DETALLES DEL NUEVO EXPLOIT SPELEVO REVELADOS POR CISCO – TALOS

Cisco Talos está revelando los detalles de una nueva campaña de kits de exploits que demuestra que dichos kits siguen siendo una amenaza y deben ser tomados en serio por los defensores: Spelevo. Esta campaña reciente aprovechó un sitio comprometido de empresa a empresa para entregar Spelevo, uno de los primeros kits nuevos que hemos visto en meses.

Spelevo ilustra muchos de los desafíos asociados con la protección contra estas amenazas y la prevención de su propagación. Al comprometer este sitio web en particular, los atacantes hicieron poco más que agregar cuatro líneas al código que representa la página web, pero esas cuatro líneas causaron mucho daño y pueden comprometer a todos los visitantes que tienen poca seguridad de seguridad. A pesar de que Angler hizo uso de un día cero en Adobe Flash Player hace años, los kits de exploits dependen en gran medida de los exploits existentes parcheados. Sin embargo, todo lo que necesita es un parche perdido en un sistema para llevar directamente a un compromiso. Es por eso que necesita cosas como un enfoque exhaustivo de defensa en profundidad con varias tecnologías implementadas para ayudar a mitigar cualquier riesgo residual que conlleva la gestión de una empresa.

Antecedentes de los kits de exploits.
Los kits de explotación son algo que Talos ha cubierto en el pasado, incluidas algunas inmersiones profundas más memorables. El objetivo de los kits de explotación es bastante sencillo: comprometer a las víctimas aleatorias en Internet utilizando vulnerabilidades reveladas para entregar una carga útil maliciosa. Esto se logra a través de un par de componentes: un sistema de dirección de tráfico (TDS) o una puerta, una página de destino y una página de explotación. El desafío para la mayoría de los adversarios es atraer tráfico a sus kits, y hay un par de métodos diferentes para lograrlo.

Hoy en día, la mayor parte de la actividad del kit de explotación que Talos observa se alimenta mediante la publicidad maliciosa o el uso de anuncios maliciosos. Estos anuncios generalmente se alojan en una variedad de diferentes páginas web y plataformas, pero generalmente se asocian con servicios de transmisión ilícita y contenido para adultos. Sin embargo, esta no es la única forma en que los usuarios pueden ser dirigidos a explotar kits, como muestra Spelevo. Spelevo aprovechó los sitios web comprometidos, otro método popular, para infectar a las víctimas.

Los kits de explotación tienen una gran limitación: Internet Explorer. Para que los kits de explotación funcionen con eficacia, los adversarios deben aprovechar un navegador web anticuado que carece de muchas de las protecciones modernas diseñadas para derrotar a este tipo específico de ataque. Pero la cantidad de personas que utilizan activamente Internet Explorer continúa disminuyendo a medida que migran a los navegadores web modernos nativos de Windows como Edge o a algunas de las otras soluciones de código abierto como Mozilla Firefox y Google Chrome. Sin embargo, Internet Explorer sigue siendo algo popular, y los kits de explotación siempre estarán allí para aprovechar a sus usuarios.

Detalles de spelevo
Cisco Talos comenzó a observar un aumento en la actividad del kit de explotación y comenzó a buscar en una campaña en particular. Fue durante esta investigación que se identificó uno de los servidores web comprometidos y se enfocó la campaña completa. La actividad parecía originarse en un sitio web de contacto de empresa a empresa (B2B). Este sitio web inicialmente parecía tener solo una página comprometida, pero a medida que la investigación continuaba, parecía que el compromiso era más significativo con varias páginas, incluida la página principal de redireccionamiento a la puerta utilizada para la campaña. Para su crédito, mientras la investigación estaba en curso, el sitio ya estaba tratando con el compromiso. El compromiso real es sutil, agregando solo unas pocas líneas cortas.

—

En realidad, hay dos conexiones diferentes que estas dos líneas establecen y comienzan el proceso de infección. Una cosa a tener en cuenta es que este kit en particular abre una nueva pestaña cuando están comprometiendo el sistema. En este caso, la puerta real se encuentra en ezylifebags [.] Com [.] Au con un cojín 302.
Como puede ver, este no es el único script adicional que se incluye en el sitio web comprometido. También hay una solicitud de otro archivo JavaScript que se aloja en la vida de su caja de premios [.]. Sin embargo, esta solicitud no da como resultado más que solicitudes adicionales para el mismo archivo a través de la redirección 301 y podría usarse como un rastreador adicional para asegurar que la víctima llegue a la puerta a través de los canales apropiados, un sitio web comprometido, y no sea directa se conecta desde los investigadores.
Es en este punto que el propio kit de explotación se involucra. Esto comienza con una solicitud de la página de destino. La página de destino suele ser donde se realiza una investigación inicial del sistema y se realiza algún nivel de reconocimiento. Esto incluirá cosas como los sistemas operativos que se utilizan, el tipo y la versión del navegador web, y el tipo y las versiones de los complementos aplicables, especialmente Adobe Flash. Esta fase de reconocimiento no fue fácilmente identificable al mirar inicialmente la página de destino. Como se muestra a continuación, en la parte superior del documento parecía haber un blob codificado en base64 que se asignaba a una variable. Sin embargo, hubo un intento fallido de descodificación, lo que llevó al descubrimiento de un esfuerzo adicional por parte de los atacantes.
Cuando comenzamos a analizar el código en la página, descubrimos por qué fallaba la decodificación: los actores usaron primero la codificación rot13, como se resalta a continuación.
Una vez que decodificamos el rot13 y luego decodificamos la base64 resultante, encontramos el código necesario para probar el sistema para determinar la vulnerabilidad.
Este código probará la información del sistema operativo, el navegador web y el complemento. Como muestra la declaración de prueba que se encuentra a continuación, una vez que se hace esto, existe un árbol de decisión. Si se encuentra una versión vulnerable de flash, se toma el primer camino que probablemente conduce a CVE-2018-15982, que ha sido ampliamente abusado por kits de exploits que incluyen Spelevo. Si no se encuentra una coincidencia, se sigue la segunda ruta, que ofrece otro exploit.
La ruta de infección específica que seguimos no bajó la ruta de Flash, y en su lugar sirvió al otro exploit. Comenzamos a analizar el exploit, y después de una investigación, determinamos que CVE-2018-8174 está siendo explotado, otra vulnerabilidad de uso después del libre en el motor VBScript de Internet Explorer. Este exploit en particular ha sido ampliamente abusado y se puede encontrar en varios otros kits de exploits, especialmente el Fallout Exploit Kit.

No es sorprendente encontrar que este exploit se agrega a varios kits de exploits, ya que la mayoría de los kits se copian entre sí y una vez que un exploit está disponible en uno, los otros generalmente no se quedan atrás. Esta vulnerabilidad en particular aún requiere el uso de Internet Explorer y confía en que el usuario esté atrasado en las actualizaciones, ya que el parche para este error en particular ha estado disponible desde mayo de 2018.

Una vez que el sistema se ha visto comprometido y la carga útil se ha entregado, Spelevo hace algo un poco novedoso para los kits de explotación: redirige a Google, lo que implica un compromiso. El efecto práctico es que un usuario vea una pestaña abierta que carga la puerta, seguida de la página de destino, una página de vulnerabilidad y, finalmente, a Google.
Esto podría llevar al usuario a pasar por alto el hecho de haber sido comprometido y asumir que estaban abriendo una página web normal.

Carga útil
La carga útil que ofrecen los kits de explotación varía. En los casos en que Talos observó que los troyanos bancarios eran la carga útil principal, específicamente se observó que tanto el IcedID como el Dridex fueron entregados desde Spelevo durante esta campaña. Estos tipos de carga útil son comunes a los kits de explotación, ya que se trata de un ataque puramente financiero y los troyanos bancarios son una vía atractiva para la monetización.

Técnicas familiares
Spelevo es un kit de explotación relativamente nuevo que se vio por primera vez hace un par de meses. Desde su descubrimiento, ha pasado por algunos cambios menores, incluida la modificación de la estructura de la URL y algunos cambios de ofuscación en las páginas de aterrizaje y explotación en sí mismas. Hace uso de muchas técnicas comunes para los kits de explotación que hemos visto a lo largo de los años.

A diferencia del kit de explotación Rig, Spelevo se hospeda utilizando dominios en lugar de direcciones IP codificadas. Además, parecen estar aprovechando el sombreado de dominios, una técnica que Talos descubrió hace varios años, aprovechando las cuentas de registrantes comprometidas para albergar actividades maliciosas que usan subdominios. Talos también encontró varios casos de amortiguación 302 en los que las puertas y los kits de explotación aprovecharán una serie de redirecciones HTTP 302 para apuntar a la página de destino. La funcionalidad principal sigue siendo la misma: comprometer a cualquiera que interactúe con ella.

Vídeo del kit de explotación de Spelevo>
https://youtu.be/Ad6wyIPqxfQ

Conclusión
De la misma manera en que vemos amenazas antiguas como MyDoom y Stuxnet circulando en Internet hoy en día, los kits de exploits serán un elemento permanente.

—

Ver información original al respecto en Fuente>