Zu viele Hacker in der Exploit-Küche
Cyberkriminelle setzen auf mehrfache Payloads um Infektionschancen zu maximieren
Der Klick auf einen schadhaften Link in einer Phishing-E-Mail, der Besuch einer infizierten Website oder Malvertising auf einer legitimen Website gehören zu den Methoden, auf die Hacker zumeist setzen, um ihre Opfer auf die Exploit-Kit-Server zu leiten
Von Monika Schaufler, Regional Director CEMEA, bei Proofpoint
(12.10.15) – Das Research-Team von Proofpoint hat eine Zunahme an Exploit-Kampagnen entdeckt, die mehrfache Payloads verwenden, um die Chancen einer Infektion zu maximieren. Da die Mietkosten für einen Exploit-Dienst einen Akteur tausende Euro pro Monat kosten können, nutzen diese vermehrt Payloads, die durch Verschleierungsdienste Traffic- und Spam-Dienste umgehen. Das untenstehende Beispiel zeigt, dass heutzutage selten nur ein einziges Exploit mit einer einzigen Payload hinterlegt wird - sondern häufig eine Payload nach der anderen aus einer langen Infektionskette zum Vorschein kommt. In diesem Fall führt das dazu, dass ein Client für seinen eigentlichen Zweck nicht wiederhergestellt werden kann.
Es ist bekannt, dass Exploit-Kits (EK) in schöner Regelmäßigkeit zur Hinterlegung von Malware-Payloads in den Systemen von Opfern verwendet werden. Der Klick auf einen schadhaften Link in einer Phishing-E-Mail, der Besuch einer infizierten Website oder Malvertising auf einer legitimen Website gehören zu den Methoden, auf die Hacker zumeist setzen, um ihre Opfer auf die Exploit-Kit-Server zu leiten.
Ende August entdeckte Proofpoint einen Infizierungsversuch per Malvertising, der zeigt, wie beliebt diese Dienste bei Bedrohungsakteuren sind. Der ursprüngliche Redirector ruft das Angler-Exploit-Kit ab – nicht verwunderlich, da laut Proofpoint-Statistik momentan etwa die Hälfte aller Exploit-Kit-Aktivitäten auf das Konto von Angler gehen.
Interessant wird es, nachdem Angler die Tür geöffnet hat, Das Ergebnis ist eine Infektionskette, die einem Clownmobil für Malware gleicht, da eine Payload nach der anderen versucht, auf den infizierten Client zu gelangen.
Die Infektionskette offenbart eine Reihe von Partner-Bot-Ownern, beginnend beim Yorobun-Owner. Zusammengenommen hinterlegen die Infektionen – in einer einzigen Weiterleitung durch den Client – neun zusätzliche Payloads und rufen noch ein weiteres EK ab, mit dem zwei verschiedene Arten Ransomware geliefert werden. TeslaCrypt(aka AlphaCrypt) ist der erste Versuch einer Ransomware-Installation, gefolgt von CryptoWall.
Zusätzlich zu dem doppelten Problem zweier verschiedener Ransomware-Infektionen wird bei dieser weit verzweigten Infektionskette auch Bedep abgelegt, eine Klickbetrug-Malware, die einen Domain-Generation-Algorithmus (DGA) für seine Command-and Control-Kommunikation (C2) einsetzt. Das Angler-EK legt eine Payload ab (erst Pony, dann Yorobun), dem nicht nur fünf weitere Malware-Payloads folgen, sondern das auch ein weiteres Exploit-Kit – Magnitude – abruft, das wiederum mindestens zwei Varianten der CryptoWall-Ransomware ablegt. Obwohl weniger bekannt als Angler, geht aus Proofpoint-Analysen hervor, dass das Magnitude-Exploit-Kit eines der drei oder vier meist genutzten EKs in den letzten 90 Tagen war und durchschnittlich 12 Prozent des gesamten EK-Traffics auf sich vereinte.
Die Mietkosten für einen Exploit-Dienst können einen Akteur tausende Euro pro Monat kosten. Es liegt also nahe, dass die Akteure ihre Chancen für eine Infektion maximieren wollen, und zwar durch die Nutzung von Payloads, die durch Verschleierungsdienste und den aggressiven Vertrieb von Traffic- und Spam-Diensten "Fully Undetectable" (oder FUD) werden. Im Gegenzug kann die hohe Nachfrage nach einem bestimmten EK den Owner dazu bringen, seine Umsatzchancen zu maximieren, indem er jede Infektionsmöglichkeit an so viele Partner wie möglich verkauft. Wie dieses Beispiel zeigt, kann das dazu führen, dass eine Payload nach der anderen aus einer langen Infektionskette zum Vorschein kommt. Das unterstreicht, dass heutzutage selten nur ein einziges Exploit mit einer einzigen Payload hinterlegt wird ... In diesem Fall führt das dazu, dass ein Client für seinen eigentlichen Zweck nicht wiederhergestellt werden kann.
Obwohl auch neue, kleinere Akteure dazukommen, verfestigt sich der Exploit-Kit-Markt weiterhin rund um Angler, obwohl es die Dominanz von Black Hole noch nicht erreichen konnte. Diese überladene Infektionskette scheint ungewöhnlich, doch sie zeigt die Flexibilität und die kontinuierliche Gefahr von Exploit-Kits sowie die Herausforderung für Unternehmen, damit umzugehen. (Proofpoint: ra)
Proofpoint: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.