MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

12.10.11

Inside Phoenix Exploit’s Kit 2.8 mini version

Phoenix Exploit’s Kit es uno de los paquetes delictivos con mayor continuidad en la escena del crimeware. Luego de todo este recorrido, actualmente se encuentra in the wild la versión 2.8 que, a pesar de tener una baja actividad desde el último semestre de este año, sigue siendo uno de los tantos Exploit Pack con mayor preferencia por los ciber-delincuentes.

Quizás, esta “poca actividad temporal” tenga su respuesta en la altísima demanda que actualmente posee otro crimeware de este estilo, que podría decirse, es uno de los protagonistas en la actualidad: Black Hole Exploit Pack  .

Sin embargo, PEK posee un modelo de licenciamiento similar, donde la última versión se ha liberado con una “alternativa” de compra. Se trata de Phoenix Exploit’s Kit 2.8 mini. Miremos brevemente esta alternativa delictiva a la cual pudimos acceder a través de nuestro servicio de seguridad ofensiva CrimewareAttack.

El modelo de licenciamiento se compone de su versión Simple de dominio cerrado a un costo de USD 2.200, otra versión Multiproceso también de dominio cerrado a USD 2.700 y un servicio extra de cifrado de USD 40 (ReFUDing), ya presente desde varias versiones atrás como parte del “valor agregado”. 

   
Panel de acceso a PEK 2.8. Al igual que las versiones anteriores, respeta su política de autenticación a través de un solo factor definido por una contraseña que chequea su integridad a través de su HASH MD5.

Básicamente esta nueva versión no modifica sus características, por lo menos respecto a su interfaz gráfica y funcionalidades en relación a las versiones anteriores. Cada sección del crimeware muestra el mismo caudal y tipo de información estadística; minimalista pero concisa, siendo esta, aunque trivial, uno de los principales motivos de la adopción de Phoenix por parte de los ciber-delincuentes. Sencillamente encuentran la información que necesitan para aumentar el nivel de éxito y estrategias de ataque, y fusionar las funcionalidad de este Exploit Pack con algún Malware Kit.

¿Qué diferencias existen entre la versión full y la versión mini?
Básicamente el negocio en torno al modelo de licenciamiento anteriormente mencionado. En el caso de la versión mini, el modelo está sujeto a un dominio bajo la modalidad simple, mientras que la versión full permite multitareas.

Quizás este modelo no dice mucho de esta manera; sin embargo, la razón de su existencia se basa en la posibilidad de utilizar diferentes afiliados de negocios con diferentes perfiles desde el modelo de licenciamiento full. De esta manera los delincuentes pueden ampliar su cobertura de negocio. Mientras que con la versión mini se limita a un solo perfil de usuario.

¿Qué hay de nuevo respecto a los exploits? 
Básicamente no mucho. Todo pasa por la optimización en el código de los exploits para obtener un nivel de éxito eficaz a la hora del proceso de explotación, agregándose el exploit para Java Runtime Environment Trusted.

También se han quitado los siguientes exploits que estaban pre-compilados en la verisón 2.7:
  • Windows Help and Support Center Protocol Handler Vulnerability – CVE-2010-1885  
  • Integer overflow in the AVM2 abcFile parser in Adobe Flash Player – CVE-2009-1869  
  • Integer overflow in Adobe Flash Player 9 – CVE-2007-0071  
  • IEPeers Remote Code Execution – CVE-2009-0806  
  • Internet Explorer Recursive CSS Import Vulnerability – CVE-2010-3971   
Desde M86 Security Lab han publicado a mediados de este año “Phoenix Exploit Kit (2.7) continues to be updated  ”, describiendo la metodología de ofuscación que ya se venía empleando versiones atrás. Con esta modificación, el autor buscó evitar el seguimiento de los componentes de PEK y descubrir su estructura, por ejemplo, durante el proceso de investigación.

Si bien básicamente se trata de los mismos exploits (similares en todos los casos, incluso a los que incorporan los demás Exploits Pack in the wild), el autor los optimiza para cada versión. En este caso, incorpora los siguientes exploits:
A pesar de la optimización de los componentes exploits para cada versión, es llamativo e interesante ver que 
en la cadena de optimización y actualización MDAC sigue siendo el exploit con mayor dominación, no sólo en este Exploit Pack sino que en cualquiera de los existentes ¿Cuál es la razón? Simplemente una falta de madurez en los usuarios (en torno a la aplicaicón de los procedimientos básicos de actualización) que lo transforma en una blanco potencial y altamente potable a través de esta vieja, pero efectiva, vulnerabilidad.

Más información sobre Inside Phoenix Exploit’s Pack de otras versiones:

  
El gráfico muestra algunos de los dominios que los creadores de Phoenix Exploit’s Kit han utilizado durante el año 2011.

Revisión de los componentes que forman parte de Phoenix Exploit’s Kit 2.8 mini versión

  
Simple statistics. La típica y primera pantalla que muestra PEK al momento de acceder. Se visualizan datos de interés para los grupos cibercriminales uqe se encuentran detrás de su gestión: Navegadores (y versión) más explotados, cantidad de equipos comprometidos y los exploits con mayor tasa de éxito.


  
Advanced statistics. Información con un nivel de detalle más amplio respecto a los navegadores comprometidos y sistemas operativos, junto a información de la tasa de éxito para cada uno de ellos.

  
Countries statistics. Información similar a los paneles anteriormente mencionados pero con datos relevantes sobre los países afectados.

  
Referer statistics. Información de los sitios web de referencia a Phoenix Exploit’s Kit.

  
Upload .exe files. Panel mediante el cual se actualiza el malware propagad.

White Paper  
Estado del arte en Phoenix Exploit's Kit (hasta 18/08/2010)  
Relevamiento hasta Phoenix Exploit's Kit v2.3r


 A pesar de algunos aspectos “sutiles”, lo cierto es que PEK prácticamente no cambia en cada versión, y quizás su simplicidad de uso es la clave por la cual sigue con vida en un ambiente delictivo donde la demanda y competencia es muy fuerte. Como en los negocios convencionales pero del lado delictivo.

Crimeware Research Team

0 comentarios: