This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Эксплойт комплекты, самая большая угроза в Сети, кормят исследователи Whitehat безопасности

Filed Under: Featured, Malware, SophosLabs, Vulnerability

Black hole. Image from Shutterstock Недавно опубликованный компанией Sophos Security Threat Report показывает, что веб-наборы эксплойтов, как пресловутый набор эксплойтов Blackhole несут ответственность за большинство веб-атак сегодня.

Развитие таких комплектов атаки, эксплуатирующие уязвимости молча заразить веб-браузера компьютера, была интересной для специалистов по компьютерной безопасности для подражания.

В прошлом году, мои коллеги по SophosLabs, и я следил за развитием комплект подвиг Blackhole очень тесно:

Одна вещь, я заметил, определенное отсутствие оригинальности в подвиге использования Blackhole набор эксплойтов.

Автор Blackhole комплект подвиг, кажется, более комфортно, как системный интегратор и разработчик веб-приложений, чем что-либо другое, и это далеко не хардкор исследователь уязвимостей.

Это, пожалуй, не удивительно. В конце концов, сегрегация на вредоносные поля приводит к специализации, и стало очевидно, что подвиг комплектов не место для поиска оригинальность.

Это впечатление мое прекрасно поддерживаются исследования, проведенного ISEC партнеров, как вы можете увидеть в следующем видео:

http://vimeo.com/31548167

Видео дает хорошее представление о подвиге наборы, и стоит смотреть на всех, кто интересуется этой темой.

Оказывается, что число эксплойтов, которые впервые появились в комплект вредоносных эксплойтов равна нулю.

Далее, чем, что только публично раскрыта подвиги, которые хорошо документированы в конечном итоге используются в подвиге наборы.

Так где же эти подвиги взялось?

ISEC партнеры взяли уязвимость используется одним подвигом комплект - комплект Phoenix Exploit - и исследовали первоисточник раскрытия информации:

Разработанный в APT 3
Разработка whitehats 10
Разработанный авторами вредоносных программ 0

В некоторых случаях эксплойт был взят из образцов ранней атаки поле, но чаще всего, источником явилось результатом исследования эксперты Whitehat безопасности.

Phoenix. Изображение из Shutterstock Некоторые могут возразить, что эти данные о комплекте Phoenix Exploit - который был наиболее распространенным подвиг комплекта во время презентации. В настоящее время Blackhole набор эксплойтов доминирует.

Бы с помощью набора Blackhole подвиг, как точку отсчета изменить выше картина? Я не верю в это.

Все те же старые подвиги используются Blackhole комплект подвиг, только с парой новых нулевого дня подвиги добавил, как CVE-2012-4681 и CVE-2012-1889 .

Однако, несмотря на уязвимости были классифицированы как нулевого дня во время дополнение к подвигу комплект, код эксплойта сама не была разработана автором комплекта.

Вместо этого код был взят из публично доступных образцов - наиболее зримо в случае CVE-2012-1889, где код был слепо копировать-вставить в код набора эксплойтов.

Чтобы было ясно: я не против уязвимости раскрытия информации.

Ответственный раскрытия помогает общее состояние безопасности. Но это не должно означать, что мы должны сделать жизнь авторов вредоносных программ - таких, как те, кто развертывание набор Blackhole подвиг - это просто.

Давайте сделаем плохие парни работают ради денег.

Я могу только согласиться с выводом презентации ISEC в: злоумышленники силой взять более дорогой маршрут.

Сколько денег будет покупать уязвимости стоимость? Типичный Java использовать найденные недавно как ожидается, будет стоить пятизначные суммы .

Автор комплект Blackhole эксплоита сам утверждал, что для использования уязвимости будет стоить ему около $ 100,000 , если бы он купить его.

Сколько денег производителям использовать наборы «сделать? Очевидно, что даже не близко к этой цифре.

Последняя информация Я был с год назад, когда Blackhole защита была ограничена быть использованы на 28 серверах. Об этом шла речь в моем техническом документе, "внутри черной дыры" .

Blackhole защита была ограничена быть использованы на 28 серверах

Хорошо скоординированной обновления схемы наблюдается в Blackhole связанных вредоносного потока показывает, что только один код филиала был использован. Я бы оценить число проданных лицензий Blackhole такой же суммы.

Если предположить, что лучшее, что они все одного года лицензий, ежегодно доход в размере пятизначные суммы могут быть оценены. Поэтому даже покупка одной подвиг означало бы тратить значительные суммы годового дохода предприятия.

Обеспечение его бесплатно, в виде простых в реализации концептуального кода, на самом деле означает поддержку авторов подвиг комплект.

Я бы предпочел мир, где люди решили поддержать Международный Красный Крест или WWF вместо этого.

Пылающий Феникс изображение от Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).