Svart hull
Svart hull | |
---|---|
Grunnleggende data
| |
utvikler | Slem |
Gjeldende versjon | 2,0 (estimert) (12. september 2012) |
kategori | Utnytt kits, skadelig programvare |
Tillatelse | ukjent |
Tysktalende | Nei |
Blackhole (tysk oversettelse: svart hull ) er et utnyttelsessett som nå har en markedsandel på nesten 30 prosent. Det antas å være utviklet av russiske nettkriminelle, som skjermbildene på Internett antyder .
Blackholes infrastruktur
Blackhole kostes ($ 1000 per halvår), og tilbyr en (relativt komfortabel) administrasjon via webgrensesnitt. Det spesielle med dette er at Blackhole-utviklerne reagerer veldig raskt på nye sikkerhetshull. Utnyttelsen publisert i forbindelse med Java- krasj ( CVE -2012-4681) ble integrert i Blackhole etter bare tolv timer.
En presis beskrivelse av Blackholes serverinfrastruktur er ikke mulig. Nye servere legges til hver dag, hvorav noen går frakoblet etter noen timer eller dager. I tillegg er mange av disse nodene lokalisert i anonyme nettverk (f.eks. Tor ), noe som gjør det praktisk talt umulig å identifisere de ansvarlige personene. De fleste av disse serverne er i USA (nesten 30%), etterfulgt av Russland (≈ 17,5%).
land | Blackholes serverandel (2012) |
---|---|
Brasil | 1,49% |
Storbritannia | 2,24% |
Nederland | 2,55% |
Tyskland | 3,68% |
Kina | 5,22% |
Tyrkia | 5,74% |
Italia | 5,75% |
Chile | 10,77 |
Russland | 17,88% |
forente stater | 30,81% |
Andre | 13,88% |
En typisk infeksjon med sorte hull
De fleste hendelser med Blackhole-infeksjon skjer i henhold til følgende skjema: For det første blir en reklameserver (dvs. en server på Internett som viser annonser på andre, intetanende nettsteder) hacket og manipulert på en slik måte at den laster inn skript i bakgrunnen som besøkende på Videresend serveren til et nettsted, som deretter tapper datamaskinen for svake punkter (for eksempel utdaterte plugins) og deretter utnytter disse hullene som er funnet. Hvis angrepet på en datamaskin var vellykket , lastes det som kalles nyttelast på nytt, dvs. et program som utfører ytterligere handlinger, for eksempel dekning av spor eller omlasting av ny ondsinnet kode som er nøyaktig skreddersydd til datamaskinen.
Tjeneste fra Blackhole
Det er ikke kjent nøyaktig hvordan Blackhole drives av "sluttbrukeren". De få skjermbildene på Internett antyder et slags webgrensesnitt eller grafisk program . Det som imidlertid virker sikkert, er at Blackhole er relativt enkelt å bruke, det vil si uten kjedelig programmering av utnyttelser eller nyttelast . Detaljer er ikke kjent.
Nyttelast
Nyttelast | Andel (over 2 måneder, august og september 2012) |
---|---|
Zbot | 25% |
Ransomware | 18% |
PWS | 12% |
Sinowal | 11% |
FakeAV | 11% |
Bakdør - Programmer | 6% |
ZAccess | 6% |
Last ned | 2% |
andre nyttelaster | 9% |
Utgivelse av Blackhole
Den første versjonen av utnyttelsessettet ble publisert i "Malwox", et russisk hackerforum. Den eksakte datoen eller lisensen der programmet ble utgitt, er ukjent. For øyeblikket synes versjon 2.0 (eller høyere) å være oppdatert.
Mottiltak
Blackhole skiller seg ut fordi den har ledelse over gjennomsnittet. Utvikleren eller utviklerne (pseudonym: Paunch ) er åpenbart veldig erfarne i å finne ny skadelig programvare for programmer eller å programmere dem selv. I følge en artikkel prøver IT-sikkerhetsselskapet Sophos å spore utnyttelsessettet og oppfordre brukerne til å ta flere sikkerhetstiltak ( sikkerhetskopier , oppdatering av kritiske programmer osv.). Suksessen til disse tiltakene kan ikke vurderes fordi det ikke er (eller knapt) kjent hvor høyt antall datamaskiner smittet av Blackhole ellers ville vært.
Siden Blackhole i økende grad benytter seg av null-dagers utnyttelse , har en automatisk oppdatering liten nytte, men det forhindrer vanligvis infeksjon av kjente bedrifter .
Som andre utnyttelsessett , manipulerer Blackhole hackede nettsteder ved å sette inn et skript (for det meste JavaScript ) som automatisk analyserer nettleseren eller operativsystemet i bakgrunnen når nettstedet kalles opp og sjekker for sikkerhetshull. Hvis den finner det den leter etter, prøver den å utnytte smutthullene den har funnet. Her kan plugins eller tillegg (for eksempel NoScript ) bidra til å forhindre at skript blir lastet inn på nytt.
I oktober 2013 ble utvikleren (pseudonym: Paunch ) av Blackhole i Russland arrestert med noen medskyldige.
Fremtredende tilfeller av sorte hullangrep
- 3. april 2013 ble det kjent at et nytt og eksepsjonelt godt programmert ondsinnet program kalt Darkleech var i omløp. Darkleech infiserte Apache - webserver , som er på IP-adresser årsaker til sikkerhetsselskaper ingen angrep. Det antas at Darkleech ble programmert av utviklerne av Blackhole- utnyttelsessettet, da det laster inn ondsinnet kode fra Blackhole-nettsteder.
- I følge en rapport fra 8. april 2013 om Heise Security , er et botnet kalt Cutwail for tiden spesielt aktiv igjen. I tillegg til nettbanken Trojan sprer den også skadelig programvare for Android . Også her blir ofre omdirigert til nettsteder for sorte hull .
Se også
weblenker
- Teknisk papir: Dypere inne i Blackhole-utnyttelsessettet. Blackhole artikkel
- Inside a Black Hole: Part 2. (PDF) Mer detaljert artikkel om Blackhole og prosessene med infeksjon (engelsk)
Individuelle bevis
- ↑ Sophos: Costs of Blackhole (bilde) (engelsk) . Hentet 5. mars 2013.
- ↑ M86 Security Labs: Skjermbilde fra Blackhole . Hentet 9. mars 2013.
- ↑ Skjermbilde av Blackhole-grensesnittet (versjon 1.0.0) . Hentet 9. mars 2013.
- ↑ Kostnad for Blackhole (bilde) . Hentet 9. mars 2013.
- ↑ Malware Intelligence : Malware Intelligence Blog: Black Hole Exploits Kit 1.1.0 Inside . Hentet 19. mars 2013.
- ↑ CVE-2012-4681 på MITRE (engelsk)
- ↑ Java-utnyttelse (CVE: 2012-4681) . Arkivert fra originalen 17. februar 2013. Info: Arkivkoblingen ble satt inn automatisk og er ennå ikke sjekket. Vennligst sjekk originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. Hentet 19. mars 2013.
- ↑ Heise Security: Java-0-Day under mikroskopet . Hentet 9. mars 2013.
- ↑ Sophos: Java-feil allerede inkludert i Blackhole-utnyttelsessettet, Oracle ble informert om sårbarheter i april . Hentet 19. mars 2013.
- ↑ Sophos: Sophos Security Treath Report 2013 (engelsk) . Hentet 12. mars 2013.
- ↑ Sophos: Sophos Security Threath Report 2013 (engelsk) . Hentet 9. mars 2013.
- ↑ Sophos: Sophos Security Threath Report 2013 (engelsk) . Hentet 9. mars 2013.
- ↑ community.websense.com: Skjermbilde av Blackhole-grensesnittet . Hentet 15. mars 2013.
- ↑ M86 Security Labs: Skjermbilde av Blackhole-grensesnittet . Hentet 19. mars 2013.
- ↑ Skjermbilde av Blackhole-grensesnittet (delvis svart) . Hentet 19. mars 2013.
- ↑ Sophos: Diagram: Fra Black Hole distribuerte nyttelaster (engelsk) . Hentet 19. mars 2013.
- ↑ com-magazin: Blackhole 2.0 skaper skadelig programvare for noen få dollar . Hentet 8. mars 2013.
- ↑ Sophos: Ny versjon av Blackhole exploit kit (engelsk) . Hentet 19. mars 2013.
- ^ Sophos: Anatomy of an Attack: Drive-by-Downloads og Blackhole (delvis på engelsk) . Arkivert fra originalen 27. mars 2013. Info: Arkivkoblingen ble satt inn automatisk og er ennå ikke sjekket. Vennligst sjekk originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. Hentet 19. mars 2013.
- ^ Sophos: Anatomy of an Attack: Drive-by-Downloads og Blackhole (delvis på engelsk) . Arkivert fra originalen 27. mars 2013. Info: Arkivkoblingen ble satt inn automatisk og er ennå ikke sjekket. Vennligst sjekk originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. Hentet 19. mars 2013.
- Ise Heise Security: Skurker går til skyen . Hentet 20. mars 2013.
- ↑ Heise Security: Kritisk Java-sårbarhet utnyttes i stor skala . Hentet 5. februar 2013.
- ↑ Heise Security: skadelig programvare på Sparkasse-nettsteder . Hentet 20. mars 2013.
- Ise Heise Security: Skurker går til skyen . Hentet 20. mars 2013.
- ↑ Heise Security: Utvikler av Blackhole Exploit Kit arrestert . Hentet 10. oktober 2013.
- ↑ Heise Security: Darkleech infiserer Apache-servere i dusinvis . Hentet 9. april 2013.
- ↑ Heise Security: botnet distribuerer Android-trojanere . Hentet 9. april 2013.