This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Exploit Kits, a maior ameaça na web, estão sendo alimentados por pesquisadores de segurança WhiteHat

Filed Under: Featured, Malware, SophosLabs, Vulnerability

Black hole. Image from Shutterstock Sophos do recém-publicado Relatório de Ameaças à Segurança revela que kits de exploração da web como o kit notório Blackhole exploit são responsáveis ​​pela maioria dos ataques na web hoje.

O desenvolvimento de kits de tal ataque, que exploram vulnerabilidades para infectar silenciosamente web-browsing computadores, tem sido interessante para os profissionais de segurança informática a seguir.

Durante o ano passado, os meus colegas no SophosLabs e tenho acompanhado o desenvolvimento do exploit kit Blackhole muito de perto:

Uma coisa que tenho notado é uma certa falta de originalidade no uso exploit do exploit kit Blackhole.

O autor do exploit kit Blackhole parece ser mais confortável como um integrador de sistemas e desenvolvedor de aplicações web que qualquer outra coisa, e está longe de ser pesquisador de vulnerabilidades hardcore.

Este talvez não seja uma surpresa. Afinal, a segregação no campo de malware leva a especialização, e tornou-se evidente que os kits de exploração não são o lugar para procurar originalidade.

Essa impressão de mina é perfeitamente suportado pela pesquisa conduzida pelo ISEC Partners, como você pode ver no vídeo a seguir:

http://vimeo.com/31548167

O vídeo oferece uma boa perspectiva kits de exploração, e vale a pena um relógio por qualquer pessoa interessada no tema.

Acontece que o número de exploits que apareceu pela primeira vez nos kits de exploits maliciosos é zero.

Mais do que isso, só publicamente divulgados façanhas que são bem documentados acabam sendo utilizados nos kits de exploração.

Então onde é que estas façanhas vem?

ISEC Parceiros tomou as vulnerabilidades usadas por um exploit kit - o kit de exploração Phoenix - e investigou a fonte original da divulgação:

Desenvolvido em APT 3
Desenvolvido por whitehats 10
Desenvolvido por autores de malware 0

Em alguns casos, a façanha foi tomada a partir de amostras de ataques de campo anteriores, mas com mais freqüência, a fonte foi o resultado de uma pesquisa por especialistas em segurança WhiteHat.

Phoenix. Imagem da Shutterstock Alguns podem argumentar que esse dado é sobre o exploit kit Phoenix - que foi o kit de exploração predominante no momento da apresentação. Hoje em dia o exploit kit Blackhole domina.

Será que usando o kit de exploração Blackhole como um ponto de referência alterar a imagem acima? Eu não acredito.

As façanhas mesmos velhos são usados ​​pelo exploit kit Blackhole, com apenas um par de dias de zero novas façanhas adicionados como CVE-2012-4681 ou CVE-2012-1889 .

No entanto, embora as vulnerabilidades foram classificadas como dia zero, no momento da adição ao kit de exploração, o código de exploração em si não foi desenvolvido pelo autor do kit.

Em vez disso, o código foi tomada a partir de amostras disponíveis publicamente - de forma mais visível no caso da CVE-2012-1889, onde o código foi copiar cegamente colado no código exploit kit.

Para ser claro: eu não sou contra a divulgação vulnerabilidade.

Divulgação responsável ajuda o estado geral de segurança. Mas isso não tem de significar que temos de tornar a vida dos autores de malware - como aqueles que implantar o exploit kit Blackhole - tão fácil.

Vamos fazer os bandidos trabalhar duro pelo seu dinheiro.

Eu só posso concordar com a conclusão da apresentação do ISEC de: cibercriminosos força para tomar a rota mais caro.

Quanto dinheiro comprando um custo vulnerabilidade? Um Java típico explorar encontrado recentemente deverá ser no valor de uma soma de cinco dígitos .

O autor do exploit kit Blackhole de si mesmo alegou que, para usar uma vulnerabilidade que lhe custou cerca de $ 100,000 se ele fosse para comprá-lo.

Quanto dinheiro os fabricantes de kits de explorar "fazer? Claro que não, nem perto deste valor.

A informação passada eu era de um ano atrás, quando Blackhole proteção foi restrito para ser usado em 28 servidores. Isso foi discutido no meu trabalho técnico, "Dentro de um Buraco Negro" .

Protecção Blackhole foi restrita a ser utilizada em 28 servidores

O regime de actualização bem coordenada observada no fluxo malwares Blackhole relacionada sugere que apenas um ramo de código foi usado. Eu estimaria o número de licenças vendidas Blackhole ser a mesma quantidade.

Assumindo o melhor, que são todas as licenças de um ano, uma renda anual no valor de uma soma cinco pode ser estimada. Portanto, mesmo a compra de uma façanha única significaria gastar uma quantidade significativa de renda anual do empreendimento.

Proporcionando-lo gratuitamente, na forma de fácil de implementar código de prova de conceito, realmente significa apoiar os autores exploit kit.

Eu prefiro muito mais um mundo onde as pessoas escolhem para apoiar a Cruz Vermelha Internacional ou a WWF em seu lugar.

Queima Phoenix imagem do Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).