sabato 13 ottobre 2012

BlackHole exploit Kit 2.0 e nuovo layout della pagina di redirect (13 ottobre)

AVVISO ! Ricordo, come sempre, che, anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).
Si tratta di links a malware ed exploits, spesso poco riconosciuti dai software AV.

Sino a qualche giorno fa erano numerosi i links, trovati in rete, a pagine come questa


notoriamente legate alla distribuzione di codici di exploits attraverso il kit BlackHole.


Da pochi giorni notiamo invece la quasi totale scomparsa delle pagine con il "vecchio" messaggio di attesa 'WAIT PLEASE Loading ....'  mentre sta aumentando il numero di quelle che presentano questo layout


anche come risulta da questo report:


Analizzando il sorgente di uno dei casi presenti troviamo


con una struttura simile a quella vista per i codici che linkavano a BlackHole exploit in passato 


Nella nuova pagina possiamo anche notare la presenza, tra i 3 proposti, di un link a sito .IT compromesso.


Seguendo il link e troviamo



Si tratta del successivo redirect alla pagina che ospita gli exploit e che contiene un codice offuscato che vediamo in dettaglio:


Una volta de-offuscato appare subito il tipico codice gia' noto in precedenti casi e da cui estraiamo 


con link a fake update flash 


dai contenuti malevoli, ben poco rilevati in VT 


Altro frammento di codice


vede un link a fake PDF con riconoscimento in VT ancora  piu' basso


Naturalmente questi files fanno parte del codice di exploit che, se presenti vulnerabilita' attive, produrra' i noti effetti sulla macchina colpita.
Ulteriori analisi della URL malevola mostrano conferma dei contenuti pericolosi classificandoli come collegati alla distribuzione BlackHole exploit Kit 2.0.


Per capire meglio cosa sia cambiato dalla vecchia versione del KIT alla nuova e' interessante andare a leggere una sorta di  'pubblicita'' al BlackHole kit 2.0 che e' rintracciabile online.
Il testo ci offre la possibilita' di conoscere, almeno in parte, anche quali 'misure' siano prese dai creatori del KIT per evitare il rilevamento e l'analisi online dello stesso.

Ecco una parziale traduzione

…............. le aziende AV sono diventate molto veloci nel riconoscere BlackHole come malware. 
Nella nuova versione abbiamo riscritto da zero, non solo una parte del rilascio degli exploit, ma anche il pannello di amministrazione.
Tra le novita':
1. E' implementata la massima protezione dai sistemi automatici per il download di exploit, utilizzati dalle aziende AV: viene generato un solo URL dinamico, che e' valido per alcuni secondi e cio' ti garantisce una sola 'vittima' alla volta.
2. Ora, il tuo eseguibile e' anche protetto dal download multipli, la societa' AV non potra' scaricarlo e questo manterra' l'exe piu' a lungo  attivo ........
3. Exploit JAR e PDF solo per versioni rilevate vulnerabili ai plug-in,  se il plugin presente non e' vulnerabile, non viene  utilizzato e non si entra in un loop di rilevamento delle vulnerabilita'.
4. Non si utilizza piu' il plugindetect per determinare la versione di Java cosa che elimina un sacco di codice in piu', accelerando in tal modo i pacchetti di download, …............
5. Sono stati rimossi tutti i vecchi exploits, con riduzione del codice, effetti visivi non voluti e crash del browser, come Flash, HCP, PDF-All ...
6. Nella versione 1.X,c il links al payload maligno purtroppo era riconoscibile dagli AV e dal reverse del codice come .. / Main.php? Varname = lgjlrewgjlrwbnvl2. 
La nuova versione del collegamento al payload maligno si puo' scegliere tra varie possibilita'
Ecco alcuni esempi:
 /news/index.php
 /contatti.php 
e cosi' via.
Per il momento nessun AV puo' evidenziare il nome creato automaticamente da dizionario con  parole reali e non con lettere casuali.
7. Quando il visitatore rientra sul sito exploit puoi decidere cosa fare:...........  reindirizzare su qualsiasi altro sito   ecc....
8. Ora tutte le URL sono dinamiche, senza nomi permanenti per le variabili che potrebbero essere rilevabili ….......
Inoltre abbiamo sviluppato e implementato trucchi che preferiamo non rivelare in pubblico perche' i concorrenti e le societa' AV possono leggere queste note.

Tra le innovazioni nel pannello di amministrazione:
1. Captcha inserito per l'accesso
2. Le statistiche selezionabili dal menu a tendina nella home page delle statistiche, disponibile la visualizzazione rapida ecc......
….............
5. Elenco dei sistemi operativi: aggiunto Win 8 e dispositivi mobili, in modo da vedere il volume di traffico mobile e il traffico cellulare........
…................
10. C'e' una nuova voce "Versione Software", dove si puo' vedere la versione dei plug-in Java, Acrobat Reader …..... E 'molto utile per valutare la qualita' del traffico e per monitorare  la versione corretta del plugin.
11. Completamente aggiornata la "Sicurezza"
a) la possibilita' di bloccare il traffico senza referer (si consiglia di tenere sempre ON)
b) la possibilita' di vietare referer inutili
c) la possibilita' di vietare tutti i referer ad eccezione di alcuni
d) la possibilita' di vietare i bot …....
d) la possibilita' di vietare rete TOR........  (si consiglia di tenere sempre ON)
…....................
12. Menu,"Statistiche Ban", in cui e' possibile vedere il numero di traffico bloccato, e la ragione …......
13. Nella sezione impostazioni, e' ora possibile specificare piu' in dettaglio cio' che vogliamo fare con le statistiche di provenienza 
14. Aggiornare il database GeoIP con un solo clic in Admin
…......................
In effetti, la versione 2.0  e' un sistema completamente nuovo scritto interamente da zero, visti i piu' di due anni di attivita', della versione 1. * 

Come si vede da quanto sommariamente tradotto una panoramica abbastanza dettagliata su caratteristiche e possibilita' di un KIT  di distribuzione di exploits che e' probabilmente uno tra i piu' utilizzati attualmente.

Edgar

Nessun commento: