MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

18.8.11

Black Hole Exploit Kit 1.1.0 Inside

Desde su aparición durante septiembre del 2010, Black Hole Exploits Kit tuvo una penetración muy positiva en el ambiente delictivo. Su ciclo de vida aún no terminó por lo que su desarrollo sigue una natural evolución y hasta el momento son tres las generaciones que existen "in the wild".

Black Hole Exploit Kit fue desarrollado por quien se hace conocer bajo el nick Paunch. La pantalla principal permite la visualización de cada componente de interés para el atacante. Estas estadísticas son clásicas y más o menos todos los exploits pack siguen el mismo patrón, porque estos datos permiten obtener un mapa concreto sobre el estado de la campaña de infección.

Se visualizan la tasa de éxito general en función de la cantidad y tipo de sistemas operativos comprometidos, navegadores mediante los cuales se ejecutó la explotación mediante scripts, los exploits más efectivos, la geolocalización de los equipos afectados y los botmasters secundarios que emplean el recurso delictivo.

Panel principal de Black Hole Exploits Kit mediante el cual el atacante visualiza toda la información procesada relacionada a los equipos infectados.

Su comercialización comenzó a través de foros específicos y así continúa hasta el momento, bajo un modelo de licenciamiento con tres alternativas. Algunos datos de interés respecto a su comercialización son:

La primera variante se liberó, en estado beta (infinito) en septiembre del 2010 a un costo muy competitivo; en ese momento: $1500 por licencia anual; $1000 por licencia semestral y $700 por trimestre. Aunque su diseño es igual en todas las generaciones, la última versión (1.1.0) incorpora una serie de funcionalidades "extras" respecto a las anteriores.


Exploits Full-On Demand
Black Hole Exploits Kit centra su estrategia de explotación basada principalmente en Java y PDF, pero siempre (al igual que TODOS los Exploit Pack) sin dejar de lado el clásico MDAC. La siguiente lista representa los exploit que por defecto posee la primera de sus versiones (1.0.0):
Las siguientes versiones, hasta la 1.0.3, no agregaron exploits sino que fueron optimizados, por ejemplo combinando los exploits para PDF en un solo payload. Esta última versión siguió con la optimización de los exploits, agregando dos más para Java y quitando IEPeers.


Esquema de seguridad y evasión antivirus
Durante los dos últimos años el crimeware fue incorporando diferentes mecanismos de auto-defensa y evasión anti-virus que le proporcionan a los delincuentes nuevas capas de seguridad para evitar su rastreo temprano e incrementar su ciclo de vida.

Black Hole Exploit Kit no se limita en este sentido e incorpora básicamente dos maniobras auto-defensivas. Por un lado, desde la primera versión incorpora una blacklist que permite configurar un bloque de direcciones IP y URLs a bloquear, además de importar o exportar la lista.

Por otro lado, este crimeware también incorpora la automatización para el chequeo de la integridad del malware propagado. En la primera versión solo a través de VirTest, incorporando Scan4you en las posteriores generaciones. Los parámetros configurables para estas opciones requieren los datos de autenticación para ambos servicios asociados al ámbito delictivo.

El cifrado no escapa de la oferta de servicios, y el mismo es ofrecido precisamente para evitar o entorpecer el análisis de los códigos maliciosos propagados, cuyo valor no se ha incrementado. Cuesta $ 50.

Estrategia de auto-defensa incorporada en Black Hole Exploits Kit. La blacklist se encuentra en la solapa "Seguridad", mientras que en "Preferencias" se configuran los datos de autenticación para cualquiera de los servicios Antivirus ("Antivirus Check").

 Antivirus Check de la primera versión de BlackHole. En ese entonces, la opción se llamaba simplemente "VirTest", cambiando luego por "Antivirus Check" al incluir Scan4you.

Para proteger el código fuente, como muchos otros, utiliza un ofuscador de PHP, por defecto, Black Hole  Exploit Kit emplea IonCube pero hemos visto otras variantes ofuscadas con PHP-Cryptor.


Ciberdelincuentes afiliados
Los afiliados no son más que otros botmasters, o "perfiles de usuarios", que hacen uso del panel de control. Esto le permite al botmaster principal gestionar una veta de negocio alternativa que se gestiona a través del alquiler de recursos.

Afiliados presentes en el Black Hole "explotado". El usuario por defecto puede ser empleado por el botmaster principal para pruebas. En esta sección se visualizan datos de interés limitados a ese perfil como los exploits configurados, los sistemas operativos atacados y el tráfico.


Monetización y esquema de negocio
La monetización está basada principalmente por el alquiler de servicios y la venta de paquetes individuales. Todo completamente gestionado por tres ciberdelincuentes que mantienen la estructura del negocio delictivo.

La estructura del negocio esta creado y administrado por tres individuos. Cada uno de ellos cumple un rol fundamental dentro del esquema delictivo detrás de Black Hole Exploit Kit.

La venta de los paneles como parte del servicio (Crimeware-as-a-Service) se lleva a cabo a través de la infraestructura propia de estos tres personajes. Es decir, generalmente los delincuentes suelen alojar una copia cifrada de los paquetes en servidores vulnerados; en este caso, el servicio se realiza desde servidores propios vendiendo combos que consisten en dominios, alojamiento y exploit pack.

Cada servidor del grupo delictivo posee implementado, generalmente, más de 400 dominios listos para negociar, donde a cada dominio le corresponde una copia de Black Hole Exploit Kit. Los costos de este servicio es de:
  • $ 200 x 1 semana
  • $ 300 x 2 semanas
  • $ 400 x 3 semanas
  • $ 500 mensuales
  • $ 50 x 24 horas de prueba 

Optimización para PDA
Esta funcionalidad consiste en la optimización para ser visualizado a través de PDA, y hasta donde sabemos es el primero en implementarlo. Pero la funcionalidad no se limita solo a los conocidos PDA sino que también a los teléfonos inteligentes de la actualidad. Con lo cual el botmaster puede gestionar la inteligencia de sus botnets a través de cualquier teléfono celular de alta gama.

 Modo de visualización de Black Hole Exploit Kit bajo la modalidad optimizada para PDA

Cuando descubrimos la existencia de este crimeware como alternativa delictiva, pronosticamos que los profesionales de seguridad debíamos tener especial atención a este Exploit Pack, debido, fundamentalmente a sus características. Especialmente el flujo de tráfico que los delincuentes aseguran al tener sus propios bulletproof. No nos equivocamos!

Alejandro Cantis
Senior Crimeware Research
MalwareIntelligence 

Información relacionada

Ver más