Hierarchy Exploit Pack. Nuevo crimeware para el aparato ciberdelictivo
El término "hierarchy" se refiere a la acción de jerarquizar una entidad. A juzgar por el nombre de este nuevo Exploit Pack de origen Ruso, parecería ser que su autor busca encontrar su lugar dentro del ecosistema delictivo, aunque todas las sensaciones apuntan a que detrás de esto se encuentra, más que nada, un delincuente principiante que pretende algo más.
Sin embargo, a pesar de ser un paquete de explotación delictivo más dentro de una basta gama de alternativas, no deja de ser un riesgo latente para cualquier sistema de información. Incluso, teniendo en cuenta que Hierarchy Exploit Pack llega al mercado delictivo en una etapa donde el circuito es maduro con una gama de crimeware "vip" que se encuentran no sólo entre la lista de "mejores crimeware" para los delincuentes sino que también en el centro de la tormenta delictiva.
Bajo el nickname "Angelolog" se esconde su autor. Un nickname llamativo ya que según su semántica, se refiere a "una rama de la teología que trata sobre el estudio de los ángeles". Una contradicción bastante obvia.
Como es habitual, cuando un delincuente se "inicia en el negocio", lo hace registrando un dominio que contempla el mismo nombre del crimeware. Aunque claro no es el único dominio que en primera instancia ha registrado. En este caso, los datos son los siguientes:
Владелец: Private Person
DNS-сервер: ns1.luckhost.kz.
DNS-сервер: ns2.luckhost.kz.
Телефон: +380933900884
E-mail: angelolog@mail.ru
Состояние: REGISTERED, DELEGATED, VERIFIED
Регистратор: REGRU-REG-RIPN
Создан: 2011.03.01
Оплачен до: 2012.03.01
El AS6876 (TENET-AS TeNeT Autonomous System TeNeT Telecommunication Company) que se encuentra en Ucránia, no está catalogado como malicioso lo que hace suponer que "angelolog", un spammer de baja categoría, no lleva mucho tiempo dentro del ámbito delictivo.
Si bien a simple vista el diseño del control panel es similar al viejo Siberia Exploit Pack, se trata en realidad de una modificación de Eleonore Exploit Pack. La evidencia es muy clara.
Hierarchy Exploit Pack contiene los siguientes exploits:
Office OCX
OpenWebFile Office OCX OpenWebFile arbitrary program execution BID-33243
MDAC
Arbitrary file download via the Microsoft Data Access Components (MDAC) CVE-2006-0003
AppStream LaunchObj
Symantec AppStream LaunchObj ActiveX control vulnerable to arbitrary code download and execution CVE-2008-4388
Hummingbird PerformUpdateAsync
Hummingbird Deployment Wizard ActiveX Control Insecure Methods (PerformUpdateAsync) CVE-2008-4728
Peachtree ExecutePreferredApplication
Peachtree insecure ExecutePreferredApplication method allows the execution of arbitrary programs CVE-2008-4699
C6 propDownloadUrl
C6 Messenger insecure method propDownloadUrl allows the execution of arbitrary programs CVE-2008-2551
Adobe getIcon
Stack-based buffer overflow in Adobe Reader and Acrobat via the getIcon method of a Collab object CVE-2009-0927
Adobe Libtiff
Libtiff integer overflow in Adobe Reader and Acrobat CVE-2010-0188
HPC URL
Help Center URL Validation Vulnerability CVE-2010-1885
IE iepeers.dll
Internet Explorer iepeers.dll use-after-free CVE-2010-0806
Sun Java Runtime RMIConnectionImpl
Privileged Context Remote Code Execution Vulnerability CVE-2010-0094
Sun Java Runtime Environment MixerSequencer
Invalid Array Index Remote Code Execution Vulnerability CVE-2010-0842
AFP Server Mac OS X v10.6.5
Remote attacker AFP Server to unexpectedly shutdown CVE-2010-1297
Sun Java Web Start BasicServiceImpl
Remote Code Execution Vulnerability CVE-2010-3563
Adobe Flash Player 10.2.153.1
SWF Memory Corruption Vulnerability CVE-2011-0611
Oracle Java SE
Rhino Script Engine Remote Code Execution Vulnerability CVE-2011-3544
También incorpora los siguientes códigos maliciosos:
payload.ser [F6795195968795C535EF6932A843E969] – 16/42
Exploit$1.class [625B6B915327D352E437B34D85FB67E2] – 1/44
Exploit$1.class [DD49FADD9372CBDEF709BB9F0B1105C7] – 2/43
Link.class [3013C223A80371BCA0798E1C21683305] – 11/44
Exploit.class [77E8E1CFCC6F0894015D8CA271BBBEF5] – 12/43
BasicServiceExploit.class [A63C9DB17FE7F60370B4FFD659B61B36] – 3/43
Exploit$1$1.class [21F2312A9D50F72810E242F72E751243] – 1/43
swf.swf [6EFD1CE8DC61C68BAD3B85A949709DD2] – 24/43
Exploit$.class [452CD049CE83E72F5C642F7457F4AA93] – 2/43
Gallery_Viewer.class [03497E41A5A5A6A6F92E2950AA087C06] – 8/44
Exploit.class [334EC1071B85D52A3DA4223ED7DC6D74] – 4/43
PayloadClassLoader.class [8563342ADD46F7EADC8745BB10267B2A] – 14/43
Gallery_Viewer.jar [1C73218F0CAF238400EB86E635862279] – 13/43
Gallery_Viewer.jar [2C4DF43924D237B56DB4096E6AF524B1] – 13/43
1.txt [CF7A4C337F3DA524350AC794B589F804] – 8/43
pdf.pdf [60CADBD724A6BF0527B5E731492D8A0F] – 16/43
Exploit.jar [69767793D644D6060A060133A6014CB9] – 21/42
1.exe [8321D8B973CE649252DF9C560B875647] – 9/43
Payload.class [EEB9BA7FB4F752E1249E696B638D4732] - 13/43
Exploit.jar [19A512A3CCBA3FCDEAA5262E82F0DECE] - 26/43
pdf5.pdf [2AD31CABE2527C5F94B2C351F6529F17] - 9/43
pdf4.pdf [48C583A82A004EC1B17688215E173EFB] - 11/43
swf.swf [4666A447105B483533B2BBD0AB316480] - 19/43
bot.exe [7AB9E8AC261D2A49D87EF304ADE03BA3] – 26/43
Respecto a la oferta de exploits que presenta este crimeware, parecería tratarse de una "ensalada de exploits", lo cual conlleva a suponer, considerando además que es un mod, que el autor podría ser un "coleccionista de Exploit Pack", realizando su propio desarrollo (sin esfuerzo) a través de un "rejunte" de los exploits de viejos Exploits Pack que fácilmente se encuentran disponibles en la mayoría de los foros underground.
Por otro lado, el nivel de detección en casi todos los casos es en promedio menor al 50%, lo cual representa un aspecto crítico para cualquier sistema de información. Con lo cual, sin importar que se trate de un crimeware sin demasiada representatividad en el ambiente delictivo, sin mucha creatividad y sin una tasa de explotación efectiva para el delincuente, no deja de ser una amenaza latente. Más aún cuando la experiencia nos indica que viejos exploits como el de MDAC descripto en CVE-2006-0003, poseen un fuerte impacto aún luego de casi seis años de solucionado el bug que explotaba.
Información relacionada
Inside Phoenix Exploit’s Kit 2.8 mini version
Black Hole Exploit Kit 1.1.0 Inside
YES Exploit System como Crimeware-as-a-Service
BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
Estado del arte en Eleonore Exploit Pack II
JustExploit. New Exploit kit that uses vulnerabilities in Java
Fragus. New botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Black Hole Exploit Kit 1.1.0 Inside
YES Exploit System como Crimeware-as-a-Service
BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
Estado del arte en Eleonore Exploit Pack II
JustExploit. New Exploit kit that uses vulnerabilities in Java
Fragus. New botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Ale Cantis, Senior Crimeware Researcher
Cybercrime Research Team
Crimeware Working Group & CrimewareAttack Service | MalwareIntelligence
Ver más
Crimeware Working Group & CrimewareAttack Service | MalwareIntelligence