拉斯维加斯(黑帽美国)——Trustwave的研究人员向CSO提供了一个量级开发工具包的基础设施的内部资料。
连接至针对PHP.net和雅虎的攻击,该工具包已经从默默无闻去在很短的时间量认证的威胁,而每周生成超过$ 60,000 USD收入。
+也在网络世界足球竞猜app软件黑帽2014:如何破解一切+
Malware-as-a-Service:
犯罪工具包是基于Web的罪犯的方式对他们的业务自动化。一些试剂盒专注于恶意软件的孤独,使在交付和管理的完全控制。其他则专注于控制流量,使他们完善对广告欺诈和黑帽SEO操作;但在同一时间,它们还可以用于驱动流量于第三类型试剂盒 - 利用的试剂盒。
开发工具包的存在是为了启动drive-by-download攻击。有时这些工具会找到它们进入a的方式水坑攻击,但那是例外,而不是规则。这个过程很简单;该套件的一部分针对漏洞的软件与先前确定的漏洞列表,而其他(假设开发成功)会感染近期被盗系统的恶意软件。
在一次CSO的采访中,Trustwave的研究总监Ziv Mador解释说,开发工具包“是当今传播恶意软件和感染全世界用户的主要方法之一。”
最近最臭名昭著的漏洞工具包之一被称为黑洞。黑洞开发工具包于2010年首次发布,在其活跃的三年间,它成为了网络上使用最多的开发工具包。在某种程度上,互联网上近30%的“开车下载”攻击可能与黑洞有关。
然而,这个庞然大物在其发展背后的人——也就是大肚腩——被淘汰后就垮了2013年10月被捕。在绑定,犯罪分子需要一个新的套件转向和幅度漏洞利用工具包(震级/又名PopAds)似乎符合该法案。
其中第一个犯罪集团的移动到震级为的Cutwail僵尸网络。当Blackhole离线时,割线僵尸网络在URL和附件垃圾邮件级别上遭受了轻微的挫折。
当时,Cutwail的运营商主要集中在分配GAMEOVER宙斯恶意软件基于Pinterest的,通过网络钓鱼活动。所以通过移动到幅度,与完善的基础设施和开发选项列表扎实,Cutwail的运营商能够快速恢复。
但从长远来看,开发工具包本身就是一种新兴的商业模式,RSA-FirstWatch高级经理亚历克斯·考克斯解释道。
“坏人可以收取更低的服务费用,并进行更大规模的合作,这对买家很有吸引力,因为他们不必建立自己的基础设施。”过去,对于黑洞开发工具包的运营商来说,这是非常成功的,但对犯罪分子来说,不利之处在于,它让拆除和执法部门的注意力集中在了他们身上。”
但是是什么让犯罪包如此受欢迎呢?直到几年前,犯罪套件基本上还是闻所未闻的,但现在它们是大多数在线犯罪活动的主要组成部分。考克斯告诉《中央社会保障组织》,这一趋势是由威胁行动者技术水平较低所驱动的。
“目前从事网络犯罪所需的技能很低,而可利用的开发工具包、僵尸网络工具包等也反映了这一点,”Cox补充道。
数量级是众所周知的:
2013年10月,该套件的大小成为了头条新闻用于攻击PHP.net的访问者。最初,当谷歌将开发平台的主页标记为恶意时,人们猜测这些警告只不过是一个错误的肯定。
然而,不到一天之后,PHP.net管理员确认他们的服务器被攻破了。访问者通过泄露的JavaScript文件被重定向到大小,并利用Java和Adobe Flash的各种漏洞。
今年早些时候,该套件被用于攻击雅虎的广告后,该套件再次引起了公众的关注。犯罪分子在雅虎上购买了广告空间,并用这些广告将访问者重定向到拥有重要登陆页面的域名。在此基础上,该工具包将试图利用Java中的漏洞来传递恶意软件。
对袭击的调查被揭露的罪犯提供各种各样的恶意负载包括宙斯,仙女座,Necurs, Zusy,和Ngrbot。然而,最常见的感染似乎是恶意软件的重点是产生广告点击。虽然袭击是在2014年初发生的,但有证据表明,自2013年12月以来,该活动一直很活跃。
思科研究人员得出结论雅虎事件只是同一犯罪团伙发起的一场规模大得多的行动中的一小部分。按照Fox-IT的路线,Cisco发现了一个包含393个不同域名的21,871个主机名的大缓存[完整名单这与向雅虎发送恶意广告的域名使用的模式相吻合。除了Fox-IT和思科,火眼还发布了对这次攻击的技术分析,得出了许多相同的结论。
不久之后,在二月,Webroot的研究人员注意到一个上升趋势受感染的WordPress网站的数量被用作大规模感染的跳板。这些网站遭到大规模的攻击;利用网站本身的合法性质,作为一种建立信任的方式,访问者被引导到一个程度后,有点复杂的重定向链。
事后看来,这些事件都让我们对规模的作用有了一个小小的了解,但在当时,它们只是一块块拼图。
级的Malware-as-a-Service提供:
为了提供如此详细的数据,Trustwave的研究人员需要访问控制该套件基础设施的服务器。
确切的细节至于是如何获得这种访问不能被公开披露。然而,CSO可以报告说,执法部门获悉他们的发现,那八台服务器检查本报告均位于英国。究竟是什么执法计划做一下情况没有透露。
就目前的情况来看,震级命令开发套件31%的市场。然而,为了获取震级为广告系列使用的唯一的办法就是去认识一个人。引进这种水平,或朋友,对的一朋友的屏障,保护幅度的运营商(据信是一个人在俄罗斯),同时创造一个独特的商业模式。
与大多数利用套件不同的是,访问是基于按活动付费的模式,在规模背后的人只需要活动的一个百分比的流量。百分比金额取决于活动本身和总体流量,但典型的规模接入费用在5- 20%之间。
当涉及到他们在流量中所占的百分比时,该公司的运营商会安装他们自己的恶意软件,这通常与他们的客户使用的不同。在之前的竞选中,美国总统候选人交付给委托通信量的有效载荷通常勒索(例如CryptoLocker或CryptoDefense),一个图案仍然是这一天。
审查其最近完成了一项活动的日志和跟踪在其中引用的比特币交易,Trustwave的研究小组确定震级的经营者产生的$ 60,000到$ 100,000美元,每周的收入。
这些收入来自于勒索软件感染,受害者被要求支付300 - 500美元才能取回他们的文件。然而,这些金融数据仅基于Trustwave能够跟踪的比特币钱包,并不包括未知的钱包。
不过,作为竞选活动流量的清算中心,无论是谁,只要维护基础设施,就能每年赚取近300万美元。
驾驶交通:
该公司的客户负责为该套件的登陆页面生成流量。同样,这一流量决定了委托比例曲线,因此,流量越大,运营商获得的分成就越少。
因此,当客户被给予了一个定制的网址,为规模的登陆页面,其余的活动的操作在他们的手中。为了把尽可能多的流量带到登录页面,犯罪分子会发起垃圾邮件活动,黑帽SEO操作,网站妥协,以及其他任何可以帮助他们获得流量的活动。这就是为什么对雅虎、WordPress和PHP.net的攻击是重要的。它们是交通创造运动的标志,旨在用最少的努力聚集尽可能多的交通。
成功的交通活动将获得丰厚的回报,因为那些能够利用级活动中得到一个功能强大,可伸缩的基础设施提供了证明利用资产跟踪和分析,除了不断旋转的恶意软件和着陆页为了帮助他们竞选尽可能保持未被发现。如果做得正确,一个给定的运动可以持续几周,如果不是几个月,不被发现。
控制和管理混乱:
当涉及到设计时,星等的核心管理面板是最小的,但缺乏炫目被分析细节收集的每个活动抵消。除了原始流量数字,面板提供感染率,AV检测率有效负载和利用(通过Check4You提供),将域名列入黑名单的能力,以及更多。
在管理面板的另一个特点是上传自己的自定义可执行的有效载荷,或提供一个有效载荷的URL幅度将拉低每三小时一次的能力竞选经理。
还有一个常见问题,解释一些必需品,当谈到活动管理和安全,包括一张纸条,活动运营商负责更新,以便他们的着陆页网址,以保持它的形式被列入黑名单。此外,客户被告知,该恶意软件被传递检查对检测率AV商用每三十分钟一次,并转动需要。
然而,截至2013年10月,亚洲的几个小国,以及东非、南美和前苏联,自动被这套装备阻挡。Trustwave的Mador解释说,国家过滤器的存在有几个原因,比如许多被列在名单上的人与俄罗斯有引渡政策,而据信作者居住在俄罗斯,这对他们来说是纯粹的保护。
然而,也有一些国家为恶意软件发行商提供了更好的投资回报率,所以重点是限制感染,除非受害者满足预定义的标准,包括地理位置、操作系统和浏览器。
当涉及到受害者时,FAQ解释说量级“只会利用ie”,如果用户认为其他浏览器也会被利用,他们应该首先讨论支持。
对于交通交换,犯罪分子冒着暴露事实的风险,他们所购买的交通正在走向一个恶意的来源。为了解决这个问题,竞选经理可以定义一个通过标准检查的假网站。
“…从恶意域名提供的内容将是一些合法网站的副本——用合法网站的内容有效地模拟我们的恶意网站。一旦流量交换管理员验证了我们的“假网站”的合法性,该规模的客户可以关闭该选项,并从他的域名将提供规模的登陆页面。简单,但非常有效,”FAQ解释道。
最后,更有趣的方面的常见问题之一是需要注意的是之前任何API自动化可以发生,客户必须首先提供产地IP。这种行为的镜子合法的商业企业,证明了即使犯罪分子知道限制,以保护基础设施API访问。
在全球范围内有针对性的感染:
每个幅度受害者站起身其系统上安装七种不同类型的恶意软件。有时候,数小,但对于大多数竞选经理的目标是最大化的投资。
在一个月内,Trustwave的研究人员观察到,该公司试图利用110万个系统,导致21万个成功感染。大多数受害者都是家庭用户;然而,受害者档案中包括美国和加拿大的公司系统以及政府系统。
有三个主要利用大小,所以受害者被交付到着陆页,他们的目标是以下每一个,直到其中一个工作:
- CVE-2013-2551 (Internet Explorer 6-10存在VML漏洞)
- CVE-2013-2643 (Java <= 7.21, <= 6.45 w/ JNLP点击播放绕过)
- CVE-2012-0507 (Java <= 7.2和<= 6.30)
总体而言,Internet Explorer的漏洞已经取得了最大成功,与试剂盒的受害者的85%被它诱捕。
然而,试剂盒的成功的另一部分来自于受害者的个人资料。虽然美国是对受害者的顶部位置(32041),这是伊朗(30436)和越南(19304),其次是阿根廷(13,657),印度(12,367)和土耳其(11939),即占多数受害者池。