Эксплойт-паки
В последнее время эксплойт-паки набирают популярность. С чем это связано? Начнем ознакомление со старых эксплойт-паков.
MPack-kit
Его появление пришлось на 2006 год, благодаря группе программистов Dream Coders Team. Они решили поработать над созданием сразу нескольких эксплоитов, предварительно приобретенных у разработчиков. Его стоимость была достаточно невелика. Получение обновлений было постоянным. Если была необходимость, модули докупались отдельно.
MPack-kit рассматривался как успешный бизнес-проект, причем авторы были в ответе за свой продукт. Этот пак позволил в свое время заразить более 160 тысяч серверов. Еще в 2007 году в Индии была замечена атака банка, но официальных данных так и не было обнаружено. Админка была настолько удобной, что выдавала данные о целях в удобном виде.
WebAttacker
Этот же период времени знаменовался развитием WebAttacker, который стоил дешевле MPack-kit. Ранняя их деятельность характеризовалась как с киберпреступными связями. Ранее эксплойт-паки считались обычным товаром на рынке киберпреступников.
Tornado и Armitage пропали из виду, а NeoSploit сумел заразить более 30% машин в мире. Длительность его существования была до 2011 года.
AdPack и FirePack
Появление AdPack, FirePack было таким же быстрым, как и исчезновение. Их характеризовали как удобные, но даже это не сумело помочь продлить им жизнь. Хватило появлений нескольких версий и больше AdPack и FirePack никто не видел.
Компания не сумела получить прибыль, так как был неудачный год выхода на рынок. Уже другие крупные компании сумели заразить большое количество компьютеров.
Eleonore
Это настоящий хит 2009-2010 годов, за время работы которого выпустили 6 версий. Основные векторы атак – фреймворк Java и продукты Adobe. Определенной привязки через браузер не было, так как основное внедрение идет через PDF.
Phoenix
Появление Phoenix стало достойной конкуренцией Eleonore. После нескольких обновлений его стоимость взлетела до 2200 долларов. Атаковали устаревшими версиями плагинов Adobe и Java. В свое время в 2013 году было обнародовано сообщение об аресте AlexUdakov на сайте, где эксплоит и реализовывали.
Теперь перейдем к новым эксплойт-пакам.
BlackHole
В 2010 году появились еще эксплоит-киты, причем самого известного называли BlackHole. Его лидерство по заражению было замечено в 2011 году. Его распространение реализовывалось при помощи спама с защитой исходников IonCube. Большинство эксплоит-китов имели заимствованные куски кода.
Понятный интерфейс, нововведения были добавлены, а также появилась возможность редиректа трафика. Ненужные рефер-заголовки могли быть заблокированы BlackHole.
Nuclear
Этот же период стал знаменательным появлением эксплоит-китом Nuclea. Еще первая версия выглядела довольно сыро, причем надежд на ее не было. Но уже в 2012 году она вырвалась и стала лидером. Код Nuclear обфусцирован, а большое количество переменных и функций не используются.
Пак имел только свежие эксплоиты, что и позволило в дальнейшем одолеть конкурентов и лидировать. Для сложности процесса работы использовалась трехстраничная переадресация.
Sweet Orange
В 2012 и 2013 годах наблюдался необычный всплеск и рост активности эксплоит-китов, самыми частыми из которыми являлись Sweet Orange, Styx и FlashPack. Появление Sweet Orange приходится на 2012 год, причем сначала популярности практически никакой не наблюдалось.
После добавления CVE-2014-6332, CVE-2014-0515, CVE-2014-0569 в 2014 году обновляется функционал, появляется криптор iframe с подключенным API Scan4you, что открыл возможности следить за чистотой кода и распространяемого файла. В 2014 году насчитывалось около 35% зараженных им компьютеров.
Styx
После Sweet Orange стартует Styx. Хоть он считался старым, стать эффективным ему не помешало. Проблема была в том, что его с легкостью обнаруживали антивирусы – «Касперский» и NOD32. В Styx не предусматривалась функция обфускации полезной нагрузки. Активность резко пошла на спад в воду стоимости обфускации с официального сайта.
FlashPack
Удар FlashPack пришелся на японские и американские компьютеры. После проведенных исследований выявили, что в этих странах были замечены наиболее частые посещения зараженной страницы. На время 2014 года зараженных компьютеров было всего лишь около 4%.
Magnitude
Он характеризуется наличием свежих эксплоитов и с прекрасным механизмом обфускации: создание имен доменов прослеживалось каждые 5 минут, а количество эксплоитов достигало 16. Пак достаточно грамотно фильтровал трафик. О системе оплаты ничего положительного сказать нельзя, так как есть часть отсеивалась для создателей.
Neutrino
Neutrino просуществовал недолго. Эксплоит-кит после модернизации не смог заразить значительное количество компьютеров, поэтому не смог конкурировать с другими.
Angler
Появление Angler связано с 2014 годом, причем уже в 2015 сумел добраться до второй позиции и заразил 17% компьютеров. Мощный старт и разнообразный функционал позволял без проблем запускать процессы обусфакции, а их шифрование стало возможным благодаря RC4, а сокрытие ActionScript.
Регулярная чистка Angler после попадания в базы данных систем антивирусов повлияло на дальнейшую его лидирующую позицию.
Работа эксплоит-китов
Принцип работы у всех упаковок похожий с использованием скриптов на php или при помощипереадресации на зараженную страницу или в качестве спам-рассылки. Их внедрение производится с помощью DNS спуфинга.
Скачивание и запуск ПО производится с помощью функции шелл-кода. Наличие такого алгоритма увеличивает вред от эксплоитов в разы. К 2016 году отмечался спад активности. Возможно, что причиной стало обычное затухание при отсутствии поддержки. Известно, что RIG сумел стать популярным и все еще обладает дружелюбной поддержкой. Предлагаемая информация в интернете о RIG предоставлена только в ознакомительных целях.
Читать статью на:
Для просмотра ссылки необходимо нажать
Вход или Регистрация