Ataki zestaw贸w exploit贸w

Vicente Diaz
Ekspert z Kaspersky Lab

D艂ugo艣膰 偶ycia zestawu exploit贸w jest bardzo kr贸tka. Niekt贸re z nich cieszy艂y si臋 kiedy艣 du偶膮 popularno艣ci膮 i potrafi艂y zainfekowa膰 tysi膮ce u偶ytkownik贸w, ale teraz nie s膮 ju偶 u偶ywane. Bardziej interesuj膮cy jest jednak fakt, 偶e niekt贸re stare zestawy, wyposa偶one w nowe exploity, prze偶ywaj膮 sw贸j "comeback" i mo偶na je zobaczy膰 na pierwszych miejscach w rankingach szkodliwego oprogramowania.

Najbardziej interesuj膮cym obszarem bada艅 jest jednak spos贸b wykorzystywania i cele aktualnych exploit贸w.

2010

Aby mie膰 pewn膮 perspektyw臋, zacznijmy od przeanalizowania sytuacji z 2010 roku. W zesz艂ym roku do najpopularniejszych zestaw贸w exploit贸w nale偶a艂y:

  1. Phoenix
  2. Eleonore
  3. Neosploit
  4. YESExploitKit
  5. SEOSploitPack

Jednak pod koniec 2010 roku nast膮pi艂 gwa艂towny spadek wykorzystywania Phoenixa oraz wzrost liczby szkodliwych serwer贸w obs艂uguj膮cych NeoSploita.

Analiza luk w zabezpieczeniach wykorzystywanych przez te zestawy exploit贸w pozwoli okre艣li膰 g艂贸wny wektor atak贸w:


Obraz, jaki wy艂ania si臋, nie jest statyczny, ale dynamiczny. W ci膮gu nieca艂ego roku luki w Javie zdo艂a艂y awansowa膰 na 3 miejsce. W 2010 roku celem 40% wszystkich nowych exploit贸w zawartych w zestawach z pierwszej pi膮tki by艂a Java. Wed艂ug Dana Guido, mojego kolegi z laboratorium antywirusowego, 11 na 15 najpopularniejszych zestaw贸w exploit贸w zawiera艂o co najmniej jeden exploit Javy, a 7 - wi臋cej ni偶 jeden.

Por贸wnajmy te informacje z innymi danymi. Wed艂ug Microsoft Malware Protection Center, w zesz艂ym roku mia艂 miejsce okres szczytowy pod wzgl臋dem liczby pr贸b wykorzystania luk w Javie:


殴r贸d艂o: arstechnica.com/business/news

Nasze dane wskazuj膮 na podobn膮 sytuacj臋. Wykres poni偶ej pokazuje liczb臋 stworzonych sygnatur zwi膮zanych z Jav膮 w odpowiedzi na wykryte zagro偶enia tego typu:

 

Pr贸by wykorzystania takich luk zosta艂y wykryte r贸wnie偶 w systemach naszych klient贸w:

 

Pytanie brzmi: dlaczego Java? Zastanawia艂em si臋 nad tym przez pewien czas, jednak odpowied藕 nasun臋艂a si臋 po wys艂uchaniu g艂贸wnej prezentacji na konferencji SOURCE. To takie oczywiste! Przecie偶 exploity Javy s膮 najlepszym sposobem obej艣cia zabezpiecze艅 systemu operacyjnego. W tym przypadku jeden obrazek mo偶e wyrazi膰 wi臋cej ni偶 tysi膮c s艂贸w:

 

2011

Jak wygl膮da sytuacja w bie偶膮cym roku? Czy co艣 si臋 zmieni艂o? Niekt贸re rzeczy z pewno艣ci膮 - mianowicie najpopularniejsze zestawy exploit贸w w pierwszej po艂owie roku:


2010 2011
Phoenix BlackHole
Eleonore NeoSploit
NeoSploit Phoenix
YESExploitKit Incoginto
SEOSploitPack Eleonore

Pojawi艂o si臋 dw贸ch nowych graczy: BlackHole oraz Incognito. Zobaczmy, jakie s膮 ich cele.

BlackHole:

  • CVE-2010-1885 HCP
  • CVE-2010-1423 Java Deployment Toolkit insufficient argument validation
  • CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
  • CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
  • CVE-2010-0840 Java trusted Methods Chaining Remote Code Execution Vulnerability
  • CVE-2009-1671 Java buffer overflows in the Deployment Toolkit ActiveX control in deploytk.dll
  • CVE-2009-0927 Adobe Reader Collab GetIcon
  • CVE-2008-2992 Adobe Reader util.printf
  • CVE-2007-5659 Adobe Reader CollectEmailInfo
  • CVE-2006-0003 IE MDAC

Zasadniczo, s膮 to wszystkie typowe elementy, jakie mo偶na znale藕膰 w niemal wszystkich zestawach exploit贸w, jedyn膮 r贸偶nic臋 stanowi膮 dwie pierwsze luki - CVE-2010-1885 oraz CVE-2010-1423. Druga z nich dotyczy Javy.

A co z Incognito? Oto lista luk wykorzystywanych przez exploity z tego zestawu:

  • CVE-2010-1885 HCP
  • CVE-2010-1423 Java Deployment Toolkit insufficient argument validation
  • CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
  • CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
  • CVE-2009-0927 Adobe Reader Collab GetIcon
  • CVE-2008-2992 Adobe Reader util.printf
  • CVE-2007-5659/2008-0655 Adobe Reader CollectEmailInfo
  • CVE-2006-4704 Microsoft Visual Studio 2005 WMI Object Broker Remote Code Execution Vulnerability
  • CVE-2004-0549 ShowModalDialog method and modifying the location to execute code

Opr贸cz dw贸ch ostatnich (CVE-2006-4704 oraz CVE-2004-0549) lista jest dok艂adnie taka sama jak ta dla BlackHole.

A zatem, jaki jest werdykt? Te dwa zestawy nie dodaj膮 niczego nowego do krajobrazu, nadal wykorzystuj膮 te same exploity i atakuj膮 Jav臋.

Analiza ta pozwala wyci膮gn膮膰 dwa wnioski:

  • Java staje si臋 najcz臋艣ciej atakowan膮 platform膮, poniewa偶 jest to naj艂atwiejszy spos贸b obej艣cia g艂贸wnych mechanizm贸w ochrony systemu operacyjnego.
  • Zmiany w pierwszej pi膮tce najbardziej rozpowszechnionych zestaw贸w exploit贸w nie maj膮 zwi膮zku z wykorzystywanymi lukami w zabezpieczeniach.
  • Nie ma potrzeby wykorzystywania luk 艣wie偶ych zero-day, podczas gdy na nieza艂atanych maszynach nadal s膮 istniej膮 starsze luki.

Cyberprzest臋pcy po raz kolejny pokazuj膮, jak bardzo zale偶y im na zwrocie z inwestycji, i 偶e zrobi膮 wszystko, co konieczne, aby wyprzedza膰 o krok mechanizmy ochrony. W takiej sytuacji prawdziwe jest inne znane twierdzenie: si艂a ochrony zale偶y od najs艂abszego ogniwa - w tym przypadku najs艂abszym ogniwem jest Java.

Eksperci z Kaspersky Lab b臋d膮 analizowali krajobraz exploit贸w przez pozosta艂膮 cz臋艣膰 roku, odnotowuj膮c wszelkie interesuj膮ce zmiany w wektorach atak贸w.

殴ród艂o:
Kaspersky Lab