19 398
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
https://lh3.googleusercontent.com/-O6SzV_EhAbY/UPG6_aC2mNI/AAAAAAAACQQ/4weoCW3CDI4/s800/blackhole_snippet.png

Blackhole exploit kit: A hackerek kincsesládája

2013.01.12. 20.40
https://lh3.googleusercontent.com/-O6SzV_EhAbY/UPG6_aC2mNI/AAAAAAAACQQ/4weoCW3CDI4/s800/blackhole_snippet.pngAz elmúlt néhány évben a malware-ek száma drasztikus mértékben nőtt, köszönhetően igen nagy részben az automatizált eszközkészleteknek, az exploit kiteknek. Ezek a programok és szolgáltatások azzal a céllal lettek megalkotva, hogy leegyszerűsítsék a kártékony, ártalmas kódok létrehozását és disztribúcióját, valamint, hogy lehetőséget biztosítsanak fertőzött számítógépek, botnetek rendszerszerű menedzselésére.

A Blackhole 2010-es megjelenése óta napjaink leginkább elterjedt exploit kit-jévé vált, amit a támadó arra használ, hogy telepítse a programját az áldozat PC-jére, ami legtöbb esetben egy ártalmas payload. Ahogy a neve is sugallja, egy olyan eszköz arzenálról beszélünk, mely a számítógépek sérülékenységeit aknázza ki.

Érdekes módon azok az emberek, akik megírták, nem azok, akik használják is. Nekik szimplán az az üzlet, hogy az exploit kiteket és hozzájuk kapcsolódó szolgáltatásokat eladják a „kiberbűnözőknek”. Javarészt Saas-ként (software as a service) értékesítik, amit három, hat, és tizenkét hónapos licencel tudunk vásárolni, bérelni számos különböző variációban, melyek tartalmazzák a frissítéseket, prémium csomag esetén pedig a nulladik napi (zero-days) „aknákat”, amik ellen a csupán szignatúra alapú antivírus programok egyszerűen tehetetlenek. A legújabb verzióban már a mobiltelefonok és a Windows 8 sérülékenységei is támadhatóak.

Hogyan eshet a felhasználó áldozatul?

Az exploit kittel elkövetett támadások a felhasználók webes böngészését irányítják át arra az oldalra, amit a támadó kreált direkt arra a célra, hogy ráfussanak az aknájára. Sok fórumon, oldalon még maga a HTML séma (LinkedIn, Facebook, stb.) is előre le van programozva, csak fel kell használni. Ha Blackhole-ról van szó, három különböző technikával lehet elérni az elterelést:

Legitim weboldalak kompromittálása: Itt a támadó egy teljesen mezei, törvényesen működő weboldalra, szerverre helyezi el a kódját. Amikor a felhasználó ezen az oldalon böngészik, a kód csendben betölti a tartalmat az exploittal gazdagított oldalról, de a Twitter csábító linkjei között is be lehet kapni. Általában ezek az átirányításos injektálások, nem linkelnek át direktbe a Blackhole exploit oldalra. Ez az eljárás lehetőséget enged a kódolónak, hogy a felhasználót árucikként értékesítse. Ha egy cracker (hogy ne sértsek meg senkit) egy összetettebb műveletet akar elvégezni, akkor szüksége lesz botnetekre, zombikra. Számos webáruház áll a rendelkezésére, hogy bevásároljon a feladathoz, például figyelem eltereléséhez tökéletes megoldás egy 30 botnetes DOS támadás. Én személy szerint az orosz webáruházak palettáját tartom a leggazdagabbnak.

Spam üzenetek: Annak ellenére, hogy napjainkra gyakorlatilag mindenki tisztában van azzal, hogy a spam nem jó, kevesen tudják megmondani miért is nem. Így továbbra is kockázati tényezőként kell vele számolni. Sajnos igen hasznos eszköznek tud bizonyulni a támadók kezében, mivel egy egyszerű URL linkkel elindul a JavaScript, ami aztán átirányít a Blackhole oldalra vagy HTML-es csatolmányként is érkezhet.

Fogadó oldal: Akármilyen eljárást is használ a támadó a felhasználó webes forgalmának kontrollálására az eredmény ugyanaz: az áldozat böngészője betölti a kódot az explot kit fogadó oldaláról. A fogadó oldal lehet:
- Egy pénzügyi cégtől érkező fizetési felszólítás, ami átirányítja az áldozatot, aki lehet specifikus személy vagy egy adott csoport egyaránt
- Leveszi a PC-k információit – ujjlenyomatait – , hogy kiderítse az operációs rendszer típusát, böngésző, Java, Adobe Reader, Adobe Flash verzióját
- Betölti az oda illő exploit-ot, így nem kell a támadónak, Nmap-ozni és Metasploit-ban, ExploitDB-ben keresgetni, mivel ugye automata

Hogyan működik a Blackhole?

A Blackhole első komponense egy derekasan összekuszált JavaScript. Egészen egyszerűen azért, mert a JavaScript számos lehetőséget kínál a kód bújtatására és relatív könnyen beilleszthető a kompromittálni kívánt oldalra. Tulajdonképpen ez az agresszív kódkavarás emeli a Blackhole-t a legszívósabb támadási vektorok közé.

A szkript sérülékenységek után kutat a PC védelmében, tipikusan többféle kódolást alkalmazva, hogy megnehezítse a víruskergető dolgát az analitikában és a beazonosításban. Célja egyszerűen a telepített böngésző és pluginok verzióinak meghatározása. A Blackhole igen gazdag exploit készlete lehetővé teszi, hogy az adott verzió ellen a leghatékonyabb támadást vesse be. Például ha a támadás egy Flash betöltésén alapul, tudni kell az Adobe szoftver verzióját, így a régi verzióhoz egy régebbi exploitot, frissebb verzióhoz újabb exploitot alkalmaz. Ha pedig a Windows Help és Support Centert veszi célba, akkor a megfelelő Java verziót nézi.

CVE

Target

Description

CVE-2011-3544

Java

Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability

CVE-2011-2110

Flash

Adobe Flash Player unspecified code execution (APSB11-18)

CVE-2011-0611

Flash

Adobe Flash Player unspecified code execution (APSA11-02)

CVE-2010-3552

Java

Skyline

CVE-2010-1885

Windows

Microsoft Windows Help and Support Center (HCP)

CVE-2010-1423

Java

Java Deployment Toolkit insufficient argument validation

CVE-2010-0886

Java

Unspecified vulnerability

CVE-2010-0842

Java

JRE MixerSequencer invalid array index

CVE-2010-0840

Java

Java trusted Methods Chaining


Mindegyik támadásnak ugyanaz a célja: egy malware-t futtasson a megcélzott PC-n. A támadó - aki vagy licenceli vagy bérli a Blackhole-t – dönti el, milyen malware-re van éppen szüksége, a program mit bocsájtson a rendelkezésére. Napjainkban a leggyakoribbak a hamis anti-virusok, ransomware – amik titkosítják a áldozat gépét és csak fizetség ellenében szolgáltatják ki a jelszavakat – az adatlopó trójaik, mint például a Zeus, vagy olyan rootkitek, mint a TDSS, és a ZeroAccess.

Hogyan lehet védekezni?

Általánosságban nézve a támadásnál három szintről tudunk beszélni:

1. A kezdeti kapcsolat, email vagy egy módosított weboldal formájában
2. A támadó oldalára való átirányítás, ami a sérülékenységeket puhatolja ki
3. A exploit „kézbesítése”, aminek eredménye a malware bevetése

A rabló-pandúr játék szerencsére a technikai oldalon is nagyjából kiegyenlített. Így pénztárcától függően meg lehet találni az ideális megoldást a következők alapján:

Email filter: Napjainkra a pontozás alapú spam szűrők elavultnak számítanak. Ha jó email szűrőt akarunk, akkor nézzük meg, hogy a pontozás mellett, milyen előfizetési listákon van rajta az alkalmazott gyártó. Ez nagyobb hatékonysággal ismeri fel a botnet-bázis eredetet. Emellett globális szabályba kell rögzíteni, hogy JavaScript tartalmakat kidobja, kivétel szabályokat utána be tudunk állítani.

Web filter: Igen hasznos mind hálózat, mind kliens szinten, mivel még ha engedélyezve is van a felhasználó számára a böngészés oldalon belül is képes tiltani a JavaScript tartalmat. Itt is fontos a jó megoldás választása, mivel nem mindegyik céleszköz, szoftver képes erre.

Patchelés: Operációs rendszer és alkalmazás szinten egyaránt rendkívül fontos, mivel a gyártók sokat dolgoznak a programjaik védelmén, éljünk ezzel a lehetőséggel! Nagyobb rendszerek esetén központosítottan kell megoldani a patch kérdését, mert az ember itt nagy hibatényező és a feledékenység nagy luxus. Sajnos azonban a 0day támadások ellen annyit ér, mint halottnak a puszi.

Az utolsó tanácsnál közhelyes leszek, oktassunk, oktassunk és oktassunk! Igen ám, de fontos, hogy hogyan. A legjobb, ha úgy festünk képet, hogy a felhasználó rá tudja vetíteni a saját bőrére, tudja kapcsolni valamihez. Így a súly problémákkal küzdő munkatárs akármennyire is le akar fogyni, kétszer is meggondolja, hogy ráklikkeljen-e „dagi magazin” ismeretlen eredetű linkjére.

A cikket a Black Cell Kft. biztosította az Androbit.org online informatikai magazin számára Gyebnár Gergő tollából

Fontos részletek derültek ki az Essential első okostelefonjáról
300 dollárba kerül egy Samsung Galaxy S8 legyártása
Az Apple mellett a Google is három készüléket mutat be
Végtelen pénz: Egymilliárd iPhone‑t adott el eddig az Apple
Xiaomi Mi MIX 2 – Itt a jövő okostelefonja
Egy rejtélyes zenekütyü fejlesztésébe kezdett a Spotify
Felkapott témák
Így fog kinézni az iPhone X
Százmilliókat keresett egy tizenéves hacker
Ezek most a legjobb antivírusok Androidra
Xiaomi Mi MIX 2 – Itt a jövő okostelefonja
Több ezren váltanának GNOME helyett KDE-re az Ubuntuban
300 dollárba kerül egy Samsung Galaxy S8 legyártása
Állásajánlatok
Projektgazda Szekszárd 70663
Műszaki vezető-lakatos üzem vezető
Desktop support munkatárs
Minőségbiztosítási szakember
Analízis labormérnök
Rendszergazda
Tesztautomatizáló C# nyelven