Наш журнал не назывался бы так, как он называется, если бы с завидной регулярностью мы не анализировали ситуацию в мире эксплойт-паков и drive-by-загрузок (см., например, ][ № 162). С момента последнего обзора много изменений коснулись средств для доставки вредоносного кода. В частности, люди, в чьи обязанности входит оберегать простых трудящихся от всяческих опасностей всемирной паутины, не спали, и арест небезызвестного Paunch’а — автора некогда самого популярного набора эксплойтов Black Hole — наверняка повлиял на перераспределение основных игроков на рынке эксплойт-паков.

 

WARNING!

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Новость об аресте Paunch’а в твиттере сотрудника компании Fox-IT Мартена Боне
Новость об аресте Paunch’а в твиттере сотрудника компании Fox-IT Мартена Боне

В нашем сегодняшнем списке будет представлено девять наиболее популярных наборов эксплойтов. При этом стоит отметить, что такого явного лидера, каким в свое время был Black Hole, среди них нет, а популярность того или иного представителя разными исследователями и антивирусными компаниями оценивается не всегда одинаково. Тем не менее общая картина выглядит примерно таким образом:

  • Angler Exploit kit;
  • Sweet Orange Exploit kit;
  • Nuclear Exploit kit;
  • Fiesta Exploit kit;
  • Magnitude Exploit kit;
  • Neutrino Exploit kit;
  • Astrum Exploit kit;
  • RIG Exploit kit;
  • Archie Exploit kit.
Состав эксплойт-паков из сегодняшнего обзора
Состав эксплойт-паков из сегодняшнего обзора
 

Angler Exploit kit

Лидер нашего сегодняшнего обзора. Появился в конце прошлого года, и, по некоторым данным, многие пользователи Black Hole Exploit Kit перешли на использование этого эксплойт-пака после ареста Paunch’а. На сегодняшний день имеет в своем арсенале эксплойты к двенадцати уязвимостям (причем две из них весьма свежие).

Первая (CVE 2015-0311) позволяет выполнить произвольный код во Flash версий до 16.0.0.287 для Windows и OS X, вторая (CVE 2015-0310) — обойти ограничения безопасности в Adobe Flash Player, отключить ASLR и выполнить произвольный код.

Angler EK на malwaredomainlist.com
Angler EK на malwaredomainlist.com

Перед началом своей вредоносной деятельности Angler EK проверяет, не запущена ли атакуемая машина в виртуальной среде (распознаются VMware, VirtualBox и Parallels Workstation по наличию соответствующих драйверов) и какие антивирусные средства установлены (определяются различные версии Касперского, антивирусы от Trend Micro и Symantec, антивирусная утилита AVZ). Помимо перечисленного, еще проверяется наличие web-дебаггера Fiddler.

Проверка наличия виртуалок, аверов и прочего палева в Angler EK
Проверка наличия виртуалок, аверов и прочего палева в Angler EK

Кстати говоря, такого рода проверки в той или иной степени нынче реализованы во многих эксплойт-паках, в том числе и из нашего сегодняшнего обзора.

Код Angler EK, как и положено, очень хорошо обфусцирован и закриптован, а авторы регулярно чистят код эксплойт-пака (по мере попадания его в антивирусные базы).

 

Sweet orange Exploit kit

Хотя этот эксплойт-пак не так уж молод (появился он еще в 2012 году), он может похвастаться не самой малой популярностью (особенно после октября 2013 года) и эксплуатацией одной свежей уязвимости. По заявлениям некоторых исследователей, пробив эксплойт-пака составляет около 15%. На данный момент включает в себя эксплойты для десяти уязвимостей, и, в отличие от Angler EK, Sweet Orange эксплуатирует несколько уязвимостей к Java (CVE 2012-1723, CVE 2013-2424, CVE 2013-2460, CVE 2013-2471).

Инсталлер для Sweet Orange EK
Инсталлер для Sweet Orange EK

Sweet Orange использует алгоритм генерации случайных доменных имен каждые несколько минут, что затрудняет обнаружение и исследование этого эксплойт-пака. К примеру, имена поддоменов могут иметь такой вид:

  • abnzzkpp.syt*.net
  • abtkslxy.syt*.net
  • ajijaohoo.syt*.net
  • ancezvwzvn.syt*.net
  • azrrfxcab.syt*.net
  • bnfjqksp.syt*.net
  • bvakjbktwg.syt*.net

Для проверки доменных имен и IP-адресов на их наличие в блек-листах разных антивирусов используется сервис scan4you.net, пользователь связки может указать и другой сервис проверки.

Авторы этого эксплойт-пака крайне неохотно делятся информацией о деталях своего творения и практически не дают возможности подглядеть хотя бы кусочек кода.

Кусочек обфусцированного кода Sweet Orange EK
Кусочек обфусцированного кода Sweet Orange EK

Цена связки — 2500 WMZ плюс первые две недели чисток и смены доменов бесплатно.

Дополнительные услуги:

  • Чистка: один месяц — 1000 WMZ.
  • Смена доменов:
    • ограничение по количеству, цена указана за один домен:
      • до 10 — 25 WMZ;
      • от 10 до 30 — 15 WMZ;
      • от 30 — 10 WMZ.
    • ограничение по времени (в днях):
      • 10 — 300 WMZ;
      • 20 — 400 WMZ;
      • 30 — 600 WMZ.
  • Смена сервера: 20 WMZ.
 

Nuclear Exploit kit

Первые версии этой связки эксплойтов появились еще в 2009 году. На сегодняшний день самый заряженный эксплойт-пак из всех представленных в обзоре и включает в себя эксплойты к двенадцати уязвимостям (стоит заметить, что далеко не все из них первой свежести).

Nuclear Exploit kit собственной персоной
Nuclear Exploit kit собственной персоной

В большинстве случаев для заражения используется трехуровневый редирект по следующей схеме: первый уровень — скомпрометированная веб-страница с внедренным iframe, второй уровень — ссылка на эксплойт-пак и третий — непосредственно сама связка.

Код эксплойт-пака очень сильно обфусцирован, присутствует большое количество объявленных в разных местах переменных и функций, которые не используются.

Для деобфускации кода при выполнении Nuclear EK использует примерно вот такие функции (думаю действия, которые выполняют эти функции, понятны без пояснений):

VV8Y6W = function(uAVnC, mhTbz) {
    return uAVnC[concat](mhTbz);
};
WL3 = function(uAVnC, mhTbz, YSu) {
    return uAVnC[substr](mhTbz, YSu);
};

Ко всему прочему код некоторых функций, в частности скрипт определения платформы и версий плагинов браузера (для определения плагинов используется JS-библиотека PluginDetect), генерируется динамически:

j_version = PluginDetect.GetVersion('Java');
p_version = PluginDetect.GetVersion('AdobeReader');
f_version = PluginDetect.GetVersion('Flash');
s_version = PluginDetect.GetVersion('Silverlight');

Стоимость аренды авторы оценили таким образом (в зависимости от трафика и времени пользования):

Месяц:

  • 50k — 500 WMZ;
  • 100k — 800 WMZ;
  • 200k — 1200 WMZ;
  • 300k — 1600 WMZ.

Две недели:

  • 50k — 300 WMZ;
  • 100k — 500 WMZ;
  • 200k — 700 WMZ;
  • 300k — 900 WMZ.

Одна неделя:

  • 100k — 300 WMZ;
  • 200k — 400 WMZ;
  • 300k — 500 WMZ.

Самая старая уязвимость в нашем обзоре — CVE 2010-0188, эксплойт к которой есть в составе Nuclear EK, позволяет с помощью специально сформированного PDF-файла выполнить произвольный код на атакуемой системе.

PDF-эксплойт LibTiff к уязвимости CVE 2010-0188 из состава Nuclear EK
PDF-эксплойт LibTiff к уязвимости CVE 2010-0188 из состава Nuclear EK

 

Fiesta Exploit kit

Этот эксплойт-пак начал свой путь с эксплойта к уязвимости CVE-2007-5659 в далеком 2008 году. На сегодня несет на борту девять эксплойтов, уязвимости к которым датируются 2010–2013 годами. Самые свежие из них уязвимости Silverlight, позволяющие выполнить произвольный код в системе из-за ошибки двойного разыменовывания указателя (CVE 2013-0074) или из-за некорректной обработки объектов в памяти (CVE 2013-3896).

Эксплойт к уязвимостям Silverlight из состава Fiesta EK
Эксплойт к уязвимостям Silverlight из состава Fiesta EK

Проверка на наличие нужных версий Silverlight и AdobeFlash производится таким образом:

// Проверка наличия Silverlight    
new ActiveXObject('AgControl.AgControl');
// Проверка Adobe Flash
new swfobject.embedSWF();

Если обе эти функции генерируют исключение, то происходит попытка эксплуатации других уязвимостей (Java или IE).

Одна из функций расшифровки строк в Fiesta EK
Одна из функций расшифровки строк в Fiesta EK

Код эксплойт-пака сильно обфусцирован и вдобавок использует шифрование большинства строк с помощью случайных чисел и последовательностей.

 

Magnitude Exploit kit

Связка появилась на рынке в начале 2013 года и поначалу была известна как PopAds Exploit Kit.

Основная фишка этого эксплойт-пака — использование сервиса scan4you.net для проверки IP-адресов и доменов, а также кода самого эксплойт-пака на предмет их обнаружения разными антивирусами. Помимо этого, Magnitude EK, так же как и Sweet Orange EK, использует динамическую генерацию и смену имен поддомена каждые несколько минут.

Страничка статистики от Magnitude EK
Страничка статистики от Magnitude EK

Несмотря на не самые свежие эксплуатируемые уязвимости (всего в этом наборе на сегодняшний момент их семь), этот эксплойт-пак дает вполне приемлемый пробив.

Деобфусцировать код связки можно с помощью метода String.fromCharCode, в качестве аргумента которого выступают элементы зашифрованной XOR’ом последовательности. Для того чтобы отделить элементы в этой последовательности друг от друга, используется символ %.

Деобфускация кода Magnitude EK
Деобфускация кода Magnitude EK

В отличие от других эксплойт-паков, Magnitude EK нельзя арендовать, к примеру на неделю или на месяц. Создатели этой связки в качестве оплаты берут некоторый процент зараженных компьютеров от общего трафика заказчика.

 

Neutrino Exploit kit

Свое путешествие этот эксплойт-пак начал приблизительно в марте 2013 года и включал в себя тогда эксплойты всего к двум уязвимостям (CVE 2012–1723 и CVE 2013–0431, обе для Java). На сегодня список эксплуатируемых уязвимостей немного расширился, теперь в нем пять эксплойтов для Java и один (CVE 2013-2551) к Internet Explorer.

Кусочек объявления об аренде Neutrino EK
Кусочек объявления об аренде Neutrino EK

Код эксплойт-пака обфусцирован примерно по такому же принципу, как и в Magnitude EK. Для деобфускации используется вот такая функция:

function xor (input, pass) {
    var output = "";
    var i = 0;
    var pos = 0;
    for (i = 0; i < input.length; i++){
    pos = Math.floor(i%pass.length);
    output += String.fromCharCode(input.charCodeAt(i) ^ pass.charCodeAt(pos));
    }
    return output;
}

«Полезная нагрузка», загружаемая Neutrino EK на зараженный компьютер жертвы, передается в зашифрованном с помощью XOR’a виде, что несколько снижает вероятность обнаружения антивирусными продуктами.

Стоимость аренды эксплойт-пака на общем сервере с общими чистками:

  • день — 40 долларов;
  • неделя — 150 долларов;
  • месяц — 450 долларов.

Таблица статистики для Neutrino EK
Таблица статистики для Neutrino EK

 

Astrum Exploit kit

Самый молодой набор эксплойтов в нашем сегодняшнем обзоре. По данным некоторых антивирусных компаний, дата его первого выхода в свет — приблизительно середина сентября 2014 года.

Код эксплойт-пака сильно обфусцирован и имеет внутри себя проверку на наличие различных хакерских утилит на заражаемой машине, антивирусных программ, а также факта запуска в виртуальной машине. Помимо этого, отдельной проверки удостоился плагин защиты экранной клавиатуры от Касперского:

try {
    var O = $(Kaspersky.IeVirtualKeyboardPlugin.JavaScriptApi.1);
    O && (mr = 1)
} catch (s) {}

Проверка наличия антивирусных и хакерских утилит в Astrum EK
Проверка наличия антивирусных и хакерских утилит в Astrum EK

В своем составе имеет эксплойты к семи уязвимостям (Silverlight, Flash, LibTiff и IE).

 

RIG Exploit kit

Свою вредоносную деятельность RIG EK начал в конце 2013 года и на сегодня эксплуатирует уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight.

Объявление про RIG EK
Объявление про RIG EK

На страницу с эксплойт-паком пользователи перенаправляются с помощью JS-скрипта, внедренного на скомпрометированную страницу, который на основе текущей даты (от нее берется CRC32-хеш) генерирует доменные имена, где и размещен код эксплойт-пака.

Генерация доменного имени в RIG EK
Генерация доменного имени в RIG EK

Наличие антивирусных продуктов эта связка эксплойтов тоже проверяет (правда, только Касперского и Trend Micro) — определяя, есть ли следующие драйверы:

  • c:\\Windows\\System32\\drivers\\kl1.sys
  • c:\\Windows\\System32\\drivers\\tmactmon.sys
  • c:\\Windows\\System32\\drivers\\tmcomm.sys
  • c:\\Windows\\System32\\drivers\\tmevtmgr.sys
  • c:\\Windows\\System32\\drivers\\TMEBC32.sys
  • c:\\Windows\\System32\\drivers\\tmeext.sys
  • c:\\Windows\\System32\\drivers\\tmnciesc.sys
  • c:\\Windows\\System32\\drivers\\tmtdi.sys

Стоимость этого набора эксплойтов:

  • день — 40 долларов;
  • неделя — 100 долларов;
  • месяц — 500 долларов.
 

Archie Exploit kit

Этот эксплойт-пак появился относительно недавно (по данным компании F-Secure — приблизительно в конце июля прошлого года). Его создатели не стали утруждать себя самостоятельной разработкой кода и взяли за основу эксплойт-модули из Metasploit Framework, а для получения информации о версиях Silverlight, Flash и прочего используется JS-библиотека PluginDetect.

Первые версии Archie не баловали своих пользователей ни обфускацией, ни какими-либо другими хитростями, однако в более поздних версиях появились как запутывание кода и шифрование URL’ов и названий файлов, так и проверка на наличие виртуальных машин и антивирусных программ.

Проверка наличия виртуалки и антивирусных программ в Archie EK
Проверка наличия виртуалки и антивирусных программ в Archie EK

 

Заключение

Капитан Очевидность из своей суфлерской будки подсказывает мне, что с течением времени уязвимостей и эксплойт-паков меньше не становится. Поэтому, подводя итог, можно сделать несколько выводов:

  • авторы большинства эксплойт-паков от прямой продажи перешли к аренде на своих серверах, при этом зачастую они предоставляют полный цикл услуг — от чистки до постоянной смены доменных имен и проверок на обнаружение антивирусами;
  • почти во всех эксплойт-паках стали очень активно эксплуатироваться уязвимости Java и Silverlight;
  • многие эксплойт-паки стали обзаводиться функциями распознавания наличия виртуальных машин, антивирусов и разных хакерских утилит;
  • уязвимость CVE 2013-2551 пользуется большой популярностью и используется во всех наборах эксплойтов из нашего обзора.

WWW

Совсем недавно исходные коды RIG Exploit Kit утекли в свободный доступ. Про это можно прочитать на Хабре.

6 комментариев

  1. 09.04.2015 at 17:29

    Спасибо за обзор , купим испробуем..

    • 09.04.2015 at 19:27

      😀 Если бы вы умели пробовать, давно бы уже попробовали. Сто лет в обед этому всему.

  2. 09.04.2015 at 18:24

    жалко бабок за юмористические статьи

  3. http://vskoole.net/

    09.06.2015 at 15:00

    Весьма полезная информация

  4. dmitryspb

    06.08.2015 at 02:21

    spasibo ochen interesno, ktonibud moget podskazat contact gde mogno kupit etu programmy (esp. angler / sweet orange) pogaluista esli u kogo to est kakaya libo informaziya mogete napisat mne na dmitrypsb@gmx.com OR private message.

Оставить мнение

Check Also

Конкурс хаков: пишем на PowerShell скрипт, который уведомляет о днях рождения пользователей Active Directory

В компаниях часто встречается задача уведомлять сотрудников о приближающихся днях рождения…