santiago silver - Fotolia

Malware-Baukästen: Exploit Kits im Wandel

Exploit Kits dienen häufig der Verbreitung von Schadsoftware. Insbesondere für die Distribution von Ransomware werden diese Malware-Baukästen genutzt.

Das Research Team des Zscaler ThreatLabz hat die aktuellen Aktivitäten der Top Exploit Kits im Zeitraum Ende 2016 bis Anfang 2017 unter die Lupe genommen. Diese Baukästen bestehen aus einem schnell zu implementierenden Softwarepaket, über das Schwachstellen in Web-Browsern ausgenutzt werden, um Schadcode zu verbreiten.

Die Autoren von Exploit Kits bieten ihre Dienstleistung der Malware-Verbreitung gegen eine Gebühr an. Um der Entdeckung zu entgehen, werden Exploit Kits kontinuierlich modifiziert.

Der Marktführer – RIG

RIG blieb von Ende 2016 bis Anfang 2017 durchweg das aktivste Exploit Kit. Im Vergleich zum Herbst des vergangenen Jahres ging die Gesamtaktivität dieses Baukastens jedoch zurück. Nach der mutmaßlichen Stilllegung des Neutrino Exploit Kit im vergangenen September beerbte RIG Neutrino als primärer Distributor der CryptXXX-Ransomware. Gleichzeitig wurde RIG somit das bevorzugte Exploit Kit für die EITest- und pseudoDarkleach-Kampagnen.

Das Kit verteilt weiterhin vielfältige Ransomware-Nutzdaten wie CryptoShield, Cerber, Locky und andere. Im Januar 2017 tauchten allerdings wieder vereinzelte aktive Neutrino Landing Pages auf, die ebenfalls Ransomware Payloads verbreiteten. Es sieht derzeit nach einer Rückkehr von Neutrino aus, wenn auch limitiert für einen eingeschränkten Benutzerkreis.

Die Verbreitung des Exploit Kits RIG hat sich vergrößert, die Aktivitäten beschränken sich längst nicht mehr auf Westeuropa und Nordamerika.
Abbildung 1: Die Verbreitung des Exploit Kits RIG hat sich vergrößert, die Aktivitäten beschränken sich längst nicht mehr auf Westeuropa und Nordamerika.

Im Untersuchungszeitraum vergrößerten die RIG-Entwickler die regionale Verbreitung des Exploit Kits. In den vergangenen Monaten entstanden weitere gehostete RIG-Gates und Landing Pages in Südamerika, Südostasien und Australien. Zuvor waren RIG Hosts hauptsächlich auf Westeuropa, Nordamerika und Russland beschränkt.

Diese neuen Hosts deuten auf Bestrebungen hin, die Zielgruppe und den weltweiten Pool der potentiellen Opfer der via RIG verteilten Ransomware zu erweitern. Einige der neueren RIG-Gates beinhalten zudem ein Browser-Fingerprinting-Skript. Dieser Code unterstützt die Identifikation mehrerer geläufiger Browser anhand deren Version. Er leitet aber nur auf eine Landing Page weiter, wenn der Internet Explorer auf dem infizierten System gefunden wird.

Umfirmierung von Sundown und Nebula

Das Sundown Exploit Kit hat in den letzten beiden Jahren im Schatten von RIG eine Nische besetzen können. Die Entwickler stecken stetig Arbeit in das Kit, um weitere Exploits hinzuzufügen (oder zu stehlen). Sundown verteilt primär Banking-Trojaner, einschließlich des neuerdings populären DiamondFox.

Kürzlich haben die Autoren signifikante Veränderungen an der Struktur der Sundown Landing Page vorgenommen. Infolgedessen erhielt das Kit offensichtlich den Namen „Nebula“. Zuvor waren primär .xyz-Domains für die Bereitstellung der Landing Pages in Benutzung. Seit dem 9. Februar 2017 registriert das Yugoslavian Business Network (YBN) Domains bei vielen anderen generischen Top Level Domains (gTLDs) auf den Namen Brian Krebs.

Zusätzlich zu den Veränderungen der Hostname-Struktur hat das YBN den Stil der URL-Pfade geändert. Ursprünglich wurde die „index.php“-Komponente des Pfades weggelassen. Unter den beobachteten Nebula-Sundown-Aktivitäten verwenden einige inzwischen randomisierte Formate. Deren Ziel ist es, wie alltägliche Traffic-Muster aufzutreten.

„Selbst beim einfachen Surfen im Web stellen Exploit Kits eine erhebliche Bedrohung dar.“

Derek Gooley, Zscaler

 

Trotz der Änderungen an den URL-Mustern sieht die Landing Page der neuesten Sundown-Version genauso aus wie die der vorherigen .xyz-Domains. Die Aktivitäten des Nebula-Sundown-Ablegers verhalten sich wie gewohnt zyklisch, denn seit dem 6. März 2017 sind die typischen Sundown-Zyklen wieder zu beobachten.

Der Newcomer: Terror Exploit Kit

Das Terror Exploit Kit ist ein neueres Exploit Kit, das augenscheinlich aus Teilen von Metasploit-Datensätzen und anderen Exploit Kits, vor allem Sundown und Hunter, zusammengewürfelt wurde. Es baut hauptsächlich auf den jüngsten Sundown Exploits und Dropper-Datensätzen auf. Dieser Baukasten verfolgt das Ziel, das Kryptowährungs-Mining-Programm ccminer auf infizierten Computern zu installieren. Die Landing-Page des Kits ist anspruchsvoll, bleibt aber ein Flickwerk aus gestohlenen Exploits und Verschleierungsroutinen.

Seit der Erstentdeckung des Kits steht dessen Entwicklung unter stetiger Überwachung. Dabei war beispielsweise zu beobachten, wie die Entwickler mit gestohlenen Identitäten zu neuen Domains übergesiedelt sind. Der auf diesen Seiten eingehende Traffic entsteht im PopAds-Werbenetzwerk.

Fazit

Selbst beim einfachen Surfen im Web stellen Exploit Kits eine erhebliche Bedrohung dar. Eine Infektion mit Ransomware kann dazu führen, dass dem Betroffenen der Zugriff auf seine Daten verwehrt bleibt. Diesen Infektionen kann man allerdings vorbeugen. Nutzer sollten beispielsweise Skripts und Programme von nicht-vertrauenswürdigen Quellen stets blockieren. Zudem sollten verdächtige Werbeanzeigen nicht angeklickt werden.

Um ihre Aktivitäten zu verschleiern, nutzen die Autoren der Exploit Kits sich kontinuierlich verändernde Techniken. Sicherheitsforscher arbeiten daher ununterbrochen daran, diese neuen Taktiken und Bedrohungen zu analysieren, um diese zu blockieren.

Über den Autor:
Derek Gooley ist Security Researcher bei Zscaler.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So arbeitet der Erpressungstrojaner Locky

Best Practices: Ransomware verhindern oder eindämmen

Ransomware mit alternativen Ansätzen begegnen

Die Tools gegen Ransomware richtig einsetzen und konfigurieren

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close