iEscape schreef:Vandaag een e-mail-bericht ontvangen [op het werk]
Op uw pc is een virus of trojan actief die verbinding maakt met een server in de Oekraïne.
De verbinding met deze server is door ons afgesloten en kan niet meer benaderd worden vanuit het xxxxx netwerk.
Dit om te voorkomen dat er misbruik wordt gemaakt van xxxxx informatie.
Het betref een nieuw zogenaamde "blackhole exploit kit" die door hackers gebruikt wordt om data zoals mail adressen, wachtwoorden te achterhalen of uw pc over te nemen.
Dit is wel komisch opzich, maakt gelijk duidelijk dat de mensen die acteren op de informatie die een security bedrijf aanleverd, jouw (zakelijke) ISP, geen idee heeft wat het allemaal exact betekend. Even er vanuit gaande dat je de informatie correct hebt overgenomen.
Een Blackhole exploit kit, is eigenlijk alleen maar een website die probeert om een stukje malware (Virus/Trojan) te installeren op een systeem van een bezoeker. Deze probeert dit te doen door misbruik te maken van een aantal software kwetsbaarheden zoals fouten in browser plugins, je browser zelf of je besturingssysteem. Plugins zijn de meest voorkomende waaronder Java, Flash en PDF, maar ook media spelers zoals Windows Media Speler en Realplayer/Quicktime zijn bijvoorbeeld het doelwit.
Blackhole is op dit moment de meest voorkomende commerciele (underground) exploit kit die beschikbaar is, het is zowel beschikbaar in de vorm van een software pakket dat je op je eigen server kunt installeren, maar ook in managed vorm. Dat wil zeggen, je kunt een Blackhole instantie huren en je hoeft je geen zorgen te maken over waar deze exact gehost wordt en hoe deze bereikbaar is.
Hoe kom je nu als gewone 'internetter' op zo'n exploit kit? Eigenlijk zijn er een aantal methodes die gebruikt worden, de eerste is een veel voorkomende en dat is het aanpassen van webservers waar de aanvaller toegang toe heeft gekregen door middel van gestolen gegevens in zijn botnet (kom ik later op terug). Deze aangepaste webservers (eigenlijk aangepaste HTML, Javascript, zelfs PHP en ASP) bevatten dan op een bepaald punt een klein stukje code die de bezoeker doorverwijst naar de eerder genoemde exploit kit. Er zijn tools beschikbaar die dit automatisch doen, deze worden bijvoorbeeld 'iframers' genoemd omdat een veel gebruikte techniek het injecteren van een HTML iframe element was. In deze dagen wordt echter veelvuldig gebruik gemaakt van javascript, wiens code in matroska stijl erg geobfusceerd kan worden, zodat een virus scanner moeite heeft met het analyseren van dergelijke code. Er zijn bijvoorbeeld ook javascript crypters speciaal voor dit doel, die commercieel beschikbaar zijn, bijvoorbeeld de website crypt .im (heengaan op eigen risico) welke gemaakt is door de auteur van Blackhole en wordt gebruikt om de code elementen die bijvoorbeeld doorverwijzen naar een exploit kit te maskeren zodat een virusscanner deze niet oppikt. Zoals je op dit site kunt zien, zijn er 2 crypters beschikbaar die op het moment van schrijven allebei niet worden gedetecteerd:
Code: Selecteer alles
03.03.2012 17:32
cryptor1
0/35
03.03.2012 17:17
cryptor2
0/35
Andere methodes die gebruikt worden om bezoekers door te verwijzen zijn spam links, bijvoorbeeld valse Facebook invites, waarbij de link naar een pagina wijst waarop wordt gepoogd om de bezoeker een 'flash update' te laten installeren, maar op de achtergrond wordt de bezoeker ook nog eens doorverwezen naar een exploit kit.
Een andere tak van sport is het gebruiken van advertentie servers, uiteraard kun je advertenties plaatsen die uiteindelijk doorverwijzen naar een exploit kit. Hiervoor kunnen de aanvallers gebruik maken van gestolen creditcard gegevens die met behulp van hun botnet gestolen zijn, of gewoon op een van de vele creditcard uitwissel fora die er zijn. Met deze methode kunnen zeer getarget, bijvoorbeeld alleen Nederlandse, bezoekers gelokt worden. Een andere methode is het misbruiken van software kwetsbaarheden of gestolen accounts in populaire advertentie software, zoals OpenX. Hiermee kan er simpel een link naar een exploit kit worden ingenomen in het stukje HTML code wat een banner op een site moet plaatsen.
Een exploit kit in het algemeen is erg zichtbaar, er zijn er honderden tegelijk actief op het Internet en er worden grote hoeveelheden bezoekers naar aangetrokken. Hierdoor komen ze binnen zeer korte tijd op URL blacklists die in firewall en anti-virus producten worden gebruikt. Op bijvoorbeeld scan4you .net en virtest .com kunnen exploit kit eigenaren testen of hun exploit kit in een URL blacklist staat, hierdoor weten ze wanneer ze bijvoorbeeld van domein of IP moeten wisselen. Hierdoor wordt er dus snel gewisseld tussen domeinen, tientallen per dag, en vaak ook regelmatig van IP. URL blacklists gebruiken namelijk over het algemeen domein namen om een blokkade te doen, omdat je ook te maken hebt met shared hosting. En je wil niet hebben dat een shared hosting provider of load balancing diens compleet geblokkeerd wordt vanwege 1 exploit kit op 1 van hun klant accounts. Er wordt ook veelvuldig gebruik gemaakt van VPS systemen, deze zijn zeer snel op te zetten, met een uurtje heb je vaak al een compleet draaiende server waar je de exploit kit, of een proxy naar je exploit kit op kunt installeren, deze staan gewoon midden tussen allerlei normale servers en het blokkeren van die hosting ISP is dus ook geen optie.
Pas als een exploit kit succesvol een bezoeker geinfecteerd heeft, kan deze bezoeker zich pas echt zorgen gaan maken. Malware infecties hebben veel gevolgen zoals het lekken van allerlei wachtwoorden en andere persoonlijke en belangrijke gegevens. Maar er is dus een groot verschil tussen een bezoek aan een exploit kit, wat voor veel mensen regelmatig een keer het geval is, en ook daadwerkelijk besmet raken met malware, waarvoor je inderdaad outdated software op je systeem moet hebben, of in een trucje trappen zoals het installeren van een valse 'flash update'.
Terugkomend op je vraag, een exploit kit zelf steelt dus geen wachtwoorden, mail addressen of neemt niet direct je PC over. En het blokkeren van de site heeft wellicht een tijdelijke werking, maar is niet echt een bescherming waar je jezelf afhankelijk van wil maken. De Blackhole exploit kit is dus ook niet selectief in grote bedrijfs netwerken, kleine netwerken of gewoon iemand thuis, je moet maar net het ongeluk hebben dat je op een website komt of op een link klikt die je doorstuurd naar een exploit kit. Belangrijk is dus, update je software en maak eventueel gebruik van software die dit proces automatiseerd.