Blackhole kit 2.0. Facilidades en la infección y dificultades para el analista

Blackhole es el kit del momento. Lo usan los profesionales para infectar
de forma cómoda a los navegantes. La herramienta se encarga de elegir el
exploit adecuado según navegador, plugins instalados, sistema
operativo… Y por supuesto, ese exploit hará lo que el atacante haya
elegido (normalmente robar los ahorros del banco de la víctima). Se ha
creado la versión 2.0, que trae importantes mejoras para el atacante, y
malas noticias para los analistas.

Nació en 2010, después de desbancar a Eleonore. Según Sophos, el 28% de
todas las amenazas web están basadas en Blackhole. Para AVG, son el 91%.
En realidad, estas cifras tan dispares no dicen nada, solo que realmente
es popular. Podemos asegurarlo por experiencia propia.

http://2.bp.blogspot.com/-Scw1HeXVoco/UFLcyVesnqI/AAAAAAAABDE/N5LPHCAIzQs/s640/blackholelarge.png

Uno de los creadores ha escrito en un foro ruso (cómo no), que ya está
disponible la versión 2.0, destinada principalmente a eludir a los
antivirus y mejorar el control del que usa el kit. Han reescrito desde
cero una buena parte del código. Veamos funciones que nos parecen
interesantes.

* Ahora las URLS desde donde se descargan los payloads, son dinámicas y
válidas solo por unos segundos. Luego desaparecen. Consiguen así que los
cazadores de malware lo tengan muy complicado para recopilar muestras
(jar y exe) de forma automática, o recuperarlas después de una
infección, en los forenses. También permite elegir el formato de la URL
de descarga del payload. Incluso tomar palabras de un diccionario, como
una especie de firma del que lo use. En la versión 1, se usaba:

para la descarga del payload. Este esquema era ya reconocible (adiós a
las reglas de los IDS) y han decidido que sea personalizable.

* Han mejorado la detección de las versiones de Java vulnerables, la
joya de la corona del kit (el programa que más víctimas le reporta).

* Han hecho limpieza de exploits, eliminando los más antiguos, que
reportaban poco. También los que no siempre funcionaban y podían causar
que el navegador se colgase (con el objetivo de pasar aún más
desapercibidos). Sin embargo, parece que dejan algunos para el obsoleto
IE6, que todavía es “común”, como el MDAC. Además, usarán (cómo no) un
pack para explotar Java y la vulnerabilidad LibTiff para los lectores
PDF (de 2010). Por supuesto, esto es ampliable.

* Si uno de los exploits es detectado por más de un número configurable
de antivirus, será descartado y reemplazado automáticamente.

* Para los usuarios de Chrome (los únicos a los que no ataca), Blackhole
2.0 permitirá crear una página HTML en la que se indicará que esa URL
debe ser visitada con cualquier otro navegador. Chrome no interesa a los
atacantes porque la ejemplar implementación de su sandbox les hace
difícil que los exploits de los plugins funcionen.

* También mejora la seguridad. Ahora el panel permite bloquear el
tráfico que les llegue sin referer. Significa que rechazará las
peticiones directas. Estas suelen ser de las personas que conocen su
existencia y no vienen redirigidas de ningún sitio. Además permite
prohibir tráfico TOR, los referer que se deseen, etc.

* Con respecto al panel de control, añaden nuevos sistemas operativos
como Windows 8, Android y iOS. Los móviles parece que están ahí para
estimar el tráfico generado por los nuevos dispositivos. También mejora
la visibilidad de las versiones de Adobe y Java que poseen las visitas,
para afinar los exploits.

Dicen además que han incluido otras mejoras, que prefieren mantener
ocultas para no alertar a las casas antivirus.

¿Cuánto cuesta?

El creador mantiene los precios, a pesar de las mejoras.

Alquiler: 50 dólares al día (con 50.000 hits como límite). Al mes son
500 dólares de alquiler. La licencia para uso libre, va desde los 700
dólares por tres meses, a los 1.500 por usarlo un año. Se ofrecen
posibilidades como cambios de dominio del panel de administración por 20
dólares. Otro servicio de “limpieza” por 20 dólares, creemos que se
refiere a eliminar de la base de datos de infectados las direcciones IPs
conocidas de investigadores, casas antivirus, honeypots, etc.

Nuestra experiencia es que Blackhole es muy sofisticado, mucho más que
el panel de Zeus, que tanto nos sorprendió en 2006. Además,
vulnerabilidades recientes son incorporadas al kit de forma rápida. Se
encuentra muy distribuido y ha conseguido posicionarse en todo tipo de
páginas, legítimas o no, de forma que cualquier usuario puede infectarse
si es vulnerable a alguno de sus exploits, aun manteniendo una rutina de
navegación “higiénica”. Por ejemplo, Blackhole es el kit más usado
actualmente para infectar con Zbots, y el famoso “virus de la policía”.
El éxito de ambas familias habla por sí solo.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies