This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Explotar los kits, la mayor amenaza en la web, están siendo alimentados por los investigadores de seguridad whitehat

Filed Under: Featured, Malware, SophosLabs, Vulnerability

Black hole. Image from Shutterstock Recién publicado Sophos Informe sobre Amenazas de Seguridad revela que los kits de exploits web como el kit Blackhole exploit notorios son responsables de la mayoría de ataques web hoy en día.

El desarrollo de kits de esos ataques que explotan las vulnerabilidades para infectar silencio de navegación web computadoras, ha sido interesante para los profesionales de seguridad informática a seguir.

Durante el año pasado, mis colegas de SophosLabs y yo hemos estado siguiendo el desarrollo del paquete de exploits Blackhole muy de cerca:

Una cosa que he notado es una cierta falta de originalidad en el uso del exploit del paquete de exploits Blackhole.

El autor del paquete de exploits Blackhole parece ser más cómodo como un integrador de sistemas y desarrollador de aplicaciones web que otra cosa, y está lejos de ser investigador del hardcore vulnerabilidad.

Esto tal vez no sea una sorpresa. Después de todo, la segregación en el campo de malware lleva a la especialización, y se ha hecho evidente que los paquetes de exploits no son el lugar para buscar la originalidad.

Esta impresión mía está perfectamente apoyado por las investigaciones realizadas por los socios de ISEC, como se puede ver en el siguiente vídeo:

http://vimeo.com/31548167

El vídeo ofrece una buena perspectiva de kits de exploits, y es bien vale la pena ver por cualquier persona interesada en el tema.

Resulta que el número de exploits que apareció por primera vez en los paquetes de exploits maliciosos es cero.

Más allá de eso, sólo a divulgar públicamente exploits que están bien documentados terminan siendo utilizado en los paquetes de exploits.

Entonces, ¿dónde estas hazañas viene?

Socios iSec tomó las vulnerabilidades utilizadas por un paquete de exploits - el paquete de exploits Phoenix - e investigó la fuente original de la revelación:

Desarrollado en APT 3
Desarrollado por whitehats 10
Desarrollado por los creadores de malware 0

En algunos casos la explotación fue tomado de muestras de campo ataques anteriores, pero más a menudo, la fuente era el resultado de la investigación realizada por expertos de WhiteHat Security.

Phoenix. Imagen de Shutterstock Algunos podrían argumentar que estos datos son sobre el paquete de exploits Phoenix - que era el paquete de exploits más prevalente en el momento de la presentación. Hoy en día el paquete de exploits Blackhole domina.

Sería el caso del paquete de exploits Blackhole como punto de referencia cambiar la imagen de arriba? Yo no lo creo.

Las hazañas de siempre son utilizados por el paquete de exploits Blackhole, con sólo un par de nuevos ataques de día cero agregado como CVE-2012-4681 o CVE-2012 1889- .

Sin embargo, aunque las vulnerabilidades fueron clasificadas como de día cero en el momento de la adición del exploit kit, el código de explotación en sí misma no fue desarrollada por el autor del kit.

En su lugar, el código fue tomado de muestras disponibles para el público - más visible en el caso de CVE-2012-1889, donde fue a ciegas el código de copiar y pegar en el código de exploit kit.

Para que quede claro: no estoy en contra de divulgación de vulnerabilidades.

Divulgación responsable ayuda a que el estado general de la seguridad. Pero eso no tiene por qué significar que tenemos que hacer la vida de los autores de malware - como los que implementa el paquete de exploits Blackhole - tan fácil.

Vamos a hacer los malos trabaja duro por su dinero.

Puedo estar de acuerdo con la conclusión de la presentación de iSec: los cibercriminales fuerza para tomar la ruta más cara.

¿Cuánto dinero comprando un costo vulnerabilidad? Un típico Java explotar encontrado recientemente se espera que sea digno de una suma de cinco cifras .

El autor del paquete de exploits Blackhole mismo afirmó que el uso de una vulnerabilidad que le costará alrededor de $ 100,000 si fuera a comprarlo.

¿Cuánto dinero fabricantes de los paquetes de exploits 'hacer? Es evidente que no, ni siquiera cerca de esta cifra.

La información que tengo es pasado desde hace un año, cuando Blackhole protección se limitaba a ser utilizado en 28 servidores. Esto se discutió en mi documento técnico, "Dentro de un Agujero Negro" .

Blackhole protección se limita a ser utilizado en 28 servidores

El esquema de actualización bien coordinada observada en el flujo de software malicioso Blackhole relacionada sugiere que sólo una rama de código se utilizó. Yo estimaría el número de licencias vendidas Blackhole ser el mismo importe.

Asumiendo lo mejor, que son todas las licencias de un año, un ingreso anual que asciende a una suma de cinco cifras podrían ser estimado. Por lo tanto, incluso la compra de un exploit solo significaría gastar una cantidad significativa de los ingresos anuales de la empresa.

Proporcionar de forma gratuita, en la forma de fácil de implementar código de prueba de concepto, realmente significa apoyar a los autores paquete de exploits.

Me gustaría mucho prefieren un mundo donde la gente decidió apoyar la Internacional de la Cruz Roja o de la WWF en su lugar.

Burning phoenix imagen de Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).