Blackhole 2.0 actualizando (dificultando) el análisis forense

Hasta hace unos días Blackhole (o mejor sus links) eran detectables por algunos antivirus, pero con la actualización que ha recibido parece ser que complica un poco la vida a los analistas en seguridad informática.

La primera versión, que salio por allá en el 2010, contaba con un pack "jugosito" de infecciones. Básicamente se aprovecha de la ingeniería social para hacer su cometido que no es otro que desocupar tu cuenta bancaria.

Nuevas mejoras
Sin embargo, solo hace unos días, uno de sus creadores publicó en un foro ruso que el código había sido re-escrito en su totalidad agregando nuevas funciones que hacen mas difícil su detección y/o evaden las reglas que los antivirus tenían.

Agrega además que limpiaron los exploits que menos éxito tenían, los que no funcionaban 100% o los que hacían que el navegador se colgase, sin embargo mantiene "compatibilidad" con Internet Explorer 6 y con los lectores de documentos PDF. 

Además, entre otras mejoras del código destacan: detección de la versión de java y comprobación de las vulnerabilidades que tiene, puede prohibir el tráfico desde la red TOR, precisión en la identificación de dispositivos móviles y protección en el panel de control por medio de CAPTCHAs, y otras muchas que según su creador prefieren mantener ocultas para no alertar a las casas de antivirus.

Para los usuarios de Chrome –chromiun o srware iron-, los únicos que no ataca gracias a su sandbox, crea un pagina estática que pide ser vista con otro navegador - no se sabe si es vulnerable con la extensión IETAB- recordemos que hasta hace poco Chrome era el invencible rey del o2pwnd.


Modo de trabajo

El modo de trabajo del exploit kit es generar grandes campañas de SPAM[1] o infectar un servidor legítimo[2] para que cuando el usuario haga clic en alguno de sus enlaces se infecte; haciendo gala de vulnerabilidades que el atacante contrata pero son especificas para la operación, dispositivo y hasta sistema operativo y navegador, es decir, actúan por ejemplo cargando el mejor módulo para Windows con un Chrome o un iphone con un Safari.  Es como un metasploit pero Web.

[1] Campaña de spam
En donde te envían correos masivos y esperan que presiones el enlace falso para empezar el ataque o…
[2] Infección web
Cuando se infecta un server con el exploit kit éste guarda un código malicioso apuntando a un servidor falso (que puede o no estar en el index,  lo que dificulta su detección por medio de la revisión del código fuente). Como las páginas suelen tener mucho javascript y el código no es fácil de detectar y hace muy difícil el trabajo de un antivirus. Además las peticiones de los js vienen ofuscadas lo que aun dificulta mas el rastreo.

Qué hacen para evadir los rastreos
  • las url's son automáticas, personalizables -con diccionarios-,  dinámicas y sólo válidas por unos segundos después de ser activadas. De este modo las reglas/firmas para los antivirus se vuelven obsoletas
  • si un antivirus detecta muchas veces un módulo será descartado y reemplazado en su totalidad
Precios

Se sabe que los precios varían desde 50 dólares al día hasta 1500 al año.

Fuentes y referencias

Comentarios