I kit di exploit da una nuova prospettiva

Marco Preuss
Vicente Diaz

I kit di exploit sono pacchetti contenenti programmi dannosi utilizzati principalmente per compiere attacchi automatici di tipo drive-by con la finalità di diffondere i malware. Vengono venduti sul mercato nero, con prezzi che vanno da alcune centinaia di dollari fino a oltre i mille dollari. Ormai il ricorso ai kit di exploit in modalità di hosting è divenuta una pratica piuttosto comune. Per questo si tratta di un mercato competitivo a cui partecipano molti soggetti e generato da diversi autori.

MPack, comparso diversi anni fa, è stato uno dei primi esempi di "tool" di questo tipo, seguito a breve da ICE-Pack, Fire-Pack e molti altri. Esempi di kit di exploit noti attuali sono Eleonore, il pacchetto YES Exploit e Crimepack. Sono stati scritti molti articoli di ricerca sui pacchetti di exploit, e diversi blog e siti Web hanno ospitato informazioni sull'argomento.

Durante la nostra ricerca abbiamo esaminato vari aspetti di questi kit, uno dei quali illustriamo nel presente articolo.

I kit di exploit in cifre

Cosa determina il successo di un kit? Qual è la chiave della popolarità per un kit? Innanzitutto, diamo un'occhiata all'evoluzione dei diversi kit di exploit scoperti a partire da gennaio 2009. (Per gentile concessione di MalwareDomainLists)

marko_exploitkits_pic01senlarge

La prima cosa che salta all'occhio sono le differenze nelle modalità di distribuzione dei vari kit! I protagonisti qui sono Phoenix ed Eleonore, seguiti a ruota da Neosploit. Ciò si può osservare meglio nel seguente diagramma, che mostra i 5 maggiori kit di exploit di tutti i tempi:

marko_exploitkits_pic02

Nonostante i primi 3 kit di exploit non siano cambiati molto recentemente, si può osservare come ne emergano di nuovi. Ora andiamo a vedere i 5 principali kit degli ultimi 6 mesi:

marko_exploitkits_pic03

Qui si rileva la comparsa di SEO Sploit Pack e Crimepack.

E adesso diamo un'occhiata alle vulnerabilità a cui mirano questi kit di exploit:

marko_exploitkits_pic04senlarge

Le vulnerabilità Java, Internet Explorer e PDF rappresentano insieme il 66% dei vettori di attacco utilizzati dai kit di exploit più popolari. Da quanto tempo esistono queste vulnerabilità? Il grafico seguente mostra la distribuzione degli anni in cui sono state rilevate:

marko_exploitkits_pic05

Si tratta per la maggior parte di vulnerabilità vecchie e per le quali sono disponibili delle patch, e tuttavia continuano ad essere sfruttate con successo.

È interessante notare che il tasso di riutilizzo delle vulnerabilità è del 41% (le stesse vulnerabilità sfruttate da diversi kit di exploit).

Infine, perché è cresciuta negli ultimi mesi la popolarità di Crimepack e dei pacchetti SEO Sploit? Ovviamente Ie ragioni possono essere molte e le capacità che questi tool hanno di sfruttare le vulnerabilità ne è solo una. Pertanto vediamo se riusciamo a individuare altre caratteristiche:

Exploit più recenti

Se andiamo a verificare la distribuzione in percentuale delle vulnerabilità sfruttate in base all'anno di rilevamento in confronto alla mediana dei 5 principali pacchetti, vediamo che Crimepack e SEO Sploit usano exploit nuovi.

marko_exploitkits_pic06senlarge

Distribuzione degli obiettivi

marko_exploitkits_pic07senlarge

Ancora una volta, PDF, Internet Explorer e Java sono i 3 obiettivi principali. Ma in questo caso la percentuale combinata rappresenta oltre il 75% del totale. Ciò significa che sfruttano i programmi più diffusi nei sistemi delle vittime.

I kit di exploit dietro le quinte

Per ottenere i risultati seguenti, abbiamo preso molti tipi di kit di exploit e versioni differenti e li abbiamo analizzati in dettaglio. Sono stati elaborati oltre 16.000 file.

Grafica e design

Oltre agli exploit integrati, i kit contengono un'interfaccia che consente ai cybercriminali di visualizzare varie statistiche relative al pacchetto.

marko_exploitkits_pic08
Pagina di accesso a Crimepack

marko_exploitkits_pic09senlarge
Statistiche Eleonore

marko_exploitkits_pic10senlarge
Statistiche BlackHole

Durante l'elaborazione dei file, sono emersi diversi tipi di file di immagine utilizzati sul lato Web. In linea di massima, possono essere distinti in GIF (format più vecchio) a PNG (format più recente). I pacchetti più utilizzati sono risultati essere quelli contenenti immagini più grandi, come ad esempio YES exploit, Crimepack, MySploitsKit e Fragus. La data di creazione non sembra essere rilevante. Uno dei più vecchi, MPack, ha immagini molto piccole, mentre quelle di ICE-Pack (2007) e Siberia (2009) sono molto più grandi.

La qualità della grafica e del design dei singoli kit di exploit dipende dalle intenzioni e dagli sforzi dei creatori. Eleonore, ad esempio, si avvale di un modello CSS disponibile gratuitamente, mentre altri creano i propri.

Genealogia, furto e copia

Dalla quantità dei file esaminati possiamo ottenere delle interessanti statistiche. Durante l'elaborazione abbiamo confrontato fra loro i file. Questa operazione è utile all'interno di ciascuna famiglia di kit, poiché consente di tenere traccia delle modifiche nelle diverse versioni e rivela l'evoluzione dei kit stessi. Abbiamo inoltre confrontato tra loro tutti i file dei kit di exploit allo scopo di identificare possibili caratteristiche comuni, che in effetti sono state rilevate, come illustrato nel seguente diagramma:

marko_exploitkits_pic11senlarge

Si possono facilmente identificare i kit che utilizzano codice proveniente da altri kit o determinare quali kit influenzano degli altri. Ciò è particolarmente vero per quanto riguarda Phoenix Exploit Kit, che si avvale di diverso materiale proveniente dai kit Fire-Pack e ICE-Pack, molto più vecchi. Anche FirePackLite e BleedingLife hanno diverse caratteristiche in comune. Solo SEO Sploit Pack e ElFiesta hanno fatto rilevare interrelazioni esclusivamente fra loro. Gli altri campioni hanno mostrato connessioni con diversi altri pacchetti. Il diagramma che segue è un ampliamento del precedente; qui sono stati aggiunti i file simili:

marko_exploitkits_pic12senlarge

Conclusioni

marko_exploitkits_pic13

Ultimamente tutto gravita intorno al denaro, come dimostrano le foto qui in alto, appartenenti ai creatori di BlackHole. Più un kit di exploit assume popolarità, maggiori saranno i guadagni che gli autori ricaveranno dalle vendite.

C'è una cosa che un kit di exploit deve sicuramente offrire per acquisire popolarità in questo mercato fortemente competitivo: un tasso di infezioni elevato. Per questo i nuovi arrivati nel settore usano metodi già esistenti e comprovati, il che potrebbe spiegare le tante similarità tra i vari pacchetti.

Tuttavia, per via dell'attenzione attorno all'argomento dei kit di exploit, i creatori devono tenere conto anche di altri aspetti, come ad esempio la sicurezza, poiché sono state identificate delle vulnerabilità dei vari kit nei confronti degli altri.

Noi di Kaspersky Lab monitoreremo attentamente la situazione per fornire protezione completa contro minacce come queste.