Internet Security / Analysen

Exploit-Kits – von verschiedenen Seiten betrachtet

21.02.2011

Vicente Diaz Marco Preuss

Einleitung

Exploit-Kits sind Pakete mit schädlichen Softwarekomponenten, die vornehmlich als Vehikel dienen, um automatisierte Drive-by-Angriffe zur Verbreitung von Malware zu fahren. Verkauft werden diese Kits auf dem Schwarzmarkt für Preise von wenigen hundert bis über tausend Dollar. Inzwischen ist sogar die Vermietung gehosteter Exploit-Kits zu einer gängigen Vertriebsschiene geworden. Aus diesem Grund ist der Markt durch einen starken Wettbewerb mit zahlreichen Protagonisten und vielen verschiedenen Programmierern gekennzeichnet.

Als eines der ersten Exploit-Kits trat vor einigen Jahren MPack in Erscheinung. Kurz darauf wurden ICE-Pack, Fire-Pack und viele weitere auf den Markt gebracht. Die Exploit-Kits mit dem höchsten Bekanntheitsgrad sind gegenwärtig Eleonore, das YES Exploit Pack und Crimepack. Auf verschiedenen Blogs und Websites wurden zahlreiche Forschungsarbeiten und Informationen zum Thema Exploit-Kits veröffentlicht.

Exploit-Kits in Zahlen

Was macht den Erfolg eines Exploit-Kits aus? Was ist der Schlüssel für die Popularität eines Kits? Blicken wir zunächst auf die Entwicklung mehrerer Kits, die seit Januar 2009 „in the wild“ aufgespürt wurden (freundlicherweise zur Verfügung gestellt von MalwareDomainLists).

Auffällig sind die unterschiedliche Verteilung der einzelnen Exploit-Kits! Die Hauptakteure sind Phoenix und Eleonore, dicht gefolgt von Neosploit. Ein Blick auf die fünf erfolgreichsten Exploit-Kits der letzten Jahre macht diese Unterschiede noch deutlicher:

Zwar hat sich auf den ersten drei Plätzen in letzter Zeit nichts verändert, dennoch können wir das Erscheinen neuer Kits beobachten. Dies zeigen auch die Top 5 der Exploit-Kits aus den vergangenen sechs Monaten:

Hier können wir das Erscheinen von SEO Sploit Pack und Crime Pack als neue Mitspieler feststellen. Betrachten wir nun die Sicherheitslücken, gegen die sich diese Exploits richten:

Insgesamt nutzen die populärsten Exploit-Kits zu 66 Prozent Sicherheitslücken im Internet Explorer sowie in PDF- und Java-Komponenten aus. Doch wie die folgende Grafike zeigt, handelt es sich dabei vor allem um alte Schwachstellen, für die ausnahmslos Patches bereit stehen – trotzdem werden sie weiterhin erfolgreich ausgenutzt.

Ein interessanter Punkt ist, dass ein und dieselbe Sicherheitslücke zu 41 Prozent von unterschiedlichen Exploit-Kits aktiv ausgenutzt wird. Dieses Verhältnis bezeichnet man als Wiederverwendungsrate.

Warum haben die Pakete Crimepack und SEO Sploit in den vergangenen Monaten so sehr an Popularität gewonnen? Ein Grund ist ihre vielfältige Einsatzmöglichkeit, doch wir sollten noch weitere Merkmale in Betracht ziehen.

Neuere Exploits

Als wir die prozentuale Verteilung der im Jahr ihres Bekanntwerdens ausgenutzten Sicherheitslücken mit dem Mittelwert der fünf gängigsten Exploit-Kits verglichen, stellte sich heraus, dass sowohl Crimepack als auch SEO Sploit Pack neuere Exploits verwenden.

Zielverteilung

Auch hier sind der Internet Explorer sowie PDF- und Java-Komponenten die am häufigsten angegriffenen Ziele. Doch in diesem Fall liegt der kombinierte Anteil bei mehr als 75 Prozent. Dies bedeutet also, dass vor allem die am häufigsten verkauften und genutzten Programme in der Schusslinie stehen.

Hinter den Kulissen von Exploit-Kits

Wir haben mehrere Versionen unterschiedlicher Exploit-Kits einer detaillierten Analyse unterzogen. Im Rahmen der Untersuchung wurden mehr als 16.000 Dateien verarbeitet.

Grafik und Design

Zusätzlich zu den integrierten Exploits enthalten die Kits auch eine Benutzeroberfläche, über die sich die Cyberkriminellen diverse Statistiken über das Paket anzeigen lassen können.

Login-Seite für Crimepack

 
Statistik aus Eleonore

 
Statistik aus BlackHole

Die in den Web-Front-Ends verwendeten Bilddateien lassen sich ganz allgemein in die Formate GIF und PNG unterteilen. Die weiter verbreiteten Pakete wie das YES Exploit Pack, Crimepack, MySploitsKit und Fragus enthielten sogar größere Bilder.

Die Qualität der grafischen Darstellung und des Designs jedes Exploit-Kits hängt von den Bemühungen seines Schöpfers ab. Bei Eleonore wurde beispielsweise ein kostenlos erhältliches CSS-Template verwendet, andere setzen auf Eigenkreationen.

Genealogie, Diebstahl und Kopie

Ausgehend von der Anzahl der von uns analysierten Dateien können wir einige interessante Statistiken ableiten. Im Zuge der Analyse haben wir die Dateien innerhalb jeder Paket-Familie miteinander verglichen. Dadurch können wir die Änderungen in verschiedenen Versionen nachverfolgen und die Weiterentwicklung eines Exploit-Kits aufzeigen. Ebenso haben wir alle Dateien eines Exploit-Kits miteinander verglichen, um mögliche Gemeinsamkeiten herauszufinden. Wie die folgende Abbildung zeigt, sind derartige Gemeinsamkeiten durchaus vorhanden:

Nachzuverfolgen, welches Exploit-Kit Code von einem anderen Kit verwendet oder von einem anderen beeinflusst wird, ist ein Kinderspiel. Dies gilt insbesondere für Phoenix, in dem eine erhebliche Menge an Datenmaterial der weitaus älteren Fire-Pack- und ICE-Pack-Kits wiederverwendet wird. Auch FirePackLite und BleedingLife weisen eine große Zahl an Parallelen auf. Nur bei SEO Sploit und ElFiesta konnten wir keine Verbindung zueinander feststellen, denn bei allen sonstigen Samples bestanden Verbindungen zu mehreren anderen Paketen. Die nachfolgende Abbildung zeigt eine Erweiterung dieser Statistik, in die ähnliche Dateien eingefügt worden sind:

Fazit

Wie das von den Blackhole-Autoren aufgenommene Foto zeigt, geht es bei alldem letztendlich um Geld. Erreicht ein Exploit-Kit eine hohe Popularität, verkauft es sich besser und bringt seinem Programmierer höhere Gewinne ein.

Um sich in diesem heiß umkämpften Markt zu behaupten, muss ein Exploit-Kit vor allem eine hohe Infektionsrate bieten. Neulinge in Sachen Exploit-Kit-Erstellung greifen daher häufig auf bereits vorhandene und bewährte Methoden zurück, wodurch sich die hohe Anzahl an Gemeinsamkeiten zwischen den Paketen sehr gut erklären lässt.

Je genauer sich die Medien mit dem Thema Exploit-Kits beschäftigen, desto mehr müssen ihre Urheber andere Punkte wie zum Beispiel den Sicherheitsaspekt in Betracht ziehen, da in einigen Exploit-Kits bereits Sicherheitslücken festgestellt worden sind.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Copyright © 1996 - 2011 Kaspersky Lab Industry-leading Antivirus Software All rights reserved