Show me your Kung-Fu. Reversing/Forensic Android

La pasada semana se celebró la NoConName en Barcelona, y tuve el placer de asistir para dar una conferencia sobre seguridad en Android. En ella hablé sobre cómo realizar un análisis dinámico, estático y forense, saltarse las protecciones de las aplicaciones y liberamos junto a nuestro compañero de MalwareIntelligence, Ehooo, un pequeño PoC que deja en evidencia una vulnerabilidad de Tap-Jacking.

Para aquellos que no pudieron asistir podéis encontrar bajo estas líneas un pequeño resumen de lo que fue mi conferencia, así mismo podéis acceder a toda la información que fue utilizada desde los siguientes enlaces:

 ^·        Slides: http://www.slideshare.net/0xroot/malware-intelligence-pptslides

^·          Source Code: http://code.google.com/p/tap-android/

^·          Video: http://www.youtube.com/watch?v=VN_IR2vUMAw

Montando el laboratorio

A la hora de analizar cualquier aplicación de la plataforma Android, debemos de distinguir claramente entre el análisis estático y dinámico. Siendo el primero el estudio a nivel de código de la aplicación para comprender el funcionamiento de la misma y estudiar las funcionalidades que posee, y el segundo basándose en el comportamiento que tiene la aplicación una vez ejecutada con el objetivo de estudiar las conexiones que establece con la red.

Para cada uno de ellos será necesario utilizar un conjunto de herramientas diferentes que variarán según nuestro propósito.

Análisis estático

·         Dex2jar – Permite convertir ficheros de clase *.dex a ficheros *.jar que podrán ser posteriormente abierto y editaros por los IDE específicos para la labor.

·         Jd-GUI – Cargar ficheros *.jar y permite visualizar el código de las clases java que lo componen.

·         JAD – Transforma los ficheros *.class a ficheros *.jad con la intención de ser posteriormente cargados en el Understand para su análisis.

·         Dexdump – Herramienta incluida en el SDK de Android que permite desensamblar todo el código del fichero *.dex a Dalvik Bytecode.

·         Understand – Excelente utilidad para analizar, diseminar, y estudiar el funcionamiento y el flujo de llamadas realizados entre los distintos métodos que han sido declaradas en el código fuente de la aplicación.

·         Axml2print – Para obtener información clara del AndroidManifest.xml.

Otras herramientas que quizás puedas encontrar de utilidad sean:

Androguard - http://code.google.com/p/androguard/

Droidguard - http://code.google.com/p/droidguard/

Apk-tool - http://code.google.com/p/android-apktool/

Análisis dinámico

1.       Crear una máquina virtual hacienda uso del SDK.

2.       Lanzar el emulador sobre un puerto determinado y almacenar las conexiones

a.      Emulator –port n @device-name –tcpdump foo.pcap

3.       Instalar la aplicación a analizar

a.      adb install foo.apk

4.       Lanzar eventos sobre el dispositivo y la aplicación (1)

a.      adb shell monkey –v –p package.app n

5.       Analizar los logs creados

a.      adb shell logcat –d

6.       Apoyarnos en Wireshark para analizar las conexiones que se realizan.

(1)  El hecho de lanzar eventos sobre el dispositivo es debido a que en determinadas ocasiones algunas aplicaciones o malware necesitan que se produzcan ciertas circunstancias especiales para poder entrar en funcionamiento. Véase el recibo/envío de un SMS, la entrada de una llamada procedente de un determinado número de teléfono, etc.

Todas estas actividades pueden ser simuladas mediante los siguientes comandos:

·         Llamadas de teléfono

o   Gsm call p-n

o   Gsm accept p-n

o   Gsm cancel p-n

·         SMS

o   Sms send p-n text

·         Cambiar coordenadas GPS

o   Geo fix -13… 21…

Modus Operandi

Si tu objetivo es comenzar analizar aplicaciones sin necesidad de introducirte en los entresijos de la plataforma Android, un modus operandi que puede servirte es el siguiente:

·         AXML2Print – Extraemos los permisos que requiere la aplicación del AndroidManifest.xml

·         Dex2Jar / JAD – Para realizar las transformaciones de código necesarias.

·         JDGUI – Para analizar el fichero de clases *.jar

·         Understand – Para hacer un análisis estático del código y obtener los diagramas de flujo de las funciones que componen la aplicación.

·         Wireshark – Para realizar el análisis dinámico de la aplicación y observar las conexiones que realiza.

Análisis Forense

Para poder realizar una correlación del sistema de ficheros es necesario disponer de permisos root en el dispositivo, esto lo podemos conseguir gracias a diversos exploits o aplicaciones que pueden ser encontrados sin demasiada dificultad, así como una explicación de sus correcta utilización.

Al levantar una shell al teléfono podemos observar que el sistema está basado en Unix y que el sistema de ficheros está montado de la siguiente manera:

$ mount

rootfs / rootfs ro,relatime 0 0

tmpfs /dev tmpfs rw,relatime,mode=755 0 0

devpts /dev/pts devpts rw,relatime,mode=600 0 0

proc /proc proc rw,relatime 0 0

sysfs /sys sysfs rw,relatime 0 0

none /acct cgroup rw,relatime,cpuacct 0 0

tmpfs /mnt/asec tmpfs rw,relatime,mode=755,gid=1000 0 0

none /dev/cpuctl cgroup rw,relatime,cpu 0 0

/dev/block/mtdblock3 /system yaffs2 ro,relatime 0 0

/dev/block/mtdblock5 /data yaffs2 rw,nosuid,nodev,relatime 0 0

/dev/block/mtdblock4 /cache yaffs2 rw,nosuid,nodev,relatime 0 0

De manera que existen diversos puntos de montaje en distintos mtdblocks para cada directorio importante en nuestro teléfono:

·         /systen está montado en /dev/block/mtdblock3

·         /cache está montado en /dev/block/mtdblock4

·         /data está montado en /dev/block/mtdblock5

Y en caso de disponer de una tarjeta SD, podemos encontrarla en /sdcard.

El paso necesario para hacer una correlación de forma correcta es utilizar el comando dd acompañado de pull para traernos la imagen que realicemos del sistema a nuestro entorno de trabajo local:

# dd if=/dev/mtd/mtd5 of=/sdcard/data/mtd5.img bs=2048

100480+0 records in 

100480+0 records out

205783040 bytes transferred in 108.504 secs (1896547 bytes/sec)

sebas@Helios:~/Android/sdk/platform-tools$ sudo ./adb pull /sdcard/data/mtd5.img /home/sebas/Android/research/mtd5.img

1799 KB/s (205783040 bytes in 111.650s)

De manera que el proceso resulte tan trivial como grepear la salida en busca de ciertos strings que puedan servirnos de utilidad:

sebas@Helios:~/Android/research$ strings -a ./mtd5.img | grep databases | more

...

/data/data/com.android.providers.contacts/databases/contacts2.db-journal

/data/data/com.google.android.gsf/databases/talk.db-journal

/data/data/com.google.android.gsf/databases/talk.db-mj157DA2E7

...

Llegando a la conclusión de que la información de las aplicaciones instaladas en el teléfono se encuentra en la ruta:

·         /data/data/package.app/databases/…

Por lo que el proceso será tan trivial como traernos los ficheros que deseemos nuevamente a nuestro entorno de trabajo para su posterior análisis.

Saltándonos las protecciones

Para poder saltarnos las protecciones de Google existen dos posibles métodos:

Forma manual:

1.       Desensamblar el código haciendo uso de Baksmali:

a.       sebas@Helios:~/Android/research/protection/com.yoyogames/bcode/com$ java -jar baksmali-1.2.6.jar -x -o baksmali_code ../../Android/research/protection/com.yoyogames/classes.dex

2.        Realizar las siguientes modificaciones de código en el fichero de comprobación de licencia (./baksmali_code/com/android/vending/licensing/LicenseChecker.smali)

a.       Modificamos el método checkAccess por el siguiente código http://pastebin.com/FHfaD6WU

b.      Modificamos el método handleServiceConnectionError por el siguiente código http://pastebin.com/fHS8Kp8p

3.       Empacamos la aplicación nuevamente utilizando la herramienta APKTool

4.       Firmamos la aplicación con JarSigner

a.       sebas@Helios:~/Android/sdk/tools$ jarsigner -verify -verbose -certs ~/Android/research/protection/com.yoyogames/prueba.apk

5.       Utilizamos zipalign para temas de optimización y eficiencia:

a.       sebas@Helios:~/Android/sdk/tools$ ./zipalign -v 4 ~/Android/research/protection/com.yoyogames/prueba.apk ~/Android/research/protection/com.yoyogames/prueba-final.apk

6.       Instalamos la aplicación y disfrutamos.

Forma automática

Hacemos uso de la herramienta Anti-LVL (http://androidcracking.blogspot.com/p/antilvl.html) desarrollada por Lohan Plus:

sebas@Helios:~/Android/sdk/tools$ sudo java -jar antilvl.jar -f ~/Android/research/protection/com.yoyogames.droidtntbf-1.apk pruebafinal.apk

De forma que con un simple y sencillo paso nos realizará automáticamente todos los pasos del método manual.

Vulnerabilidad de Tap-Jacking

La vulnerabilidad encontrada y explotada viene debida al modelo de confianza que las aplicaciones de Android disponen, permitiendo abrir diálogos con determinados permisos al usuario, de forma que este pueda tomar decisiones que la aplicación por sí misma no puede realizar.

Una aplicación maliciosa que explote esta vulnerabilidad de TapJacking puede abrir un diálogo con privilegios y colocar una capa opaca por encima de esta que pase todos los eventos de pantalla a la capa directamente inferior. Consiguiendo de esta forma poder realizar llamadas, envío de mensajes, clicks en anuncios, transacciones bancarias, todo ello mientras el usuario no es consciente de ello.

El fallo se conseguía a raíz de los Toasts, clases especiales de diálogos, que a diferencia de las “Activities” permitía superpone la actividad actual de la aplicación mientras los eventos de pantalla de esta eran pasados a capas inferiores.

Estos que un principio poseen una apariencia que los permite distinguir de los diálogos normales, podían ser modificados en tamaño y comportamiento, como podréis ver en el vídeo que se ha subido.

La vulnerabilidad, corregida en un principio por Google, afecta a todas las versions actuales de teléfonos Android. Siendo por tanto el riesgo bastante alto. Se desarrollaron un total de 4 payloads para probar su funcionamiento:

·         CallPayload.java – Realiza llamadas de teléfono al número indicado.

·         MarketPayload.java – Descarga e instala aplicaciones del market.

·         ResetPayload.java – Devuelve al estado de fábrica el teléfono.

·         SMSPayload.java – Envía un mensaje de texto  al número  indicado.

Y la estructura interna es la siguiente:

·         Main.java – Ejecuta el servicio principal y carga los payloads.

·         MalwarePayload.java – Abstracción interna para facilitar la implementación de nuevos payloads.

·         MalwareService.java – Crea el toast e inicia el proceso de tap-jacking.

·         Main.xml – Tiene el layout de la aplicación, lanzando con un evento onClick cada payload.

·         Strings.xml – Contiene las cadenas que son utilizadas  en la aplicación.

Conclusión

Después de este pequeño resumen y de la investigación acaecía se me ocurren algunas preguntas para lanzar al aire:

·         En el tema de la protección de aplicaciones, ¿Tiene la culpa el desarrollador por no haber tomado las medidas de protección adecuadas, o la culpa es de Google por tener un sistema tan ‘infalible’?

·         ¿Se preocupa Google por combatir contra el Malware? ¿O es una batalla que tiene perdida desde el comienzo?

·         ¿Es necesario seguir sacando nuevas versiones en lugar de corregir los errores que hay en las anteriores?¿Fomentamos el progreso de la plataforma, o una fragmentación de versiones inevitable?

·         ¿Necesitamos proteger nuestros datos?¿Podemos confiar en la protección ofrecida por Google?¿Compensa tener más cercana nuestra vida digital sabiendo el peligro que corremos? 

Sebastian Guerrero
Crimeware Research

Ver más

Black Hole Exploit Kit 1.1.0 Inside

Desde su aparición durante septiembre del 2010, Black Hole Exploits Kit tuvo una penetración muy positiva en el ambiente delictivo. Su ciclo de vida aún no terminó por lo que su desarrollo sigue una natural evolución y hasta el momento son tres las generaciones que existen "in the wild".

Black Hole Exploit Kit fue desarrollado por quien se hace conocer bajo el nick Paunch. La pantalla principal permite la visualización de cada componente de interés para el atacante. Estas estadísticas son clásicas y más o menos todos los exploits pack siguen el mismo patrón, porque estos datos permiten obtener un mapa concreto sobre el estado de la campaña de infección.

Se visualizan la tasa de éxito general en función de la cantidad y tipo de sistemas operativos comprometidos, navegadores mediante los cuales se ejecutó la explotación mediante scripts, los exploits más efectivos, la geolocalización de los equipos afectados y los botmasters secundarios que emplean el recurso delictivo.

Panel principal de Black Hole Exploits Kit mediante el cual el atacante visualiza toda la información procesada relacionada a los equipos infectados.

Su comercialización comenzó a través de foros específicos y así continúa hasta el momento, bajo un modelo de licenciamiento con tres alternativas. Algunos datos de interés respecto a su comercialización son:

La primera variante se liberó, en estado beta (infinito) en septiembre del 2010 a un costo muy competitivo; en ese momento: $1500 por licencia anual; $1000 por licencia semestral y $700 por trimestre. Aunque su diseño es igual en todas las generaciones, la última versión (1.1.0) incorpora una serie de funcionalidades "extras" respecto a las anteriores.

Exploits Full-On Demand

Black Hole Exploits Kit centra su estrategia de explotación basada principalmente en Java y PDF, pero siempre (al igual que TODOS los Exploit Pack) sin dejar de lado el clásico MDAC. La siguiente lista representa los exploit que por defecto posee la primera de sus versiones (1.0.0):

• CVE-2010-1885
• CVE-2010-1423
• CVE-2010-0886
• CVE-2010-0842
• CVE-2010-0840
• CVE-2009-1671
• CVE-2009-0927
• CVE-2008-2992
• CVE-2007-5659
• CVE-2006-0003

Las siguientes versiones, hasta la 1.0.3, no agregaron exploits sino que fueron optimizados, por ejemplo combinando los exploits para PDF en un solo payload. Esta última versión siguió con la optimización de los exploits, agregando dos más para Java y quitando IEPeers.

Esquema de seguridad y evasión antivirus

Durante los dos últimos años el crimeware fue incorporando diferentes mecanismos de auto-defensa y evasión anti-virus que le proporcionan a los delincuentes nuevas capas de seguridad para evitar su rastreo temprano e incrementar su ciclo de vida.

Black Hole Exploit Kit no se limita en este sentido e incorpora básicamente dos maniobras auto-defensivas. Por un lado, desde la primera versión incorpora una blacklist que permite configurar un bloque de direcciones IP y URLs a bloquear, además de importar o exportar la lista.

Por otro lado, este crimeware también incorpora la automatización para el chequeo de la integridad del malware propagado. En la primera versión solo a través de VirTest, incorporando Scan4you en las posteriores generaciones. Los parámetros configurables para estas opciones requieren los datos de autenticación para ambos servicios asociados al ámbito delictivo.

El cifrado no escapa de la oferta de servicios, y el mismo es ofrecido precisamente para evitar o entorpecer el análisis de los códigos maliciosos propagados, cuyo valor no se ha incrementado. Cuesta $ 50.

Estrategia de auto-defensa incorporada en Black Hole Exploits Kit. La blacklist se encuentra en la solapa "Seguridad", mientras que en "Preferencias" se configuran los datos de autenticación para cualquiera de los servicios Antivirus ("Antivirus Check").

 Antivirus Check de la primera versión de BlackHole. En ese entonces, la opción se llamaba simplemente "VirTest", cambiando luego por "Antivirus Check" al incluir Scan4you.

Para proteger el código fuente, como muchos otros, utiliza un ofuscador de PHP, por defecto, Black Hole  Exploit Kit emplea IonCube pero hemos visto otras variantes ofuscadas con PHP-Cryptor.

Ciberdelincuentes afiliados
Los afiliados no son más que otros botmasters, o "perfiles de usuarios", que hacen uso del panel de control. Esto le permite al botmaster principal gestionar una veta de negocio alternativa que se gestiona a través del alquiler de recursos.

Afiliados presentes en el Black Hole "explotado". El usuario por defecto puede ser empleado por el botmaster principal para pruebas. En esta sección se visualizan datos de interés limitados a ese perfil como los exploits configurados, los sistemas operativos atacados y el tráfico.

Monetización y esquema de negocio

La monetización está basada principalmente por el alquiler de servicios y la venta de paquetes individuales. Todo completamente gestionado por tres ciberdelincuentes que mantienen la estructura del negocio delictivo.

La estructura del negocio esta creado y administrado por tres individuos. Cada uno de ellos cumple un rol fundamental dentro del esquema delictivo detrás de Black Hole Exploit Kit.

La venta de los paneles como parte del servicio (Crimeware-as-a-Service) se lleva a cabo a través de la infraestructura propia de estos tres personajes. Es decir, generalmente los delincuentes suelen alojar una copia cifrada de los paquetes en servidores vulnerados; en este caso, el servicio se realiza desde servidores propios vendiendo combos que consisten en dominios, alojamiento y exploit pack.

Cada servidor del grupo delictivo posee implementado, generalmente, más de 400 dominios listos para negociar, donde a cada dominio le corresponde una copia de Black Hole Exploit Kit. Los costos de este servicio es de:

• $ 200 x 1 semana
• $ 300 x 2 semanas
• $ 400 x 3 semanas
• $ 500 mensuales
• $ 50 x 24 horas de prueba 

Optimización para PDA

Esta funcionalidad consiste en la optimización para ser visualizado a través de PDA, y hasta donde sabemos es el primero en implementarlo. Pero la funcionalidad no se limita solo a los conocidos PDA sino que también a los teléfonos inteligentes de la actualidad. Con lo cual el botmaster puede gestionar la inteligencia de sus botnets a través de cualquier teléfono celular de alta gama.

 Modo de visualización de Black Hole Exploit Kit bajo la modalidad optimizada para PDA

Cuando descubrimos la existencia de este crimeware como alternativa delictiva, pronosticamos que los profesionales de seguridad debíamos tener especial atención a este Exploit Pack, debido, fundamentalmente a sus características. Especialmente el flujo de tráfico que los delincuentes aseguran al tener sus propios bulletproof. No nos equivocamos!

Alejandro Cantis
Senior Crimeware Research
MalwareIntelligence 

Información relacionada

Phoenix Exploit’s Kit v2.3 Inside
Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
Phoenix Exploit’s Kit v2.1 Inside

YES Exploit System como Crimeware-as-a-Service
BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
Estado del arte en Eleonore Exploit Pack II
Inteligencia y nivel de explotación según Siberia Exploit Pack
Estado del arte en CRiMEPACK Exploit Pack
iPack y GOLOD. Nuevos crimeware en la escena delictiva
YES Exploit System. Official Business Partner’s 

Ver más

JAVA Drive-by [infection] On Demand

JAVA es una de las tecnologías informáticas con mayor inserción en el plano delictivo debido a su condición de "hibrido". Lo que la transforma en un vector multiplataforma altamente explotado para la propagación de todo tipo de códigos maliciosos.

Incluso, el crimeware moderno incluye una batería de exploits creados para explotar versiones vulnerables de JAVA a través de Exploit Packs, y de hecho, conjuntamente con los archivos PDF,  los exploits para JAVA son los que cuentan con mayor tasa de éxito.

Ahora bien, Drive-by es una de las técnicas más empleadas para propagar y automatizar el proceso de infección vía web. Sobre todo a través de páginas web que prometen la visualización de video vía streaming o estrategias de ingeniería social visual similares. La combinación de esta metodología con JAVA da como resultado, sencillamente,  un Java Drive-by; es decir, técnicamente lo mismo pero empleando lenguaje y recursos JAVA. ¿Alguna vez vieron algunos de estos templates?...

...Seguramente muchas veces!

Diariamente vemos estas páginas web que suelen estar alojadas en sitios que ofrecen almacenamiento gratuito de archivos, pero que ocultan las instrucciones necesarias para "agilizar" el proceso de infección, empleando simplemente un Applet de JAVA. En orden cronológico, las imágenes corresponden a las opciones de: Photo Gallery, Camera Chat y Video Streaming respectivamente. Todas, creadas de forma automatizada a través de iJAVA.

iJAVA es un generador On Demand (Java Drive-by Generator) de origen Árabe, que desde su primera versión contó con una muy buena aceptación en el ámbito delictivo, porque permite con solo unos clicks, crear una sencilla página web, asociar a este sitio un malware personalizado y subir automáticamente la página a uno de estos servicios de almacenamiento gratuito. Una dosis de ingeniería social visual extremadamente trivial pero lamentablemente extremadamente efectiva.

Versión 1 de iJAVA. En solo tres pasos los propagadores de malware crean una amenaza personalizada acompañando la acción con una dosis de ingeniería social.

Versión 2 de iJAVA. Agregando una serie de "extras", al igual que la versión anterior, la creación de la estrategia se define en solo tres pasos básicos.

Algunos ejemplos actuales:

A  diferencia de la primera versión, la segunda generación permite personalizar un propio template, con lo cual el diseño que se utiliza para "la captación" de víctimas, se limita solo a la imaginación del atacante, pudiéndose lograr estrategias de infección como la siguiente:

El ahorro de tiempo también es un factor importante para los ciber-delincuentes. Y con aplicaciones de este estilo, consiguen la automatización necesaria para el ahorro de costes en términos de tiempo, y claro, también ganancias en términos económicos, ya que a pesar de la trivialidad de la maniobra, los delincuentes suelen utilizarlas en campañas asociadas a negocios del tipo PPI (Pay-per-Install) para incrementar la economía a través de programas de afiliados.

Información relacionada:
Automatización de procesos anti-análisis a través de crimeware
Automatización de procesos anti-análisis II
Automatización en la creación de exploits
Automatización en la creación de exploits II

Ver más

El Arte de la Ciberguerra

La evolución de las nuevas tecnologías, en su convergencia con los intereses militares y la dependencia tecnológica existente por parte de los países desarrollados, configura un escenario donde la ciberguerra, o guerra a través del ciberespacio, cobra cada vez más protagonismo.

Todos los países conscientes de los riesgos de dicha dependencia elaboran programas de defensa contra ataques informáticos que puedan poner en peligro las infraestructuras nacionales críticas.

Por otro lado, países en vías de desarrollo y grandes potencias mundiales adiestran a expertos en seguridad informática en diversas técnicas de hacking, cracking, virología, etc., configurando auténticos expertos en ciberguerra, los llamados ciberguerreros.

Que no le quepa a nadie duda que el futuro de las guerras no se determinará ni en tierra, ni mar, ni aire, sino en el ciberespacio. Que los soldados no portarán armas ni escudos, sino conocimientos y aplicaciones capaces de desplegar virus de guerra, inutilizando los sistemas críticos del enemigo que sean dependientes tecnológicamente.

Este es el escenario donde se mueve actualmente el mundo, un escenario de dependencia tecnológica, donde los países con mayor fortaleza militar tradicional irán perdiendo capacidad de guerra a favor de países con personal altamente cualificado en seguridad informática y técnicas de ciberguerra.

Este ensayo pretende ser un punto de reflexión y conocimiento acerca de la ciberguerra, tomando como presente la filosofía de Sun Tzu en el Arte de la Guerra, y adaptando su sabiduría al escenario tecnológico que vivimos y viviremos, de manera que podamos obtener un compendio moderno: el Arte de la Ciberguerra.

Versión en inglés

Versión en español

Ver más

Gangsterware. Stealth Shield of the Malware

Hace unos días miré uno de los training de BlackHat Webcast cuyo título es el mismo que utilicé para este post, donde la gente de M86Security se encargo de llevarlo adelante hablando de forma superficial sobre los principales vectores de infección en la actualidad. Poniendo foco fundamentalmente en los Exploit Packs y, dentro de esta categoría de crimeware, enfatizando puntualmente en el modus operandi de Phoenix Exploit Kit, NeoSploit y Open Source Exploit Kit (de mucha repercusión entre los "aspirantes a delincuentes" debido a su condición de "gratuito").

El training estuvo muy bien para quienes desean comenzar a investigar la caracterización de este tipo de crimeware, en este caso, a través de los recovecos delictivos que esconden tres Exploit Pack que actualmente se encuentran vivos dentro del ecosistema delictivo. Por lo tanto… ¡un bravo! para los autores del breve training. El slide puede ser visualizado desde el Media BlackHat.

No obstante, sepan que la evolución de estos crimeware es muy rápida, que la oferta es muy amplia, y la demanda muy específica. A continuación dejo los enlaces de algunos de los Exploit Pack que de alguna manera se han expuesto a través de MalwareIntelligence a lo largo de unos buenos cuantos años:

Phoenix Exploit’s Kit. De la mitología a un negocio delictivo

[6.10.10] Eleonore Exploit Pack. Nueva versión (1.4.4mod)
[1.10.10] Phoenix Exploit’s Kit v2.3 Inside
[30.9.10] Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
[8.9.10] Phoenix Exploit’s Kit v2.1 Inside
[18.8.10] Estado del arte en Phoenix Exploit's Kit
[9.8.10] Campaña de infección a través de Phoenix Exploit’s Pack
[11.7.10] YES Exploit System como Crimeware-as-a-Service
[3.7.10] BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
[24.6.10] Estado del arte en Eleonore Exploit Pack II
[28.5.10] Inteligencia y nivel de explotación según Siberia Exploit Pack
[19.5.10] Estado del arte en CRiMEPACK Exploit Pack
[28.3.10] iPack y GOLOD. Nuevos crimeware en la escena delictiva
[16.1.10] YES Exploit System. Official Business Partner’s
[9.1.10] Napoleon Sploit. Frameware Exploit Pack
[3.1.10] Estado del arte en Eleonore Exploit Pack
[25.12.09] Siberia Exploit Pack. Otro paquete de exploits In-the-Wild
[3.12.09] Una breve mirada al interior de Fragus
[29.11.09] JustExploit. Nuevo Exploit Kit que explota Java
[26.9.09] Nueva versión de Eleonore Exploits Pack In-the-Wild
[17.9.09] Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
[15.8.09] Fragus. Nueva botnet framework In-the-Wild
[14.8.09] Liberty Exploit System. Otra alternativa crimeware para el control de botnets
[4.8.09] Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
[29.6.09] ElFiesta. Reclutamiento zombi a través de múltiples amenazas
[14.6.09] Mirando de cerca la estructura de Unique Sploits Pack
[27.5.09] Unique Sploits Pack. Manipulando la seguridad del atacante II
[21.5.09] YES Exploit System. Manipulando la seguridad del atacante
[12.4.09] YES Exploit System. Otro crimeware made in Rusia
[6.3.09] Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
[27.2.09] LuckySploit, la mano derecha de ZeuS

Alejandro Cantis
Crimeware Research

Ver más