2014 haben sich Exploit Kits weiterentwickelt

Originalartikel von Brooks Li, Threats Analyst

Etwa um diese Zeit im letzten Jahr kam das Ende des am weitesten verbreiteten Exploit Kits, dem Blackhole Exploit Kit, nachdem dessen Autor Paunch verhaftet worden war. Seither ist eine Vielfalt an neuen Exploit Kits von Cyberkriminellen eingesetzt worden, die technisch unterschiedlich sind.
2014 gab es viele Exploits für Internet Explorer-, Silverlight- und Adobe Flash-Sicherheitslücken. Die am häufigsten von Exploit Kits anvisierten waren:

  1. CVE-2013-0074 (Silverlight)
  2. CVE-2014-0515 (Adobe Flash)
  3. CVE-2014-0569 (Adobe Flash)
  4. CVE-2014-2551 (Internet Explorer)

Es fällt auf, dass Java-Lücken in der Liste nur sehr selten vorkommen. Der Grund dafür ist, dass Java aufgrund der steigenden Nutzung von Click-to-Play für Applets für die Autoren von Exploit Kits an Attraktivität verloren hat. Die Tabelle zeigt, welche Exploits von den Kits genutzt werden:


Tabelle. Exploits, die von Exploit Kits genutzt werden

Plugin-Erkennung

Nahezu alle Exploit Kits umfassen eine Art von Software, die den von einem möglichen Opfer verwendeten Browser erkennt, sodass dann das passende Exploit Kit an diesen Nutzer geschickt wird. Der dafür zuständige Code variiert und ist ziemlich komplex, weil es Browser und Plugins in vielen Umsetzungen gibt.

Zwei dieser Exploit Kits – Nuclear und FlashPack – nutzen eine echte JavaScript-Bibliothek, PluginDetect. Das verringert den Aufwand für die Autoren und stellt ihnen zudem auch ein vollständiges Funktionsset zur Verfügung. Doch es bedeutet auch, dass diese Bibliothek ihre bekannten Eigenschaften besitzt: Das Exploit Kit ist für die Sicherheitsanbieter, die nach Sites suchen, die von der Malware genutzt werden, viel einfacher zu erkennen.

Deshalb enthalten die meisten Exploit Kits ihre eigene Bibliothek für diese Aufgabe. Die Erkennung ist somit schwieriger, andererseits sind auch die Fähigkeiten dieser Bibliotheken eingeschränkter. Beispielsweise funktionieren viele lediglich für den Internet Explorer. Das Magnitude Exploit Kit wiederum nutzt eine weitere Methode zum Aufspüren von Plugins — Server-seitigen Code. Die folgenden Bibliotheken werden verwendet:


 Tabelle. Methoden zum Entdecken von Plugins

Der Screenshot zeigt die PluginDetect-Bibliothek:


Bild 1. PluginDetect-Bibliothek

Dieser Screenshot zeigt eine eigene Bibliothek:


Bild 2. Selbst erstellte Bibliothek

Antivirus-Erkennung
Eine weitere neue Funktion in Exploit Kits stellt deren Fähigkeit dar, installierte Sicherheitssoftware zu erkennen. Sind bestimmte Sicherheitsprodukte installiert, so stellt das Exploit Kit die eigene Durchführung ein. Dabei geht es sowohl um Antivirus-Produkte als auch um Virtualisierungssoftware.
Möglich macht dieses Verhalten eine Sicherheitslücke in Internet Explorer (CVE-2013-7331). Sie erlaubt es einem Angreifer, nach Dateien und Ordnern auf dem betroffenen System zu suchen. Microsoft wurde im Februar 2014 davon in Kenntnis gesetzt, doch einen Patch dafür gab es erst im September (MS14-052). Die Tabelle zeigt die Produkte, die jedes Exploit Kit erkennen kann:


Tabelle. Von Exploit Kits erkannte Softwareprodukte

Verschleierungstechniken
Exploit Kits nutzen verschieden Techniken, um ihre Aktivitäten zu verschleiern und fügen auch neue hinzu. Es handelt sich immer um legitime Tools für die Verschleierung ihrer Dateien.
Das Angler Exploit Kit nutzt nun das Pack200-Format, um die Entdeckung zu vermeiden. Pack200 ist ein Archivformat, das Sun für die Komprimierung von JAR-Dateien entwickelt hat. Werkzeuge zum Entpacken dieser Dateien sind Teil des Java Entwicklungskits. Viele Sicherheitsprodukte unterstützen diese Formate jedoch nicht, können also auch die potenziell bösartigen Dateien nicht scannen.


Bild 3. http-Anfrage und Antwort-Headers

Flash-Dateien schützen FlashPack- und Magnitude-Exploit Kits ebenfalls. Es gibt ein legal erhältliches Tool DoSWF, um die Dateien zu verbergen. Eigentlich ist das Tool für Entwickler gedacht, die die ActionScript-Inhalte ihrer Flash-Datei vor Raubkopierern schützen wollen. Leider funktioniert es auch gegen Sicheheitssoftware, die nicht in der Lage ist, die DoSWF-Verschlüsselung zu entschlüsseln.


Bild 4. Code, der DoSWF in ActionScript aufruft

Statistiken
Das Diagramm zeigt den monatlichen Traffic (Anzahl von Hits), den Trend Micro jeden Monat für die verschiedenen Exploit Kits aufgezeichnet hat. Es gibt kein beherrschendes Kit, doch die am häufigsten entdeckten Kits waren Magnitude, Angler und Sweet Orange.


Bild 5. Traffic der verschiedenen Exploit Kits

Fazit
Die Entwickler von Exploit Kits waren nicht untätig und haben ihre „Werke“ mehr und mehr verbessert. Die Gegenmaßnahmen der Unternehmen bleiben dennoch dieselben. Es ist sehr zu empfehlen, alle Updates der Anbieter gleich aufzuspielen, da viele der Patches genau die Sicherheitslücken schließen, die von den Kriminellen anvisiert werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*