Prendendo spunto da un interessante Technical paper "Learn about the Blackhole exploit kit" pubblicato da Sophos e che che trovate QUI, vediamo di analizzare qualche altro dettaglio di una delle minacce malware piu' diffuse negli ultimi mesi, Blackhole Exploit e relativo Kit di distribuzione.
Come rileva Sophos, negli ultimi anni il volume di codice malware distribuito in rete e' cresciuto notevolmente, soprattutto grazie anche all'uso di KITs .
Per descrivere questi codici sempre piu' sofisticati in effetti si e' coniato il termine di "crimeware" che forse descrive meglio il processo di automazione generato dal malware legato al “cybercrime".
Blackhole Exploit Kit e' solo uno dei tanti kit di distribuzione malware disponibili sul web che permettono di sfruttare vulnerabilita' relative al software installato sul PC di chi visita la pagina web compromessa ( vulnerabilita' Java, Adobe Reader o Flash, Internet Explorer di Microsoft ecc..... )
Da ricordare che i kits forniscono non solo gli strumenti per distribuire malware, ma anche ,in alcuni casi , i sistemi utilizzati per gestire reti di computer infetti.
Inoltre, a dimostrazione della continua 'evoluzione' di Backhole Exploit una ricerca condotta da Symantec e Sophos, dimostra che il kit e' stato aggiornato recentemente con alcune nuove caratteristiche, che vedremo meglio al termine del post.
Prima di analizzare brevemente il Kit ricordiamo le varie fasi di un semplice uso di Blackhole ai danni di utenti internet.
1 Il kit di exploits Blackhole viene fornito dagli autori con varie opzioni di personalizzazione.
2 La vittima potenziale carica una pagina web compromessa o apre un collegamento dannoso presente in una e-mail spam.
3 La pagina web compromessa od il collegamento dannoso presente in e-mail di spam redirigono l'utente alla pagina di destinazione del Blackhole exploit kit server, contente gli exploits.
Si tratta di codice JavaScript offuscato che tenta di caricare sul computer della “vittima” gli exploit ai quali il computer e' vulnerabile.
Se l'exploit e' utilizzabile, viene notificato al server Blackhole che e' stato caricato il relativo 'payload' con successo.
Il KIT
Ci sono diverse versioni di kit exploit Blackhole.
La v.1.0.0 e' uscita alla fine del 2010 seguita poi dal nuovi aggiornamenti sino a quelli usciti nel 2012.
Il kit e' composto da una serie di script PHP progettati per funzionare su un server web.
Questo uno screenshot della struttura del KIT (si tratta di una versione reperibile free in rete ma abbastanza datata)
Analizzando gli script si vede come siano tutti protetti con l'encoder commerciale ionCube.
Lo scopo puo' essere quello sia di prevenire un utilizzo del codice da parte di altri per includerlo nei loro exploits sia per renderne piu' difficile l'analisi ed il riconoscimento.
Le caratteristiche generali del kit Blackhole comprendono una vasta serie di opzioni sia di gestione del malware. ma anche di analisi dei 'risultati' ottenuti attraverso una 'console' che propone statistiche ecc....
Da notare come sia stata sviluppata anche la versione PDA di detta interfaccia di gestione
Altre caratteristiche del Kit sono quelle usuali di applicazioni del genere come es.
MySQL backend, Blacklisting - blocco degli IP, possibilita' di colpire un IP solo una volta , aggiornamento automatico ecc....
Un'altra caratteristica particolare e' la possibilita di 'noleggio' del Kit , in pratica un affitto del kit invece che una sua vendita da parte dei creatori.
Ritornando alle vulnerabilta' sfruttate dal Kit abbiamo un'ampia scelta andando da quelle Adobe Reader, Adobe Flash e Java sino a versioni piu' recenti che vedono l'abbandono di vulnerabilita' per cosi dire 'obsolete' per sfruttarne di piu' recenti.
Secondo una ricerca condotta da Symantec e Sophos, il kit di exploit Black Hole e' stato aggiornato da poco con alcune nuove caratteristiche.
L'ultima revisione include una vulnerabilita' Microsoft XML Core Services, ed un nuovo codice JavaScript che risolve alcuni precedenti problemi di diffusione del malware.
E' evidente che questi cambiamenti dimostrano ancora una volta che BlackHole e' ben 'vivo e vegeto'.
Per una dettagliata analisi dei codici del kit rimando comunque QUI, alla pubblicazione Sophos dove si possono trovare anche diversi screenshots dei codici che compongono il Kit.
A dimostrazione della attuale diffusione del malware Blackhole basta fare una ricerca sulle pagine dedicati al listing di siti compromessi per trovare sempre nuove url anche su dominio IT che presentano la classica pagina di redirect a Blackhole exploit.
Tra i tanti siti che attualmente redirigono agli exploits troviamo
ma anche
E' di qualche giorno fa al notizia di un 'aggiornamento' del kit BlackHole con la possibilita' di lanciare attacchi che sfruttano una vulnerabilita' recentemente patchata in Java.
Anche se la vulnerabilita' e' stata risolta cio' non vuole dire, come rileva un ricercatore, che la patch sia stata applicata dagli utenti, ma anzi la maggior parte dei kit di exploit sfruttano proprio bug noti da tempo ( spesso anche da due o piu' anni)
Sempre in relazione a possibili nuovi aggiornamenti del KIT e' importante segnalare quanto si scrive su blog Symantec
Come sappiamo, quando un utente accede a una pagina Blackhole, si sfrutta un i-frame nascosto che tenta di attivare differenti exploits (tipicamente Java, Adobe Flash Player, Adobe Reader, Help Center Windows, e altre applicazioni.)
Questi attacchi sono spesso chiamati drive-by download e sebbene questo approccio e' stato in genere valido per gli autori di malware, ha una 'debolezza' molto comune e che riscontriamo ad esempio anche in piu' 'banali 'attacchi di phishing.
Si tratta del fatto che esiste una URL di riferimento al sito contenete gli exploits, URL che se cambia l'indirizzo del sito finale Blackhole, diventa inattiva in quanto punta a pagina non piu on-line.
La novita' e' che, forse proprio per ovviare al cambio della url del sito con gli exploits Blackhole, si e' notata recentemente una variante del codice che genera dinamicamente nomi di dominio pseudo-casuali in base alla data e altre informazioni, e quindi crea un iframe che punta al dominio generato.
I dettagli del codice li trovate QUI.
Da quanto si legge parrebbe anche che tutti i nomi di dominio generati in automatico e fino al 7 agosto di quest'anno siano stati registrati (in modalita' 'privata' e cioe' con i dati non pubblicati in WHOIS.)
Anche se questa nuova modalita' di creazione di domini random pare al momento non essere applicata su larga scala in Blackhole, quello rilevato da Symantec potrebbe essere una sorta di test da estendere in futuro a tutta la distribuzione malware gestita dal noto kit.
Anche se la vulnerabilita' e' stata risolta cio' non vuole dire, come rileva un ricercatore, che la patch sia stata applicata dagli utenti, ma anzi la maggior parte dei kit di exploit sfruttano proprio bug noti da tempo ( spesso anche da due o piu' anni)
Sempre in relazione a possibili nuovi aggiornamenti del KIT e' importante segnalare quanto si scrive su blog Symantec
Come sappiamo, quando un utente accede a una pagina Blackhole, si sfrutta un i-frame nascosto che tenta di attivare differenti exploits (tipicamente Java, Adobe Flash Player, Adobe Reader, Help Center Windows, e altre applicazioni.)
Questi attacchi sono spesso chiamati drive-by download e sebbene questo approccio e' stato in genere valido per gli autori di malware, ha una 'debolezza' molto comune e che riscontriamo ad esempio anche in piu' 'banali 'attacchi di phishing.
Si tratta del fatto che esiste una URL di riferimento al sito contenete gli exploits, URL che se cambia l'indirizzo del sito finale Blackhole, diventa inattiva in quanto punta a pagina non piu on-line.
La novita' e' che, forse proprio per ovviare al cambio della url del sito con gli exploits Blackhole, si e' notata recentemente una variante del codice che genera dinamicamente nomi di dominio pseudo-casuali in base alla data e altre informazioni, e quindi crea un iframe che punta al dominio generato.
I dettagli del codice li trovate QUI.
Da quanto si legge parrebbe anche che tutti i nomi di dominio generati in automatico e fino al 7 agosto di quest'anno siano stati registrati (in modalita' 'privata' e cioe' con i dati non pubblicati in WHOIS.)
Anche se questa nuova modalita' di creazione di domini random pare al momento non essere applicata su larga scala in Blackhole, quello rilevato da Symantec potrebbe essere una sorta di test da estendere in futuro a tutta la distribuzione malware gestita dal noto kit.
Sempre in relazione alla tecnica di generazione di nomi di dominio pseudo-casuali segnalo anche questo recente ed interessante post su blog.unmaskparasites.com
Edgar
Edgar
1 commento:
interessante articolo tecnico, ottimamente divulgato, complimenti ancora!
Posta un commento