12
Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks Li

Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Embed Size (px)

Citation preview

Page 1: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro Forschungsbericht

Evolution von Exploit KitsVergangene Trends und aktuelle Verbesserungen

Autoren: Joseph C. Chen und Brooks Li

Page 2: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 2

Inhalt

Einleitung 3

Exploit Kit-Angriffsszenario 3

Kontakt 3

Umleitung 4

Exploit und Infektion 4

Evolution der Exploit Kits 4

Frühe Versionen 4

Weiterentwicklung 5

Aktuelle Trends bei Exploit Kits 5

Top Exploit Kits 5

Top Ziele 6

Verwendete Exploits 6

Umgehungstechniken: Entdecken von Antivirus-/Virtualisierungsprodukten 6

Umgehungstechniken: Dateiverschleierung 7

Exploit Kits in 2015 8

Lösungen von Trend Micro 8

Anhang 9

Referenzen 10

Page 3: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 3

Einleitung

Ein Exploit Kit, oder auch Exploit Pack genannt, ist eine Art von Hacking Toolkit, die sich in den letzten Jahren wachsender Beliebtheit bei Cyberkriminellen erfreut, dient sie doch als Mittel, um Schadsoftware über webbasierte Angriffe zu verbreiten. Es wurden mehrere Kits entwickelt und im Untergrundmarkt als kommerzielle Produkte verkauft oder vermietet. Das erste Toolkit dieser Art wurde 2006 im Crimeware-Markt entdeckt. [18]

Ein typisches Exploit Kit bietet normalerweise eine Managementkonsole, eine Reihe von Schwachstellen für verschiedene Anwendungen und mehrere Add-on-Funktionen, die es Cyberkriminellen erleichtern, einen Angriff zu starten. Die steigende Nachfrage nach Exploit Kits in den Untergrundmärkten führte dazu, dass die Entwickler die Effi zienz ihrer Produkte und Verschleierungstechniken verbesserten. Derzeit sind 70 verschiedene Exploit Kits im Umlauf, die mehr als hundert Schwachstellen ausnützen. Dieses Whitepaper zeigt auf, was ein Exploit Kit kann, wie es funktioniert, und wie sich die Kits mit der Zeit verändert haben.

Angriffs-Szenario mit Exploit Kit

Ein Erfolgsfaktor der Exploit Kits besteht in der Tatsache, dass viele ihrer Routinen automatisch ausgeführt werden. Als Illustration dessen haben die Bedrohungsforscher ein typisches Angriffsszenario in seine einzelnen Phasen zerlegt und zeigen auf, wie diese funktionieren.

Kontakt

Mit dem Kontakt beginnt die Infektion. Der Angreifer versucht, potenzielle Opfer dazu zu verführen, einem Link zu folgen, der zum Exploit Kit-Server führt. Der Kontakt wird häufi g über Spam-Mails hergestellt, wobei die Empfänger über Social Engineering-Köder dazu gebracht werden sollen, einen Link anzuklicken. [2]

Des Weiteren werden häufi g auch kompromittierte Websites als Kontaktpfad eingesetzt. Angreifer fügen dort bösartigen Code ein, der dann die Site-Besucher zum Exploit Kit umleitet.

CONTACT INFECTEXPLOITREDIRECT

NormalWebsite

CompromisedWebsite Exploit

Server Kit

MaliciousAdvertisement

Tra�c DirectionSystem

SpammedLink

Ransomware

BankingTrojan

Malware

Bild 1. Vier Phasen einer Exploit Kit-Infektionskette

Page 4: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 4

Malvertisement stellt eine andere Form fortge-schrittener Angriffe dar, wobei hier die Web-Werbung die Besucher zum Exploit Kit-Server weiterleitet. [3, 4] Diese Technik macht jede Website, die die bösartige Werbung anzeigt, zum möglichen Infektionsvektor.

Umleitung

Ein Verkehrsumleitungssystem (Traffic Redirect System) bezeichnet die Fähigkeit, mithilfe deren der Exploit Kit-Anwender seine Opfer auf Basis bestimmter Bedingungen screenen kann. Diese Aufgabe übernehmen Traffic Direct Systems, wie SutraTDS oder KeitaroTDS, die den umgeleiteten Verkehr filtern oder aggregieren, bevor der Zugriff auf den Exploit Kit-Server erfolgt. [5] Die Quelle der Verkehrsumleitung wird nicht immer direkt vom Exploit Kit-Anwender verwaltet, sondern auch vom Verkehrs-Provider, der den Verkehr im Untergrundmarkt verkauft. Der Traffic Subscriber, in diesem Fall der Exploit Kit-Anwender, kann sein Ziel angeben und die Opfer ausfiltern, die bestimmten Anforderungen nicht genügen. Beispielsweise könnte ein Exploit Kit-Anwender ein bestimmtes Land anvisieren, indem er Client IP-Adressen nach Ortung filtert.

Exploit und infizieren

Sobald Nutzer in der Kontakt-Phase dazu gebracht worden sind, einen Link zum Exploit Kit-Server anzuklicken, dann nach bestimmten Kriterien überprüft worden sind, werden sie auf die Landing Page des Exploit Kits weitergeleitet. Diese Seite führt das Profiling der Client-Umgebung durch und entscheidet, welche Sicherheitslücken für den Angriff genutzt werden sollen. Wenn die angreifbaren Anwendungen feststehen, schickt die Seite Anfragen an den Exploit Kit-Server, um Dateien herunterzuladen, die die Anwendungen angreifen. Die in Web Browsern, Java™, Adobe® Flash® Player und Adobe Acrobat® sowie Reader® gefundenen Sicherheitslücken werden von Exploit Kits am häufigsten anvisiert. Ist die Sicherheitslücke erfolgreich missbraucht worden, kann der Angreifer Schadsoftware herunterladen und in

der Umgebung des Opfers ausführen. In Exploit Kit-Angriffen wird verschiedene Schadsoftware heruntergeladen, wobei am häufigsten Online Banking Malware [6] und Ransomware einge-setzt wird. [7]

Evolution von Exploit Kits

Frühe Versionen

Der erste Exploit Kit-Angriff wurde 2006 entdeckt und nutzte das WebAttacker Kit. Es war das erste Exploit Kit, das im russischen Untergrundmarkt gefunden wurde. [1] Das Angebot umfasste auch technischem Support und kostete 20 Dollar. Der Umleitungslink von WebAttacker wurde über Spam und kompromittierte Websites verbreitet. Das Kit hatte mehrere Sicherheitslücken in Microsoft™ Windows®, Mozilla Firefox® und Java-Anwendungen im Visier, um die Schadsoftware zu streuen.

Das zweite Exploit Kit, Mpack, wurde von drei russischen Programmierern Mitte 2006 entwickelt. Die erste komplette Version erschien im Dezember desselben Jahres und kostete 1000 Dollar. Im Vergleich zu WebAttacker bot das Control Panel von Mpack detailliertere Daten zu den Opfern, wie etwa deren Standort. Mehr als 3000 kompromittierte Websites enthielten Umleitungslinks von Mpack. Auch 2007 wurden mehrere Exploit Kits in den Untergrundmärkten veröffentlicht. [8]

Dies waren NeoSploit, [9] Phoenix, Tornado und Armitage Exploit Kits, doch wurde Mpack als die größte Bedrohung in jenem Jahr gesehen. [7] EL Fiesta, AdPack und FirePack Exploit Kits erschienen 2008 und das berüchtigte Blackhole Exploit Kit 2010 [2]. Der Erfolg dieser frühen Exploit Kits führte zur weiteren Erstellung von Kits.

Bild 2 zeigt die Zahl der aktiven Exploit Kits und die seit 2006 in jedem Jahr neu entdeckten. Von 2006 an zeigte die Richtung immer nach oben bis 2013, wobei allein in 2012 20 neue Kits entdeckt wurden. 2013 gingen die Zahlen etwas zurück und 2014 zeigte die Richtung steil nach unten. Auch die Zahl der aktiven Kits ging 2014 zurück.

Die Verhaftung von Paunch, Autor des Blackhole Exploit Kit, im Oktober 2013 könnte

Page 5: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 5

ein eindeutiges Signal an den Untergrundmarkt gewesen sein, glaubt man den Zahlen. Blackhole war 2012 und 2013 das am meisten genutzte Exploit Kit und bedeutete eine ernsthafte Bedrohung für die Nutzer.

Evolution

Trotz des Rückgangs der Aktivitäten hat sich die Bedrohung, die von Exploit Kits ausgeht, nicht geändert. Mehrere Kits wurden 2014 noch genutzt, so etwa EL Fiesta, Nuclear, SweetOrange, [4] Styx, [10] FlashPack, [11] Neutrino, Magnitude, [12] Angler und Rig. EL Fiesta ist die 2013 entdeckte neuere Version von NeoSploit. Nuclear wurde 2010 entdeckt, doch 2013 gab es ein Upgrade auf die Version 3 mit neuen Exploits. SweetOrange, Styx und FlashPack wurden 2012 zuerst in Angriffen verwendet. Neutrino, Magnitude und Angler wurden 2013 entdeckt; Rig wiederum im April 2014.

Aktuelle Trends bei Exploit Kits

Top Exploit Kits

Das Blackhole Exploit Kit rückte mehr in den Hinter-grund, als sein Autor Pauch verhaftet wurde. Statt-dessen entstanden mehrere Exploit Kits, die seinen Platz im Scheinwerferlicht einnahmen. Bild 3 zeigt die Verteilung der Exploit Kit-Angriffe in 2014. SweetOrange, ein Kit, das in Malvertisement-Angrif-fen zur Verteilung von Ransomware vewendet wurde [9], beherrschte 35% des Untergrundmarkts. Das Angler Exploit Kit nahm den zweiten Platz ein und rangiert heute noch unter den aktivsten Kits.

The Timeline Record of Exploit Kits

30

15

0

2006 2007 2008 2009 2010 2011 2012 2013 2014

Number of New Released Exploit KitNumber of Active Exploit Kit

2

5 5

3 3

11

20

14

62

6

1313

7

16

2628

11

Bild 2. Die Entwicklung der Exploit Kits über die Jahre hinweg

Bild 3. Verteilung der Exploit Kit-Angriffe

Page 6: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 6

Top Ziele

Bezüglich der Auswirkungen ist die USA am stärksten betroffen, weil das Land Ziel von fast 60% der Angriffe über Exploit Kits war (siehe Bild 4)

Verwendete Exploits

Die Effizienz von Exploit Kits hängt vom einge- setzten Exploit ab. Ein Exploit für eine neue Schwachstelle kann zu mehreren Schadsoftware-infektionen führen, weil die Lücke voraussichtlich von den Anwendern erst später gepatcht wird. Das aber bedeutet, dass die Besitzer von Exploit Kits ihre Exploits ständig aktualisieren müssen, damit die Infektionsrate hoch bleibt. Infektionsraten sind wichtig für die Entwickler von Exploit Kits, weil sie als Schlüsselfähigkeit gelten. Entwickler nutzen sie, um die Zuverlässigkeit ihres Produkts zu demonstrieren und damit mehr Geschäft zu machen.

Es wurden seit 2006 mehr als hundert Sicher-heitslücken in Exploit Kits integriert, und diese umfassen mehr als zehn verschiedene Anwendungen.

Adobe Reader- und Java-Exploits waren 2008 beliebte Ziele. Java-Exploits waren 2013 die am meisten genutzten. Doch seit 2014 wurden PDF Reader- und Java-Sicherheitslücken in Exploit Kits nicht mehr aktualisiert. Stattdessen nutzten seit Ende 2013 und im Jahr 2014 fünf Exploit Kits Microsoft Silverlight [11, 12], und machten den Browser zum Top-Ziel von Exploit Kits. Auch Internet Explorer® Exploits gelten als ein Hauptangriffsvektoren. Die Dinge änderten sich, nachdem Microsoft

ein Major Security Bulletin veröffentlicht hatte, das eine erhebliche Verbesserung bezüglich der Schließung der UAF (User After Free)-Sicherheitslücke beinhaltete. [13] Daraufhin gab es nur noch einen Internet Explorer Exploit in Exploit Kits, CVE-2014-6332, und auch hier kam sofort ein Patch von Microsoft. Diese Änderung scheint die Angreifer hin zu Adobe Flash Player getrieben zu haben, der bald das Hauptziel darstellte. Die folgenden Exploits wurden daraufhin in Exploit Kits entdeckt: CVE-2014- 0497, CVE-2014-0515, CVE-2014-0569, CVE-2014-8439, CVE-2015-0311 und CVE- 2015-0313

Umgehungstechniken: Erkennen von Antivirus-/Virtualisierungs-Produkten

Exploit Kits erhielten eine neue Funktionalität zum Erkennen installierter Sicherheitssoftware. Das bedeutet, dass das Exploit Kit die eigene Ausführung stoppt, wenn bestimmte Sicherheitsprodukte auf dem System installiert sind. Es geht hier sowohl um Antiviruslösungen als auch um Schutzsoftware für virtuelle Maschinen.

Die Erkennung wird über eine Sicherheitslücke in Internet Explorer (CVE-2013-7331) möglich. Darüber können Angreifer nach Dateien und Ordner auf einem betroffenen System suchen. Die Sicherheitslücke wurde bereits im Februar 2014 an Microsoft gemeldet, doch erst im September gab es einen Patch dafür (als Teil von MS14-052). Folgender Code stellt ein Beispiel für die Suche nach Antivirusprodukten dar:

Bild 4. Die zehn am meisten angegriffenen Länder in 2014

Exploit Kit Angler Nuclear Rig Styx

Evasion Target (Anti-Virus or Virtualization Software)

Kaspersky Kaspersky Kaspersky Kaspersky

Trend Micro Trend Micro Trend Micro Trend MicroVMWareVirtualBoxParallels Desktop

Tabelle 2. Anti-Virus Products Detected in Exploit Kits

Page 7: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 7

Nuclear Sweet Orange FlashPack Rig Angler Magnitude EL Fiesta Styx Hanjuan

Internet Explorer

CVE-2013-2551

CVE-2013-2551

CVE-2014-0322

CVE-2014-6332

CVE-2013-2551

CVE-2013-3918

CVE-2014-0322

CVE-2013-2551

CVE-2013-2551

CVE-2013-2551

CVE-2013-2551

CVE-2013-2551

Microsoft Silverlight

CVE-2013-0074

CVE-2013-0074

CVE-2013-0074

CVE-2013-0074

CVE-2013-0074

Adobe Flash Player

CVE-2014-0515

CVE-2014-0569

CVE-2014-8439

CVE-2015-0311

CVE-2014-0515

CVE-2014-0569

CVE-2013-0634

CVE-2014-0497

CVE-2014-0515

CVE-2014-0569

CVE-2014-0569

CVE-2015-0311

CVE-2014-0515

CVE-2014-0569

CVE-2015-0311

CVE-2014-0515

CVE-2014-0497

CVE-2014-0569

CVE-2015-0311

CVE-2014-0515

CVE-2015-0313

Adobe Acrobat/Reader

CVE-2010-0188

CVE-2010-0188

Oracle Java CVE-2012-0507

CVE-2013-2460

CVE-2013-2471

CVE-2013-2465

CVE-2012-0507

CVE-2014-2465

XMLDOM ActiveX

CVE-2013-7331

CVE-2013-7331

CVE-2013-7331

CVE-2013-7331

Tabelle 1. Sicherheitslücken, die 2014 in Exploit Kit-Angriffen verwendet wurden

Umgehungstechnken: Dateiverschleierung

Verschleierung ist eine in verschiedenen Angriffen häufig angewendete Technik, die verhindern soll, dass eine bösartige Payload entdeckt wird. Das Aussehen der Payload wird verändert und bei der Ausführung wiederhergestellt. Exploit Kits

Bild 5. Beispielcode von CVE-2013-7331 bei der Suche nach Antivirus-Software

nutzen immer wieder verschiedene Techniken, um ihre Exploit-Datei zu verschleiern. 2014 kamen neue Techniken hinzu. So entdeckten die Bedrohungsforscher, dass Angreifer legitime Tools für die Verschleierung ihrer Dateien einsetzten.

Das Angler Exploit Kit etwa nutzt jetzt das Pack200-Format, um Java-Exploits zu verschleiern. Pack200 ist das von Sun entwickelte Archivformat für die Komprimierung von JAR-Dateien. Das Tool zur Dekomprimierung dieser verschleierten Dateien gibt es im Original-Java Development Kit. Doch nicht alle Sicherheitsprodukte können diese Formate vollständig unterstützen, sodass die Entdeckung manchmal vermieden werden kann.

Ein weiteres Beispiel ist die Technik, die FlashPack- und Magnitude-Exploit Kits für Flash Player Exploits nutzen. Sie verstecken ihre Dateien mithilfe eines öffentlich erhältlichen Tools namens DoSWF. Mit dem Werkzeug können

Page 8: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 8

Entwickler die Inhalte des ActionScripts ihrer Flash-Dateien vor dem Kopieren schützen. Leider schützt dies auch vor der Entdeckung durch Sicherheitssoftware. Neben der Verschleierung von Landing Pages und Exploit-Dateien können die meisten Exploit Kits nun auch ihre Payload bzw. Schadsoftware verschleiern. Das heißt, die Payload kann verschlüsselt in einem Stream über das Internet übermittelt werden. So lässt sich die Payload bzw. Schadsoftware eines Exploit Kits unbemerkt auf die Maschine eines Opfers bringen, denn sie sieht im Netzwerkverkehr nicht wie eine ausführbare Datei aus. Daher ist die ausführbare Datei weder am „MZ Magic Code“ am Dateianfang (.EXE Datei) noch generell als Portable Executable (PE Datei) erkennbar.Das Exploit Kit entschlüsselt mit Shellcode die Payload im Hauptspeicher erst nachdem sie auf die Maschine des Opfers heruntergeladen wurde.

Bild 6 zeigt sowohl das Erscheinungsbild der Payload im Netzwerkverkehr als auch nach der Entschlüsselung. Das Verschlüsseln kann die Entdeckung durch die meisten signaturbasierten IDS/IPS-Systeme verhindern. Nach dem Entschlüsseln legen einige Exploit Kits die Payload auf Festplatte ab. Doch Angler und Hanjuan Exploit Kits schreiben ihre Payload nicht auf Festplatte sondern lassen sie direkt im Hauptspeicher ablaufen, um den Antivirus Scan auf einem Dateisystem zu umgehen. Diese Technik nennt man dateilose Infektion. Die Tabelle zeigt, welche Exploit Kits Payload-Verschlüsselung nutzen und welche dateilose Infektion.

Payload (PE) Encryption

Fileless Infection

FlashPack ✘ ✘

Rig ✔ ✘

Magnitude ✔ ✘

Nuclear ✔ ✘

EL Fiesta ✔ ✘

Angler ✔ ✔

SweetOrange ✘ ✘

GongDa ✘ ✘

Styx ✘ ✘

Hanjua ✔ ✔

Tabelle 3. Payload Evasion Summary

Exploit Kits 2015

Exploit Kits stellen mittlerweile die in Untergrundmärkten die am meisten verbreitete Art des Webangriffswerkzeugs dar. In diesem Jahr sind noch mehr diesbezügliche Aktivitäten zu erwarten. Bereits in den ersten beiden Monaten 2015 gab es zwei Adobe Flash Player Zero-Day-Sicherheitslücken (CVE- 2015-0311 [14] und CVE-2015-0313 [15]), die von Exploit Kits anvisiert wurden. Exploit Kits umfassen häufig Zero-Day Exploits, und die Bedrohungsforscher sehen darin einen Trend für 2015. Infolge der Zero-Day Exploits werden Exploit Kits zu einer viel ernsteren Bedrohung, denn die Payload-Lieferung wird damit automatisiert und kann noch mehr Anwender in kürzerer Zeit treffen.

Trend Micro-Lösungen

Exploit Kits stellen eine Mehrkomponenten-Bedro- hung dar, deren Abwehr auch einer Lösung aus mehreren Komponenten bedarf. Anwender benö-tigen eine Sicherheitsstrategie, die den Schutz vor allen Bedrohungskomponenten einschließt.

Verhaltensbasierte Lösungen folgen Routinen, die in Exploits gefunden wurden und blockieren sie proaktiv. Damit können diese Lösungen als Hauptabwehr gegen Exploit Kits dienen, vor allem solcher, die Zero-Day Exploits einschließen. Ein Bespiel für diese Vorgehensweise ist die Sandbox mit Script Analyzer Engine als Teil von Trend Micro Deep Discovery.

Webbasierte Entdeckung über eine webbasierte Lösung wie die Browser Exploit Prevention-Funktionalität in Endpoint-Produkten wie Trend Micro™ Security, Trend Micro™ OfficeScan™ und Trend Micro™ Worry-Free™ Business Security. Die Funktionalität blockiert den Exploit, sobald der Nutzer auf die URL zugreift, die den Exploit hostet. Ein Web Reputation Service kann eine weitere Sicherheitsschicht hinzufügen, um zu gewährleisten, dass die Weiterleitungskette blockiert wird, noch bevor die bösartige Payload auf das System heruntergeladen wird.

Dabeibasierte Entdeckung stellt sicher, dass jede Payload, die auf das System heruntergeladen wurde, ihre Routinen nicht ausführen kann.

Page 9: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 9

Bild 6. Ver- und Entschlüsselung der Payload

Anhang

Jahr Alte Exploit Kits Neue Exploit Kits

2006 MPack WebAttacker Kit

2007 MPack Armitage Exploit PackIcePack Exploit KitNeoSploit Exploit Kit 1.0

Phoenix Exploit KitTornado Exploit Kit

2008 IcePack Exploit KitNeoSploit Exploit Kit 2.0/3.0Phoenix Exploit KitTornado Exploit Kit

AdPackEL Fiesta Exploit KitFirePack Exploit Kit

2009 Phoenix Exploit Kit 2.0Tornado Exploit Kit

CrimePack 1.0Eleonore Exploit KitFragus Exploit KitJust Exploit KitLiberty Exploit KitLucky Sploit

MyPoly SploitNeon Exploit SystemSPackSiberia Exploit PackUnique Sploits Exploit PackYes Exploit Kit 1.0/2.0

Page 10: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 10

Referenzen

1. Trend Micro Incorporated (September 20, 2006). TrendLabs Security Intelligence Blog. “IE Zero Day + Web Attacker Kit2 http://blog.trendmicro.com/trendlabs-security-intelligence/ie-zero-day-2b-web-attacker-kit/

2. Jon Oliver, Sandra Cheng; Lala Manly, Joey Zhu, Roland Dela Paz, Sabrina Sioting, and Jonathan Leopando. (2012). Trend Micro. “VBlackhole Exploit Kit: A Spam Campaign, Not a Series of Individual Spam Runs”

Anhang

Jahr Alte Exploit Kits Neue Exploit Kits

2010 CrimePack 2.0/3.0Eleonore Exploit KitPhoenix Exploit Kit 2.0Siberia PackYes Exploit Kit 3.0

Blackhole Exploit Kit 1.0Bleeding Life Exploit Kit 1.0/2.0Dragon Pack

Nuclear Exploit Kit 1.0Papka Exploit PackSEO Sploit Pack

2011 Blackhole Exploit Kit 1.1/1.2Bleeding Life Exploit Kit 3.0Eleonore Exploit KitNeoSploit Exploit Kit 4.0Nuclear Exploit Kit 1.0Phoenix Exploit Kit 2.0SEO Sploit PackSiberia Pack

Best PackG01Pack Exploit KitKatrin Exploit PackOpenSource Exploit KitSava Exploit Kit

2012 Blackhole Exploit Kit 2.0G01Pack Exploit KitHierarachy/Eleonore Exploit KitNeoSploit Exploit Kit 4.0Nuclear Exploit Kit 2.0Phoenix Exploit Kit 3.0

Alpha PackCK Exploit KitCool Exploit KitCrimeBoss Exploit KitCritXPackGrandSoft Exploit KitImpact Exploit KitKaiXin Exploit PackKein Exploit PackNucSoft Exploit Pack

ProPackRedKit Exploit KitSakura Exploit KitSerenity Exploit PackSibhost/Glazunov Exploit KitStyx Exploit Kit 2.0SweetOrange Exploit KitTechno XPackYang PackZhiZhu Exploit Kit

2013 Blackhole Exploit Kit 2.0CK Exploit KitCrimeBoss Exploit KitFiesta/NeoSploit Exploit KitFlackPack Exploit KitG01Pack Exploit KitGrandSoftNuclear Exploit Kit 3.0Phoenix Exploit Kit 3.0RedKit/Goon Exploit KitSakura Exploit KitSibhost/Glazunov Exploit KitStyx Exploit KitSweetOrange Exploit Kit

Angler Exploit KitAnonymous Exploit KitDotkaChef Exploit KitGongDa Exploit KitHello/LightsOut Exploit KitHiMan Exploit KitMagnitude/PopAds Exploit KitNeutrino Exploit KitPrivate Exploit PackRed Dot Exploit KitSafe PackWhite Lotus Exploit KitWhiteHole Exploit KitZuponcic Exploit Kit

2014 Angler Exploit KitDotkaChef Exploit KitFiesta/NeoSploit Exploit KitFlackPack Exploit KitGongDa Exploit KitHello/LightsOut Exploit KitRedKit/Infinity Exploit KitMagnitude Exploit KitNeutrino Exploit KitNuclear Exploit Kit 3.0Styx Exploit KitSweetOrange Exploit KitZuponcic Exploit Kit

CottonCastle/Niteris Exploit KitRig Exploit Kit

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_blackhole-exploit-kit.pdf

3. Brooks Li (October 4, 2011). TrendLabs Security Intelligence Blog. “Facebook Malvertisement Leads to Exploits”, http://blog.trendmicro.com/trendlabs-security-intelligence/facebook-malvertisement-leads-to-exploits/

4. Joseph C. Chen (October 14, 2014). TrendLabs Security Intelligence Blog. “YouTube Ads Lead to Exploit Kits, Hit US Victims.” Last accessed February 24, 2015,

Page 11: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Trend Micro | Evolution von Exploit Kits

Trend Micro Forschungsbericht | 11

http:// blog.trendmicro.com/trendlabs-security- intelligence/youtube-ads-lead-to-exploit-kits- hit-us-victims/

5. Maxim Goncharov. (October 2011). Trend Micro. “Traffic Direction Systems as Malware Distribution Tools.” Last accessed February 24, 2015, http://www.trendmicro.com/cloud- content/us/pdfs/security-intelligence/reports/ rpt_malware-distribution-tools.pdf

6. Joseph C. Chen (August 21, 2014) TrendLabs Security Intelligence Blog “Website Add-on Targets Japanese Users, Leads to Exploit Kit” http://blog.trendmicro.com/trendlabs-security-intelligence/website-add-on-targets-japanese-users-leads-to-exploit-kit/

7. Jay Yaneza (November 17, 2014). TrendLabs Security Intelligence Blog “Flashpack Exploit Kit Used in Free Ads, Leads to Malware Delivery Mechanism”, http://blog.trendmicro.com/trendlabs-security-intelligence/flashpack-exploit-kit-used-in-free-ads-leads-to-malware-delivery-mechanism/

8. JCarolyn Guevarra (June 18, 2007). TrendLabs Security Intelligence Blog “Another Malware Pulls an Italian Job” http://blog.trendmicro.com/trendlabs-security-intelligence/another-malware-pulls-an-italian-job/

9. Jovi Umawing. (April 2, 2008) TrendLabs Security Intelligence Blog. “Old, Known Bugs Exploited by Neosploit” http://blog.trendmicro.com/trendlabs-security-intelligence/old-known-bugs-exploited-by-neosploit/

10. Michael Du (November 24, 2014). TrendLabs Security Intelligence Blog “Obfuscated Flash Files Make Their Mark in Exploit Kits”, http://blog.trendmicro.com/trendlabs-security-intelligence/malicious-flash-files-gain-the-upper-hand-with-new-obfuscation-techniques/

11. Yuki Chen (Nov. 25, 2013). TrendLabs Security Intelligence Blog “A Look at a Silverlight Exploit” http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-a-silverlight-exploit/

12. Brooks Li (September 23, 2014) TrendLabs Security Intelligence Blog “Nuclear Exploit Kit Evolves, Includes Silverlight Exploit” http://blog.trendmicro.com/trendlabs-security-intelligence/nuclear-exploit-kit-evolves-includes-silverlight-exploit/

13. Jack Tang (July 1, 2014) TrendLabs Security Intelligence Blog “Isolated Heap for Internet Explorer Helps Mitigate UAF Exploits” http://blog.trendmicro.com/trendlabs-security- intelligence/isolated-heap-for-internet- explorer-helps-mitigate-uaf-exploits/

14. Weimin Wu. (January 22, 2015) Blog.trendmicro.de “Flash geht mit einem Zero-Day ins neue Jahr” http://blog.trendmicro.de/flash-geht-mit-einem-zero-day-ins-neue-jahr/

15. Peter Pi (February 2, 2015) Blog.trendmicro.de “Schon wieder ein Zero-Day Exploit in Adobe” http://blog.trendmicro.de/schon-wieder-ein-zero-day-exploit-in-adobe/

16. Yuki Chen. (November 25, 2013). TrendLabs Security Intelligence Blog. “A Look at a Silverlight Exploit.” Last accessed February 24, 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-a-silverlight-exploit/

17. Brooks Li. (September 23, 2014). TrendLabs Security Intelligence Blog. “Nuclear Exploit Kit Evolves, Includes Silverlight Exploit.” Last accessed February 24, 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/nuclear-exploit-kit-evolves-includes-silverlight-exploit/

18. Jack Tang. (July 1, 2014). TrendLabs Security Intelligence Blog. “Isolated Heap for Internet Explorer Helps Mitigate UAF Exploits.” Last accessed February 24, 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/isolated-heap-for-internet-explorer-helps-mitigate-uaf-exploits/

19. Weimin Wu. (January 22, 2015). TrendLabs Security Intelligence Blog. “BFlash Greets 2015 with New Zero-day.” Last accessed February 24, 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/flash-greets-2015-with-new-zero-day/

20. Peter Pi. (February 2, 2015). TrendLabs Security Intelligence Blog. “Trend Micro Discovers New Adobe Flash Zero-day Exploit Used in Malvertisements.” Last accessed February 24, 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/

Page 12: Evolution von Exploit Kits - Trend Micro DE · Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks

Über TREND MICRO

Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.

http://www.trendmicro.de/http://blog.trendmicro.de/http://www.twitter.com/TrendMicroDE

©2015 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.

HAFTUNGSAUSSCHLUSS

Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen fi nden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern.

Übersetzungen in andere Sprachen sind ausschließlich als Unter stützung gedacht. Die Genauigkeit der Übersetzung wird weder garan tiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offi ziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung.

Trend Micro bemüht sich in diesem Dokument im angemessenen Um fang um die Bereitstellung genauer und aktueller Informationen, über nimmt jedoch hinsichtlich Genauigkeit, Aktualität und Voll ständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch still schweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Un möglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar.

TREND MICRO Deutschland GmbH Zeppelinstrasse 185399 HallbergmoosGermanyTel. +49 (0) 811 88990–700Fax +49 (0) 811 88990–799

TREND MICRO Schweiz GmbHSchaffhauserstrasse 1048152 GlattbruggSwitzerlandTel. +41 (0) 44 82860–80Fax +41 (0) 44 82860–81

TREND MICRO (SUISSE) SÀRLWorld Trade CenterAvenue Gratta-Paille 21018 LausanneSwitzerland

www.trendmicro.com