werden. Jetzt sind aber eine größere Anzahl von vollständigen Exploit-Kits "in the Wild" aufgetaucht, genauer: Ebenso wie der Zeus-Sourcecode bei allen bekannten Filehostern. Denn jedes Exploit-Kit besteht aus

Frontend und Backend

oder besser "Exploits und Administrations-Tool": Der Schadcode, sowohl in Form der JavaScript-Dateien als auch der eigentlichen Exploits für verschiedene Schwachstellen, ist ja nur der für die Opfer sichtbare Teil der Exploit-Kits. Dahinter steht eine mehr oder weniger ausgefeilte Administrationsoberfläche, mit der die Cyberkriminellen die Drive-by-Infektionen vorbereiten. Und diese Administrationsoberflächen samt zugehörigen Tools zum Erstellen und Konfigurieren der Tools waren bisher nur auf entsprechenden Schwarzmärkten erhältlich.

Black Hole - das prominenteste veröffentlichte Kit

(Mehr oder weniger) Allgemein bekannt wurde das Auftauchen der Exploit-Kits, namentlich Black Hole und Impassioned Framework, nachdem threatpost darüber berichtet hat. Dort wird auch der aktuelle, sonst übliche Preis für das Exploit-Kit "Black Hole" genannt: 1.500 US-Dollar pro Jahr. Das klingt relativ teuer, es gibt aber noch teurere, das Impassioned Framework kostet laut Heise Security normalerweise 4.000 Euro pro Jahr. Und trotz (oder wegen, evtl. sind die 1.500 US-Dollar ja zur Zeit ein Schnäppchen?) des Preises ist Black Hole das zur Zeit verbreitetste Exploit-Kit.

threatpost hat Aviv Raff von Seculert zu Black Hole befragt, der das veröffentlichte Kit für eine ältere Version hält, in der sehr wahrscheinlich die neuesten Exploits fehlen. Das ist für die Cyberkriminellen aber nicht unbedingt ein Problem, da es i.A. sehr viele Rechner gibt, auf denen nie oder nur selten Patches installiert werden. Und die fallen dann auch einer eigentlich längst behobenen, uralten Schwachstelle zum Opfer.

Exploits mit bzw. nach Umleitungen

In der veröffentlichten Version von Black Hole enthalten ist laut threatpost aber ein besonderes "Feature" dieses Exploit-Kits: Das TDS oder Traffic Direction Script, dass die Benutzer je nach verwendeten Browser und System auf verschiedene Zielseiten mit jeweils speziellen Exploits weiterleitet. Solche "Browserweichen" gibt es auch in anderen Exploit-Kits, die von Black Hole soll aber besonders ausgefeilt sein. Nachdem der Code nun veröffentlicht wurde dürften die Entwickler der anderen Exploit-Kits nicht lange zögern und ihre Versionen entsprechend verbessern.

Black Hole, Impassioned Framework - und mehr

Bisher war nur von Black Hole und (kurz) von Impassioned Framework die Rede, aber diese beiden Exploit-Kits sind nur die prominenten "Spitze(n) des Eisbergs" und die aktuellsten Veröffentlichungen. Folgt man der im threatpost-Artikel verlinkten Quelle, landet man bei einer Aggregation-Website, die über eine Vielzahl weiterer Exploit-Kits berichtet, die ebenfalls bei verschiedenen Filehostern abgelegt wurden. Da scheint jemand den Entwicklern der Exploit-Kits das Geschäft verderben zu wollen, denn welcher Cyberkriminelle kauft noch ein Exploit-Kit, wenn er etliche mehr oder weniger aktuelle auch ohne Bezahlung herunterladen kann?

Skriptkiddies mit Massenvernichtungswaffen?

Die tatsächlichen Cyberkriminellen sind zumindest für einige Zeit evtl. das kleinere Problem: Durch die allgemeine Verfügbarkeit der Exploit-Kits können nun auch Skriptkiddies (und das im wahrsten Sinne des Wortes, denn die meisten Exploit-Kits werden über PHP-basierte Oberflächen gesteuert) Webseiten für Drive-by-Infektionen präparieren. Da einige der Kits im Grunde "point-and-shoot toolkits" sind, könnte es in nächster Zeit eine größere Anzahl zumindest auf den ersten Blick harmloser Websites geben, die mit Code für Drive-by-Infektionen verseucht sind. Die Frage ist nur, was die Skriptkiddies dann letztendlich einschleusen, denn die Exploit-Kits enthalten i.A. nur den Code zum Nachladen weiteren Schadcodes, der dann von den jeweiligen Cyberkriminellen je nach Einsatzzweck hinzugefügt wird. Aber mit dem Zeus-Sourcecode steht ja schon eine "Nutzlast" (oder besser "Schadlast") zur Verfügung.

Exploit-Kits mit Bugs

Zumindest eines der veröffentlichten Exploit-Kits, CrimePack, ist laut Brian Krebs nur eingeschränkt nutzbar, da ein Hauptbestandteil des Kits nicht funktioniert: Der Code zum Angriff auf Schwachstellen im Adobe Reader erzeugt keine funktionsfähigen Exploits. Das bestätigt auch eine Analyse im Blog "contagio".

Trojanische Exploit-Kits?

Nicht zu unterschätzen ist auch die Gefahr, dass die Exploit-Kits u.U. "von Haus aus" Hintertüren enthalten, über die auf die Server, auf denen die Administrations-Tools installiert werden, zugegriffen werden kann. Da die Skripte teilweise mit dem ionCube PHP Encoder getarnt sind, lassen sich mögliche Hintertüren nur schwer entdecken. Es ist auch nicht ausgeschlossen, dass die veröffentlichten Exploit-Kits um Hintertüren erweitert wurden - Cyberkriminellen ist in der Hinsicht (und jeder anderen auch) wohl alles zuzutrauen.

Lohnen sich Analysen?

Zum Schluss stellt sich die Frage, ob sich eine Analyse der Exploit-Kits lohnen würde. In den meisten Fällen dürfte die Antwort "Nein!" oder "Kaum!" sein, denn dem interessantesten Teil der Exploit-Kits begegnet man regelmäßig im Web: Den Exploits sowie den JavaScript-Skripten, die ihren Einsatz vorbereiten. Die müssen von Schutzprogrammen wie Virenscannern etc. erkannt werden, und das werden sie i.A. auch. Aus Websicherheits-Sicht sind die Exploit-Kits auch nur mäßig interessant, denn wie der Code für die Drive-by-Infektionen auf die harmlosen Server kommt, ist schon lange bekannt: SQL-Injection, kompromittierte Addserver, ausgespähte FTP-Zugangsdaten, bösartige Suchmaschinenoptimierung ... - nichts, worüber sich durch die Analyse der Exploit-Kits großartige neue Erkenntnisse gewinnen lassen. Die Administrationstools könnten höchstens Aufschluss über die weiteren Möglichkeiten zur Anpassung der Exploits geben, aber auch da dürfte man alles schon von der "Opferseite" her gesehen haben. Interessant sein könnten die Exploit-Kits für Analysen der Vorgehensweise der Cyberkriminellen, immerhin enthalten die Administrationstools z.B. auch Möglichkeiten zur Auswertung der Angriffe. Aber auch darüber wurde bereits mehrfach im Web berichtet. Insgesamt betrachtet, verraten die vollständigen Exploit-Kits nicht viel neues.

Auch der Nutzen für Penetration Tests hält sich in Grenzen, dazu sind Tools wie z.B. das Metasploit Framework mit harmlosen Test-Exploits besser geeignet. Und "Scharfe" Exploits zum Testen von Schutzmaßnahmen wie Virenscannern bekommt man im Web ja überall hinterher geschmissen. Der Besuch einer für Drive-by-Infektionen präparierten Seite reicht, und wo man die bei Bedarf findet, verrät die Malware Domain List. Sogar mit Hinweisen auf die zu findenden Exploits.

In der nächsten Folge geht es um weitere Kits: Rootkits, die sich so tief im System einnisten, dass sie kaum entdeckt und nur schwer entfernt werden können.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware - Der Spion in Ihrem Computer

Viren - Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer - Schadsoftware, die sich selbst verbreitet

Trojaner - Der Feind im harmlosen Programm

Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...

Exploit-Kits

Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Mehrere Exploit-Kits im Internet aufgetaucht

Rootkits - Schadsoftware im System

Remote Administration Toolkits - Fernwartung in der Grauzone

Botnets - Zombie-Plagen im Internet

Schadsoftware - Infektionen verhindern

Schadsoftware im Überblick

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Montag, 19. November 2012: Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr

Vorschau anzeigen

In der letzten Woche hatte ich des öfteren den Eindruck eines Deja Vu. Oder um es mit Bernd dem Brot zu sagen: Alles ist wie immer, bloss schlimmer. Angriffe auf mTANs Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren.

Dipl.-Inform. Carsten Eilers am Montag, 3. Dezember 2012: Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr

Vorschau anzeigen

Heute gibt es Kommentare und Neuigkeiten... ... zu einem Java-Exploit Brian Krebs berichtet, dass auf dem Schwarzmarkt ein Exploit für eine bisher unbekannte Schwachstelle in Java angeboten wird. Vermutlich dürften die Entwick

Dipl.-Inform. Carsten Eilers am Dienstag, 15. Juli 2014: Jede Menge Wiederholungen: WM-Titel, gefälschte SSL-Zertifikate, Zeus-Botnets, ...

Vorschau anzeigen

Heute gibt es jede Menge Wiederholungen zu kommentieren. Los geht es mit "dem Thema" der Woche, das kann ich ja schlecht ignorieren. Wir sind Fussball-Weltmeister! Wir? Nicht die Fußballnationalmannschaft? Naja, wir waren ja auch schon mal

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30