Недавно опубликованный компанией Sophos Security Threat Report показывает, что веб-наборы эксплойтов, как пресловутый набор эксплойтов Blackhole несут ответственность за большинство веб-атак сегодня.
Развитие таких комплектов атаки, эксплуатирующие уязвимости молча заразить веб-браузера компьютера, была интересной для специалистов по компьютерной безопасности для подражания.
В прошлом году, мои коллеги по SophosLabs, и я следил за развитием комплект подвиг Blackhole очень тесно:
- Техническая бумага: Узнайте о Blackhole комплект подвиг
- Новая версия набора эксплойтов Blackhole
- Blackhole использовать комплект путаница. Пользовательские сборки или подражателей?
- Техническая бумага: Путешествие внутрь Blackhole комплект подвиг
Одна вещь, я заметил, определенное отсутствие оригинальности в подвиге использования Blackhole набор эксплойтов.
Автор Blackhole комплект подвиг, кажется, более комфортно, как системный интегратор и разработчик веб-приложений, чем что-либо другое, и это далеко не хардкор исследователь уязвимостей.
Это, пожалуй, не удивительно. В конце концов, сегрегация на вредоносные поля приводит к специализации, и стало очевидно, что подвиг комплектов не место для поиска оригинальность.
Это впечатление мое прекрасно поддерживаются исследования, проведенного ISEC партнеров, как вы можете увидеть в следующем видео:
http://vimeo.com/31548167
Видео дает хорошее представление о подвиге наборы, и стоит смотреть на всех, кто интересуется этой темой.
Оказывается, что число эксплойтов, которые впервые появились в комплект вредоносных эксплойтов равна нулю.
Далее, чем, что только публично раскрыта подвиги, которые хорошо документированы в конечном итоге используются в подвиге наборы.
Так где же эти подвиги взялось?
ISEC партнеры взяли уязвимость используется одним подвигом комплект - комплект Phoenix Exploit - и исследовали первоисточник раскрытия информации:
| Разработанный в APT | 3 |
| Разработка whitehats | 10 |
| Разработанный авторами вредоносных программ | 0 |
В некоторых случаях эксплойт был взят из образцов ранней атаки поле, но чаще всего, источником явилось результатом исследования эксперты Whitehat безопасности.
Некоторые могут возразить, что эти данные о комплекте Phoenix Exploit - который был наиболее распространенным подвиг комплекта во время презентации. В настоящее время Blackhole набор эксплойтов доминирует.
Бы с помощью набора Blackhole подвиг, как точку отсчета изменить выше картина? Я не верю в это.
Все те же старые подвиги используются Blackhole комплект подвиг, только с парой новых нулевого дня подвиги добавил, как CVE-2012-4681 и CVE-2012-1889 .
Однако, несмотря на уязвимости были классифицированы как нулевого дня во время дополнение к подвигу комплект, код эксплойта сама не была разработана автором комплекта.
Вместо этого код был взят из публично доступных образцов - наиболее зримо в случае CVE-2012-1889, где код был слепо копировать-вставить в код набора эксплойтов.
Чтобы было ясно: я не против уязвимости раскрытия информации.
Ответственный раскрытия помогает общее состояние безопасности. Но это не должно означать, что мы должны сделать жизнь авторов вредоносных программ - таких, как те, кто развертывание набор Blackhole подвиг - это просто.
Давайте сделаем плохие парни работают ради денег.
Я могу только согласиться с выводом презентации ISEC в: злоумышленники силой взять более дорогой маршрут.
Сколько денег будет покупать уязвимости стоимость? Типичный Java использовать найденные недавно как ожидается, будет стоить пятизначные суммы .
Автор комплект Blackhole эксплоита сам утверждал, что для использования уязвимости будет стоить ему около $ 100,000 , если бы он купить его.
Сколько денег производителям использовать наборы «сделать? Очевидно, что даже не близко к этой цифре.
Последняя информация Я был с год назад, когда Blackhole защита была ограничена быть использованы на 28 серверах. Об этом шла речь в моем техническом документе, "внутри черной дыры" .
Хорошо скоординированной обновления схемы наблюдается в Blackhole связанных вредоносного потока показывает, что только один код филиала был использован. Я бы оценить число проданных лицензий Blackhole такой же суммы.
Если предположить, что лучшее, что они все одного года лицензий, ежегодно доход в размере пятизначные суммы могут быть оценены. Поэтому даже покупка одной подвиг означало бы тратить значительные суммы годового дохода предприятия.
Обеспечение его бесплатно, в виде простых в реализации концептуального кода, на самом деле означает поддержку авторов подвиг комплект.
Я бы предпочел мир, где люди решили поддержать Международный Красный Крест или WWF вместо этого.
Пылающий Феникс изображение от Shutterstock.
![Password security infomerical leaves Ellen DeGeneres in disbelief.. and it will you too [VIDEO]](http://sophosnews.files.wordpress.com/2013/04/ellen-thumb.jpg?w=75&h=75&crop=1)
![Can multiple moving cursors really hide your password from spyware and peepers? [VIDEO]](http://sophosnews.files.wordpress.com/2013/03/cursors-thumb.jpg?w=75&h=75&crop=1)
