Originalbeitrag von Brooks Li und Joseph C. Chen, Threats Analysts
2015 gab es eine Vielfalt an Änderungen bezüglich der Exploit Kits. Es kamen einige hinzu und kompromittierte Websites sowie Malvertising wurde dazu genutzt, um mithilfe von Exploit Kits Bedrohungen zu verbreiten und zu installieren.
Neue Exploits für Flash dominieren
Exploits Kits benötigen ständig neue Sicherheitslücken, um sicherzustellen, dass sie weiter funktionieren, auch wenn Nutzer auf neuere Softwareversionen updaten. Im letzten Jahr zielten verschiedene Exploit Kits auf 17 neue Lücken. Davon wurden 14 geschlossen, bevor ein Exploit sie ausnutzen konnte. Die verbliebenen drei wurden als Zero-Days missbraucht. Einige der Sicherheitslücken wurden zuerst in gezielten Angriffen wie Pawn Storm ausgenützt oder online veröffentlicht (Hacking Teams Sicherheitslücken), andere wiederum wurden durch die sorgfältige Analyse der Patches „entdeckt“.
Bemerkenswert in dieser Zusammenfassung ist, dass vor allem eine Anwendung dominiert – Adobe Flash Player. Dreizehn Sicherheitslücken stammten allein aus dieser Anwendung. Dies zeigt deutlich, wie wichtig Flash-Sicherheitslücken im Ökosystem der Exploit Kits sind. Gäbe es Flash nicht, so wären Exploit Kits bei weitem nicht so mächtig.
| CVE Nummer | angreifbare Applikation | Erkennungs-datum | Erstes integriertes Exploit Kit | Patch Release Datum |
| CVE-2015-8651 | Adobe Flash | 2016-01-26 | Angler | 2015-12-28 |
| CVE-2015-8446 | Adobe Flash | 2015-12-15 | Angler | 2015-12-08 |
| CVE-2015-7645 | Adobe Flash | 2015-10-29 | Angler | 2015-10-16 |
| CVE-2015-5560 | Adobe Flash | 2015-08-28 | Angler | 2015-08-11 |
| CVE-2015-2444 | Microsoft Internet Explorer | 2015-08-25 | Sundown | 2015-08-12 |
| CVE-2015-2419 | Microsoft Internet Explorer | 2015-08-10 | Angler | 2015-07-22 |
| CVE-2015-1671 | Microsoft Silverlight | 2015-07-21 | Angler | 2015-05-12 |
| CVE-2015-5122 | Adobe Flash | 2015-07-11 | Angler | 2015-07-14 |
| CVE-2015-5119 | Adobe Flash | 2015-07-07 | Angler | 2015-07-08 |
| CVE-2015-3113 | Adobe Flash | 2015-06-27 | Magnitude | 2015-06-23 |
| CVE-2015-3104 | Adobe Flash | 2015-06-17 | Angler | 2015-06-09 |
| CVE-2015-3105 | Adobe Flash | 2015-06-16 | Magnitude | 2015-06-09 |
| CVE-2015-3090 | Adobe Flash | 2015-05-26 | Angler | 2015-05-12 |
| CVE-2015-0359 | Adobe Flash | 2015-04-18 | Angler | 2015-04-14 |
| CVE-2015-0336 | Adobe Flash | 2015-03-19 | Nuclear | 2015-03-12 |
| CVE-2015-0313 | Adobe Flash | 2015-02-02 | HanJuan | 2015-02-04 |
| CVE-2015-0311 | Adobe Flash | 2015-01-20 | Angler | 2015-01-27 |
| CVE-2015-0310 | Adobe Flash | 2015-01-15 | Angler | 2015-01-22 |
Tabelle 1. 2015 zu den Exploit Kits hinzugefügte Exploits
Das Angler Exploit Kit war 2015 das erfolgreichste. Angler fügt regelmäßig neue Exploits hinzu, und es ist meistens das erste Exploit Kit, das eine Sicherheitslücke ausnützt. Tabelle 2 führt die verschiedenen Sicherheitslücken auf, die 2015 zum ersten Mal anvisiert wurden.
| Exploit Kit | Applikation | Sicherheitslücke |
| Angler | Flash | CVE-2015-8446, CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311, CVE-2015-0310 |
| Internet Explorer | CVE-2015-2419 | |
| Silverlight | CVE-2015-1671 | |
| Magnitude | Flash | CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3105, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Silverlight | CVE-2015-1671 | |
| Nuclear | Flash | CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Neutrino | Flash | CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Rig | Flash | CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Sundown | Flash | CVE-2015-0313, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2444 | |
| Hanjuan | Flash | CVE-2015-3113 |
Tabelle 2. Exploits, die 2015 zu Exploit Kits hinzugefügt wurden
Ausweichtechniken
Ein Standardbestandteil bei der Analyse und Erkennung von Exploit Kit-Angriffen besteht in der Untersuchung des verursachten Netzwerkverkehrs. Um diesen Verfahren entgegenzuwirken, begannen die Angreifer im letzten Jahr Verschlüsselung zu verwenden und damit ihren Netzwerkverkehr zu schützen.
Mit dem Diffie-Hellman-Algorithmus konnten sie Verschlüsselungs-Keys zwischen den Servern des Opfers und des Exploit Kits austauschen. Damit schützten sie die Exploit-Datei vor den Netzwerksicherheitsprodukten, weil diese übermittelte Dateien erst einmal nicht scannen und erkennen können. Auch Produkte, die auf das Abfangen von Verkehr setzen, um Exploit-bezogene Aktivitäten zu erkennen, können nicht mehr effizient den gekaperten Verkehr abspielen. Und schließlich erschwerte die Verschlüsselung auch die Arbeit der Sicherheitsforscher.
Bild 1. Das Diffie-Hellman-Protokoll kann für den Datenaustausch genutzt werden
Kompromittierte CMS-Sites und Malvertising
Im letzten Jahr nutzten die Cyberkriminellen vor allem zwei Methoden, um Nutzer zu ihren Exploit Kits zu leiten: kompromittierte Sites und Malvertising. Kompromittierte Sites leiten die Besucher auf eine andere Site um, die den Exploit Kit-Code umfasst. In vielen Fällen ist es aufgrund des verwendeten Content Management Systems einfach, die Sites zu infizieren.
Im November 2015 berichtete Trend Micro über die ElTest-Kampagne, die über das Angler Exploit Kit Ransomware an die Besucher von verseuchten Websites auslieferte. Mehr als 1500 Websites waren involviert. Die EITest-Kampagne fügte üblicherweise ein SWF-Objekt zu den Seiten der verseuchten Website hinzu und dies lud eine weitere Flash-Datei, um einen versteckten iframe zu injizieren, der zu den Exploit Kits führte. All dies geschah, ohne dass der Nutzer etwas mitbekam.
ElTest war bei weitem nicht die einzige Kampagne, die auf diese Methode zurückgriff. Alle Kampagnen hatten ähnliche Charakteristiken: Sie zielten auf Sites, die bekannte CMS-Software nutzten, wie etwa WordPress, Joomla und Drupal. Die betroffenen Sites umfassten nicht gepatchte und angreifbare Versionen eines dieser Systeme oder hatten wohlbekannte Drittanbieter-Addons. Das beweist wieder, wie wichtig es ist, die Software immer auf aktuellem Stand zu halten. Diese Kombination erlaubte es den Angreifern, eine Vielzahl an Websites zu kompromittieren, und das mit relativ wenig Mühe.
Bild 2. Eingefügtes SWF Objekt (zum Vergrößern darauf klicken)
Auch Werbung eignet sich gut, um Besucher auf bösartige Sites zu leiten, ohne dass sie es mitbekommen. Die Anzeigen auf den Websites werden nur selten vom Site-Eigner verwaltet. Diese Aufgabe übernehmen Ad-Netzwerke. Gelingt es diesen nicht, sicherzustellen, dass alle Werber dies auch legal tun, so können Angreifer Anzeigenverkehr „kaufen“ und ihn zu Exploit Kits umleiten. Site-Besitzer können diesen Betrug nur schwer erkennen, denn er findet über das Ad-Netzwerk statt, das sie nicht direkt kontrollieren.
Bild 3. Unsichtbarer iframe, der ein Malvertisement versteckt
Bild 4. Pop-Anzeige, die zum Exploit Kit führt
Es gab viele Malvertiser, die entweder Banner/eingebettete Anzeigen oder Pop-up-Anzeigen nutzten, um Besucher zu Seiten mit Exploit Kits umzuleiten. Sie erstellten eine gefälschte Anzeige und fügten Skripts hinzu, die die Nutzer im Hintergrund umleiteten, ohne dass der Besucher etwas anklicken musste. So konnte ein Angreifer seine Attacken schneller an eine große Menge Nutzer richten. Trend Micros Daten zeigen, dass etwa 88% der Exploit Kit-Angriffe im Dezember 2015 über Malvertising liefen.
| Aus Malvertising | Aus anderen Quellen | |
| Angler Exploit Kit | 89.32% | 10.68% |
| Magnitude Exploit Kit | 100% | 0% |
| Neutrino Exploit Kit | 39.80% | 60.20% |
| Rig Exploit Kit | 85.93% | 14.07% |
| Nuclear Exploit Kit | 33.81% | 66.19% |
| Sundown Exploit Kit | 100% | 0% |
| Total | 88.07% | 11.93% |
Tabelle 3. Verteilung des Exploit Kit-Verkehrs nach Quelle (Dezember 2015)
Fazit
Exploits Kits haben sich als sehr effizient erwiesen und daher, gab es keinen Grund für radikale Änderungen. Stattdessen war 2015 von Weiterentwicklungen geprägt. Neue Sicherheitslücken in Software (vor allem Adobe Flash) wurden schnell in die Kits integriert. Verschlüsselung zum Schutz des Netzwerkverkehrs der Exploit Kits kam hinzu und erschwerte die Erkennung und Analyse. Auch nutzten die Angreifer häufiger kompromittierte CMS und Malvertisments für ihre schändlichen Taten.
Für sich genommen gab es nichts Revolutionäres. Doch insgesamt sind die Angriffe über Exploit Kits effizienter und für Cyberkriminelle attraktiver geworden.