Exploit Kits 2015: Fehler in Flash, kompromittierte Sites und Malvertising dominieren

Originalbeitrag von Brooks Li und Joseph C. Chen, Threats Analysts

2015 gab es eine Vielfalt an Änderungen bezüglich der Exploit Kits. Es kamen einige hinzu und kompromittierte Websites sowie Malvertising wurde dazu genutzt, um mithilfe von Exploit Kits Bedrohungen zu verbreiten und zu installieren.

Neue Exploits für Flash dominieren

Exploits Kits benötigen ständig neue Sicherheitslücken, um sicherzustellen, dass sie weiter funktionieren, auch wenn Nutzer auf neuere Softwareversionen updaten. Im letzten Jahr zielten verschiedene Exploit Kits auf 17 neue Lücken. Davon wurden 14 geschlossen, bevor ein Exploit sie ausnutzen konnte. Die verbliebenen drei wurden als Zero-Days missbraucht. Einige der Sicherheitslücken wurden zuerst in gezielten Angriffen wie Pawn Storm ausgenützt oder online veröffentlicht (Hacking Teams Sicherheitslücken), andere wiederum wurden durch die sorgfältige Analyse der Patches „entdeckt“.

Bemerkenswert in dieser Zusammenfassung ist, dass vor allem eine Anwendung dominiert – Adobe Flash Player. Dreizehn Sicherheitslücken stammten allein aus dieser Anwendung. Dies zeigt deutlich, wie wichtig Flash-Sicherheitslücken im Ökosystem der Exploit Kits sind. Gäbe es Flash nicht, so wären Exploit Kits bei weitem nicht so mächtig.

CVE Nummer angreifbare Applikation Erkennungs-datum Erstes integriertes Exploit Kit Patch Release Datum
CVE-2015-8651 Adobe Flash 2016-01-26 Angler 2015-12-28
CVE-2015-8446 Adobe Flash 2015-12-15 Angler 2015-12-08
CVE-2015-7645 Adobe Flash 2015-10-29 Angler 2015-10-16
CVE-2015-5560 Adobe Flash 2015-08-28 Angler 2015-08-11
CVE-2015-2444 Microsoft Internet Explorer 2015-08-25 Sundown 2015-08-12
CVE-2015-2419 Microsoft Internet Explorer 2015-08-10 Angler 2015-07-22
CVE-2015-1671 Microsoft Silverlight 2015-07-21 Angler 2015-05-12
CVE-2015-5122 Adobe Flash 2015-07-11 Angler 2015-07-14
CVE-2015-5119 Adobe Flash 2015-07-07 Angler 2015-07-08
CVE-2015-3113 Adobe Flash 2015-06-27 Magnitude 2015-06-23
CVE-2015-3104 Adobe Flash 2015-06-17 Angler 2015-06-09
CVE-2015-3105 Adobe Flash 2015-06-16 Magnitude 2015-06-09
CVE-2015-3090 Adobe Flash 2015-05-26 Angler 2015-05-12
CVE-2015-0359 Adobe Flash 2015-04-18 Angler 2015-04-14
CVE-2015-0336 Adobe Flash 2015-03-19 Nuclear 2015-03-12
CVE-2015-0313 Adobe Flash 2015-02-02 HanJuan 2015-02-04
CVE-2015-0311 Adobe Flash 2015-01-20 Angler 2015-01-27
CVE-2015-0310 Adobe Flash 2015-01-15 Angler 2015-01-22

Tabelle 1. 2015 zu den Exploit Kits hinzugefügte Exploits

Das Angler Exploit Kit war  2015 das erfolgreichste. Angler fügt regelmäßig neue Exploits hinzu, und es ist meistens das erste Exploit Kit, das eine Sicherheitslücke ausnützt. Tabelle 2 führt die verschiedenen Sicherheitslücken auf, die 2015 zum ersten Mal anvisiert wurden.

Exploit Kit Applikation Sicherheitslücke
Angler Flash CVE-2015-8446, CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311, CVE-2015-0310
Internet Explorer CVE-2015-2419
Silverlight CVE-2015-1671
Magnitude Flash CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3105, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0311
Internet Explorer CVE-2015-2419
Silverlight CVE-2015-1671
Nuclear Flash CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311
Internet Explorer CVE-2015-2419
Neutrino Flash CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311
Internet Explorer CVE-2015-2419
Rig Flash CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0311
Internet Explorer CVE-2015-2419
Sundown Flash CVE-2015-0313, CVE-2015-0311
Internet Explorer CVE-2015-2444
Hanjuan Flash CVE-2015-3113

Tabelle 2. Exploits, die 2015 zu Exploit Kits hinzugefügt wurden

Ausweichtechniken

Ein Standardbestandteil bei der Analyse und Erkennung von Exploit Kit-Angriffen besteht in der Untersuchung des verursachten Netzwerkverkehrs. Um diesen Verfahren entgegenzuwirken, begannen die Angreifer im letzten Jahr Verschlüsselung zu verwenden und damit ihren Netzwerkverkehr zu schützen.

Mit dem Diffie-Hellman-Algorithmus konnten sie Verschlüsselungs-Keys zwischen den Servern des Opfers und des Exploit Kits austauschen. Damit schützten sie die Exploit-Datei vor den Netzwerksicherheitsprodukten, weil diese übermittelte Dateien erst einmal nicht scannen und erkennen können. Auch Produkte, die auf das Abfangen von Verkehr setzen, um Exploit-bezogene Aktivitäten zu erkennen, können nicht mehr effizient den gekaperten Verkehr abspielen. Und schließlich erschwerte die Verschlüsselung auch die Arbeit der Sicherheitsforscher.

Bild 1. Das Diffie-Hellman-Protokoll kann für den Datenaustausch genutzt werden

Kompromittierte CMS-Sites und Malvertising

Im letzten Jahr nutzten die Cyberkriminellen vor allem zwei Methoden, um Nutzer zu ihren Exploit Kits zu leiten: kompromittierte Sites und Malvertising. Kompromittierte Sites leiten die Besucher auf eine andere Site um, die den Exploit Kit-Code umfasst. In vielen Fällen ist es aufgrund des verwendeten Content Management Systems einfach, die Sites zu infizieren.

Im November 2015 berichtete Trend Micro über die ElTest-Kampagne, die über das Angler Exploit Kit Ransomware an die Besucher von verseuchten Websites auslieferte. Mehr als 1500 Websites waren involviert. Die EITest-Kampagne fügte üblicherweise ein SWF-Objekt zu den Seiten der verseuchten Website hinzu und dies lud eine weitere Flash-Datei, um einen versteckten iframe zu injizieren, der zu den Exploit Kits führte. All dies geschah, ohne dass der Nutzer etwas mitbekam.

ElTest war bei weitem nicht die einzige Kampagne, die auf diese Methode zurückgriff. Alle Kampagnen hatten ähnliche Charakteristiken: Sie zielten auf Sites, die bekannte CMS-Software nutzten, wie etwa WordPress, Joomla und Drupal. Die betroffenen Sites umfassten nicht gepatchte und angreifbare Versionen eines dieser Systeme oder hatten wohlbekannte Drittanbieter-Addons. Das beweist wieder, wie wichtig es ist, die Software immer auf aktuellem Stand zu halten. Diese Kombination erlaubte es den Angreifern, eine Vielzahl an Websites zu kompromittieren, und das mit relativ wenig Mühe.


Bild 2. Eingefügtes SWF Objekt (zum Vergrößern darauf klicken)

Auch Werbung eignet sich gut, um Besucher auf bösartige Sites zu leiten, ohne dass sie es mitbekommen. Die Anzeigen auf den Websites werden nur selten vom Site-Eigner verwaltet. Diese Aufgabe übernehmen Ad-Netzwerke. Gelingt es diesen nicht, sicherzustellen, dass alle Werber dies auch legal tun, so können Angreifer Anzeigenverkehr „kaufen“ und ihn zu Exploit Kits umleiten. Site-Besitzer können diesen Betrug nur schwer erkennen, denn er findet über das Ad-Netzwerk statt, das sie nicht direkt kontrollieren.


Bild 3. Unsichtbarer iframe, der ein Malvertisement versteckt


Bild 4. Pop-Anzeige, die zum Exploit Kit führt

Es gab viele Malvertiser, die entweder Banner/eingebettete Anzeigen oder Pop-up-Anzeigen nutzten, um Besucher zu Seiten mit Exploit Kits umzuleiten. Sie erstellten eine gefälschte Anzeige und fügten Skripts hinzu, die die Nutzer im Hintergrund umleiteten, ohne dass der Besucher etwas anklicken musste. So konnte ein Angreifer seine Attacken schneller an eine große Menge Nutzer richten. Trend Micros Daten zeigen, dass etwa 88% der Exploit Kit-Angriffe im Dezember 2015 über Malvertising liefen.

  Aus Malvertising Aus anderen Quellen
Angler Exploit Kit 89.32% 10.68%
Magnitude Exploit Kit 100% 0%
Neutrino Exploit Kit 39.80% 60.20%
Rig Exploit Kit 85.93% 14.07%
Nuclear Exploit Kit 33.81% 66.19%
Sundown Exploit Kit 100% 0%
Total 88.07% 11.93%

Tabelle 3. Verteilung des Exploit Kit-Verkehrs nach Quelle (Dezember 2015)

Fazit

Exploits Kits haben sich als sehr effizient erwiesen und daher, gab es keinen Grund für radikale Änderungen. Stattdessen war 2015 von Weiterentwicklungen geprägt. Neue Sicherheitslücken in Software (vor allem Adobe Flash) wurden schnell in die Kits integriert. Verschlüsselung zum Schutz des Netzwerkverkehrs der Exploit Kits kam hinzu und erschwerte die Erkennung und Analyse. Auch nutzten die Angreifer häufiger kompromittierte CMS und Malvertisments für ihre schändlichen Taten.

Für sich genommen gab es nichts Revolutionäres. Doch insgesamt sind die Angriffe über Exploit Kits effizienter und für Cyberkriminelle attraktiver geworden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*