Отчеты о вредоносном ПО

Наборы эксплойтов в первой половине 2011 года

Продолжительность жизни наборов эксплойтов невелика. Некоторые наборы, которые не так давно пользовались у киберпреступников большой популярностью и с помощью которых были заражены тысячи компьютеров, сегодня уже никому не нужны. Впрочем, случается, что старые наборы снова выходят на сцену, дополненные новейшими эксплойтами, и занимают верхние строки в рейтингах средств распространения вредоносного ПО.

Наибольший интерес для исследователя представляют существующие эксплойты — то, как и для чего они используются.

2010 год

Для начала рассмотрим ситуацию, сложившуюся в 2010 году.

Наиболее популярными наборами эксплойтов были:

  1. Phoenix
  2. Eleonore
  3. Neosploit
  4. YESExploitKit
  5. SEOSploitPack

Однако к концу 2010 года Phoenix сдал позиции, в то время как выросло число вредоносных серверов, используемых для размещения NeoSploit.

Анализ уязвимостей, на которые были нацелены данные наборы экплойтов, позволяет проследить основной вектор атаки:


Однако в первую очередь нас интересуют не столько показатели на конец 2010 года, сколько развитие ситуации. Всего лишь за один год Java-уязвимости поднялись на третье место в рейтинге. 40% всех новых эксплойтов, входящих в пятерку наиболее популярных в 2010 году наборов, были нацелены именно на эту платформу. По оценке Дэна Гвидо (Dan Guido), 11 из 15 наиболее популярных наборов содержали по крайней мере один Java-эксплойт, а 7 из 15 — более одного.

О популярности Java-эксплойтов свидетельствуют и другие данные. Так, по информации Microsoft Malware Protection Center, 2010 год стал рекордным по количеству попыток эксплуатации уязвимостей в Java.


Источник: arstechnica.com/business/news

Наши данные говорят о том же. На следующем графике представлена динамика количества сигнатур, создаваемых для детектирования Java-эксплойтов:


Попытки использования уязвимостей в Java также фиксировались на компьютерах наших пользователей:


Возникает вопрос: почему именно Java? Я долго размышлял об этом, а ответ пришел после выступления Дино Дай Зови (Dino Dai Zowi) на конференции SOURCE. Все оказалось так просто! Java-эксплойты — это самый простой путь обойти защиту операционной системы. Просто взгляните на эту схему:


2011

Какова же ситуация в первой половине 2011 года? Изменения есть, особенно в пятерке наиболее популярных наборов эксплойтов:

2010 2011
Phoenix BlackHole
Eleonore NeoSploit
NeoSploit Phoenix
YESExploitKit Incoginto
SEOSploitPack Eleonore

На арену вышли два новых игрока — BlackHole и Incognito. Посмотрим, на какие уязвимости они нацелены.

BlackHole:

  • CVE-2010-1885 HCP
  • CVE-2010-1423 Java Deployment Toolkit insufficient argument validation
  • CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
  • CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
  • CVE-2010-0840 Java trusted Methods Chaining Remote Code Execution Vulnerability
  • CVE-2009-1671 Java buffer overflows in the Deployment Toolkit ActiveX control in deploytk.dll
  • CVE-2009-0927 Adobe Reader Collab GetIcon
  • CVE-2008-2992 Adobe Reader util.printf
  • CVE-2007-5659 Adobe Reader CollectEmailInfo
  • CVE-2006-0003 IE MDAC

В целом, ничего нового создатели BlackHole не предложили. Отличие от других наборов заключается в первых двух эксплойтах — для CVE-2010-1885 и CVE-2010-1423. Второй эксплойт нацелен на Java.

А что же Incognito? Вот его список эксплойтов:

  • CVE-2010-1885 HCP
  • CVE-2010-1423 Java Deployment Toolkit insufficient argument validation
  • CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
  • CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
  • CVE-2009-0927 Adobe Reader Collab GetIcon
  • CVE-2008-2992 Adobe Reader util.printf
  • CVE-2007-5659/2008-0655 Adobe Reader CollectEmailInfo
  • CVE-2006-4704 Microsoft Visual Studio 2005 WMI Object Broker Remote Code Execution Vulnerability
  • CVE-2004-0549 ShowModalDialog method and modifying the location to execute code

Как видим, Incognito и BlackHole эксплуатируют практически одни и те же уязвимости, за исключением последних двух — CVE-2006-4704 и CVE-2004-0549.

Выходит, что оба пакета не несут в себе ничего нового и используют все те же эксплойты для Java.

Подведем итоги:

  • Платформа Java наиболее популярна среди авторов эксплойтов, так как представляет собой наиболее легкий способ обойти защиту операционной системы.
  • Изменения в пятерке наиболее популярных наборов эксплойтов не зависят от входящих в них эксплойтов.
  • Киберпреступникам нет смысла тратить ресурсы на поиск новых уязвимостей, когда можно успешно эксплуатировать старые уязвимости на незапатченных машинах.

Это еще раз демонстрирует, какое значение киберпреступники придают возврату вложенных средств: они прилагают ровно столько усилий, сколько нужно, чтобы оставаться на шаг впереди механизмов защиты. А эффективность всей системы безопасности, как известно, определяется ее самым слабым элементом, которым в данном случае является Java.

«Лаборатория Касперского» будет наблюдать за развитием событий в 2011 году и следить за всеми изменениями ситуации.

Наборы эксплойтов в первой половине 2011 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике