Black Hole es un kit de explotación ruso utilizado para infectar máquinas por medio de vulnerabilidades. La idea de este kit es tan simple como explotar vulnerabilidades en navegadores para infectar la máquina con un troyano y crear botnets de computadores zombies. Esta herramienta fue una de los primeras en contar, entre su arsenal, exploits y troyanos pensados también para equipos Mac OS X, tal y como ya publicamos en el artículo de Mac OS X en los kits de explotación. Como está en ruso, publicamos también una traducción de algunos paneles al español.
Figura 1: Código ofuscado inyectado en la web de USPS.gov |
Recientemente se ha detectado este kit en la web del Servicio Postal del gobierno de los USA para infectar máquinas y ha sido analizado por Zscaler, tal y como reportan en The Register, para infectar a los desafortunados visitantes. En el post se ha analizado el comportamiento del kit, desofuscando el código de detección y explotación para entender mejor el funcionamiento.
Figura 2: Redirección al servidor que hostea los exploits |
Al final, el código ofuscado que se inyecta en la página web realiza una redirección a un sitio controlado donde se analiza el cliente que visita la página para reconocer el sistema operativo y el navegador y así lanzar el exploit más adecuado. En esta versión, hasta iPhone, iPad e iPod Touch están entre sus objetivos.
Figura 3: iPhone, iPad e iPod Touch |
En la otra parte del código puede verse que Google Chrome o Apple Safari están también entre los tenidos en cuenta a la hora de infectar las máquinas.
Figura 4: Navegadores analizados para los exploits |
Para terminar el análisis, los investigadores han enviado los exploits a Virus Total para ver cuál era el ratio de detección de los mismos por parte de los sistemas animalware, con muy malos resultados.
- calc.exe - detectado por 5/41
- info.exe - detectado por 4/42
- mario.jar - detectado por 4/41
- eedad.pdf - detectado por 1/41
- 298dd.pdf - detectado por 5/42
- 27537.pdf - detectado por 5/41
- 57496.pdf - detectado por 1/42
- javatrust.php - detectado por 0/42
- CVE-2010-4452 - Sun Java Applet2ClassLoader Remote Code Execution Exploit (Metasploit)
- java_skyline.php - detectado por 2/41
- CVE-2010-3552 - Sun Java Runtime New Plugin docbase Buffer Overflow (Metasploit)
Aun así hay que tener en cuenta que si bien un sistema antimalware nunca va a detectar todo y no se puede fiar toda la seguridad de un sistema operativo a él, los sistemas heurísticos y de análisis en tiempo real suponen un complemento que mejora la seguridad del equipo en la detección de programas maliciosos.
No hay comentarios:
Publicar un comentario