Los exploit kits son paquetes que contienen programas maliciosos utilizados principalmente para ejecutar ataques automatizados del tipo ‘drive-by’ con el fin de propagar malware. Estos paquetes están a la venta en el mercado negro, donde los precios varían desde unos cientos hasta miles de dólares. Hoy en día, también es muy común alquilar exploit kits tipo hosted. Esto hace que el mercado sea competitivo, con muchos actores y autores.
MPAck, que apareció hace muchos años, fue uno de los primeros ejemplos de este tipo de ‘herramienta’. Le siguieron después de muy poco tiempo ICE-Pack, Fire-Pack y muchos otros. Los modernos exploits kits más conocidos son Eleonore, YES y Crimepack. Se han realizado muchas investigaciones y se ha publicado mucha información sobre estos paquetes de exploits en distintos blogs y sitios web.
En nuestra investigación hemos analizado diferentes aspectos de estos paquetes, uno de los cuales presentamos ahora.
Exploit kits en cifras
¿De qué depende el éxito de un exploit kit? ¿De qué factor depende su popularidad? Antes que nada, consideremos la evolución de los diferentes exploit kits detectados desde enero de 2009 (Cortesía de MalwareDomainLists).
Lo primero que nos llama la atención son los distintos patrones de distribución de los diferentes exploit kits. Los principales actores aquí son Phoenix y Eleonore, seguidos de Neosploit. El siguiente cuadro, que muestra los 5 primeros exploit kits de todos los tiempos, nos permite apreciar esto de mejor manera:
Aunque los 3 primeros exploit kits no han variado últimamente, podemos constatar la aparición de nuevos kits. Demos un vistazo a los 5 primeros exploit kits de los últimos 6 meses:
Aquí podemos ver la aparición de SEO Sploi Pack y Crimepack como nuevos actores.
Ahora, veamos las vulnerabilidades a las que apuntan estos exploit kits:
Las vulnerabilidades en Internet Explorer, PDF y Java representan el 66% de los vectores de ataques usados por los exploit kits más populares. ¿Cuán antiguas son estas vulnerabilidades? El siguiente gráfico nos muestra la distribución de los años en los que se registró cada una de estas vulnerabilidades:
La mayoría de las vulnerabilidades explotadas son antiguas y existen parches para todas ellas. Sin embargo, se siguen usando con éxito.
Resulta interesante notar que el índice de reutilización de las vulnerabilidades es del 41% (las mismas vulnerabilidades explotadas por distintos exploit kits).
Por último, ¿Por qué Crimepack y SEO Sploit Packs se han vuelto tan populares en los últimos meses? Por supuesto, pueden haber muchas razones, y su capacidad de explotación es sólo una de ellas. Veamos entonces si podemos encontrar otros atributos:
Nuevos exploits
Si verificamos el porcentaje de distribución de las vulnerabilidades explotadas según el año de divulgación, versus la mediana de los 5 primeros exploit packs, veremos que Crimepack y SEO Sploit Pack se dirigen a nuevos exploits.
Distribución de objetivos
Una vez más, PDF, Internet Explorer y Java son los 3 principales objetivos, pero en este caso, el porcentaje combinado representa más del 75% del total. Esto significa que están explotando los programas más populares instalados en los equipos de los usuarios víctimas.
Exploit kits detrás del telón
Para obtener los siguientes resultados, tomamos varias versiones de exploit kits y las analizamos en profundidad. Se procesaron más de 16 mil archivos.
Gráficos y diseño
Además de los exploits integrados, los paquetes también contenían una interfaz que permitía a los ciberdelincuentes visualizar varios datos estadísticos sobre el paquete.
Página de acceso a Crimepack
Datos estadísticos de Eleonore
Datos estadísticos de BlackHole
Durante el procesamiento de los archivos, aparecieron diferentes tipos de imágenes usadas en web front end. En términos generales, pueden dividirse en GIFs (formato antiguo) y PNGs (formato nuevo). Los paquetes más usados contienen imágenes más grandes, como es el caso de los exploit kits YES, Crimepack, MySploitsKit y Fragus. La fecha de creación parece no tener relevancia alguna. Uno de los más antiguos, MPack, contiene imágenes muy pequeñas, mientras que ICE-Pack (2007) y Siberia (2009) contienen imágenes grandes.
La calidad de los gráficos y el diseño de cada exploit kit dependen de la pericia de su creador. Por ejemplo, Eleonore, usa una plantilla CSS, disponible gratuitamente en el mercado, mientras que otros crean sus propias plantillas.
Genealogía, robo y copias
A partir de la cantidad de archivos que analizamos, podemos elaborar interesantes estadísticas. Durante el proceso, comparamos los archivos entre sí. Esto es útil dentro de la familia de cada paquete, ya que permite rastrear los cambios realizados en las distintas versiones, y revela la evolución del exploit kit. También comparamos todos los archivos del exploit kit para identificar todos los posibles elementos en común, que en realidad existían, como se muestra en el siguiente mapa:
Es fácil rastrear qué paquetes usas códigos de otros paquetes, o qué paquetes influyeron en otros. Esto es particularmente evidente en el exploit kit Phoenix, que usa mucho material de los mucho más antiguos paquetes Fire-Pack e ICE-Pack. FirePackLite y BleedingLife también tiene muchas similitudes en común. Sólo SEO Sploit Pack y EIFiesta muestran conexiones exclusivas entre sí. El resto de las muestras tiene conexiones con una variedad de otros paquetes. Podemos verlo en el siguiente mapa, al que se le han añadido archivos similares:
Conclusión
En última instancia, todo es cuestión de dinero, como lo demuestran estas fotos de los creadores de BlackHole. Si un exploit kit se vuelve muy popular, su creador gana más dinero por sus mayores volúmenes de venta.
Hay un elemento que todo exploit kit tiene que ofrecer para volverse popular en este mercado tan altamente competitivo: un alto índice de infecciones. Los recién llegados al club de creadores de exploit packs suelen usar métodos conocidos y comprobados, lo que puede ser una explicación de la cantidad de similitudes entre paquetes.
Sin embargo, con la cantidad de publicidad dedicada al tema de los exploit kits, los creadores tienen que considerar otros aspectos, como la seguridad, puesto que ya se han identificado vulnerabilidades en los exploit kits.
En Kaspersky Lab nos mantendremos vigilantes de la situación para ofrecer una más completa protección contra este tipo de amenazas.
Exploit Kits – desde otra perspectiva