Kits d'exploitation: un autre regard

Transcription

1 Kits d'exploitation: un autre regard Marco Preuss Vicente Diaz Les kits d'exploitation sont des paquets contenant des programmes malveillants qui servent principalement à exécuter des attaques automatisées «à la dérobée» afin de propager un programme malveillant. Ces kits sont vendus au marché noir pour des sommes allant de quelques centaines à plusieurs milliers de dollars. De nos jours, la mise en location de kits d'exploitation hébergés est chose courante et nous nous trouvons face à un marché très compétitif avec de nombreux et différents acteurs et auteurs. Apparu il y a plusieurs années, MPack fut un des premiers exemples de cet «outil» d'un genre nouveau et beaucoup d autres tels que ICE-Pack et Fire- Pack ont suivi. Aujourd hui parmi les kits d'exploitation les plus célèbres, citons Eleonore, le kit d'exploitation YES et Crimepack. Les blogs et les sites regorgent d'articles de recherche et d'informations sur les kits d'exploitation. Lors de nos recherches, nous nous sommes penchés sur différents aspects de ces kits et avons décidé d'en présenter un ici. Kits d'exploitation en chiffres Qu'est-ce qui fait la réussite d'un kit? Quel est l'élément clé de la popularité d'un kit? Commençons d abord par observer l'évolution des différents kits d'exploitation en circulation depuis janvier (Données fournies par MalwareDomainLists)

2 La première chose qui interpelle, est a noté au niveau des modèles de distribution de ces différents kits d'exploitation. Le tableau ci-dessous reprend le Top 5 des kits d exploitation de tous les temps dont les principaux sont Phoenix, Eleonore et Neosploit : Certes le trio de tête n'a pas récemment changé, mais nous observons tout de même l'émergence de nouveaux kits. Revenons sur le Top 5 des kits d'exploitation des 6 derniers mois dans lequel nous constatons l émergence du kit SEO Sploit Pack et Crimepack. Ensuite abordons les vulnérabilités ciblées par ces kits d'exploitation :

3 Les vulnérabilités d Internet Explorer, PDF et Java représentent 66 % des vecteurs d'attaque utilisés par les kits d'exploitation les plus répandus. De quand datent ces vulnérabilités? Le graphique ci-dessous indique l'année de découverte de chacune de ces vulnérabilités. La grande majorité des vulnérabilités exploitées est ancienne et il existe des correctifs pour l'ensemble de celles-ci. Mais malgré leur ancienneté elles sont toujours exploitées avec succès. Il est intéressant de constater que le taux de réutilisation de ces vulnérabilités est de 41 % (à savoir, le taux de vulnérabilités identiques exploitées par différents kits d'exploitation).

4 Enfin, comment peut-on expliquer la popularité de SEO Sploit Packs ces derniers mois? Il y a bien entendu de nombreuses raisons à cela et la facilité d'exploitation est l'une d'entre elles. Peut-on identifier d autres attributs? Codes d'exploitation plus récents En comparant le pourcentage de vulnérabilités exploitées par année de découverte par rapport à la moyenne des kits d'exploitation du Top 5, nous constatons que Crimepack et SEO Sploit Pack utilisent des codes d'exploitation plus récents. Distribution de la cible

5 PDF, Internet Explorer et Java sont les trois cibles principales avec un pourcentage combiné de plus de 75 % du total. Cela confirme que ces codes d'exploitation s'attaquent aux applications les plus populaires présentes sur les ordinateurs des victimes. Les coulisses des kits d'exploitation Pour obtenir les résultats suivants, nous avons pris différents kits d'exploitation et leurs différentes versions, que nous avons analysés en détail. Ainsi plus de fichiers ont été traités. Graphisme et design Outre les codes d'exploitation intégrés, ces kits proposent également une interface qui permet aux cybercriminels de consulter des statistiques sur le paquet. Page de connexion pour Crimepack

6 Statistiques d'eleonore Statistiques de BlackHole Lors du traitement des fichiers, différents types de fichiers image utilisés sur Internet ont fait leur apparition. Ce sont en général des fichiers qui peuvent être scindé entre les GIF (format plus ancien) et les PNG (format plus récent). Les paquets les plus utilisés contenaient des images plus grandes, c 'est le cas notamment des kits d'exploitation YES, Crimepack, MySploitsKit et Fragus. La date de création ne semble avoir aucun impact car un des kits les plus anciens, à savoir MPack, contient des images très petites, tandis qu ICE- Pack (2007) et Siberia (2009) contiennent tous deux des images plus grandes. La qualité du graphisme et du design de chaque kit d'exploitation dépend des efforts du créateur. Ainsi, Eleonore utilise un modèle CSS disponible

7 gratuitement tandis que d'autres auteurs choisissent de créer leur propre style. Généalogie, vol et copie La quantité de fichiers examinés a engendré des statistiques pertinentes et intéressantes. Tout au long du processus, nous avons comparé les fichiers les uns par rapport aux autres. Cette opération est utile au sein de chaque famille de kit car elle permet de mettre en évidence des modifications entre différentes versions et elle met en lumière l'évolution du kit d'exploitation. Nous avons également comparé tous les fichiers d un kit d'exploitation les uns par rapport aux autres afin de mettre en évidence d'éventuels points communs, comme le montre la carte ci-après : On remarque facilement quel code d un kit provient d'un autre kit ou quel kit a influencé un autre. On l observe particulièrement avec le code d'exploitation Phoenix qui utilise une partie importante de matériel des kits bien plus anciens tels que Fire-Pack et ICE-Pack. FirePackLite et BleedingLife ont également beaucoup de points communs mais seuls SEO Sploit Pack et

8 ElFiesta ont une connexion exclusive. Le reste des échantillons avait des connexions avec plusieurs autres kits. La carte ci-dessous est une extension de cette statistique. Les fichiers similaires ont été ajoutés. Conclusion

9 Au final nous constatons que tout tourne autour de l'argent, comme l'illustrent les images ci-dessus des créateurs de BlackHole. Si un kit d'exploitation devient très populaire, ces créateurs gagnent plus d'argent à travers l'augmentation du volume des ventes. La seule manière pour un kit d'exploitation de devenir populaire dans ce marché très concurrentiel, c'est de pouvoir démontrer un taux d'infection élevé. Par conséquent, les nouveaux arrivants sur le marché de la création de kits d'exploitation utilisent souvent des méthodes existantes qui ont déjà fait leurs preuves ce qui peut expliquer les similitudes entres différents kits. Néanmoins, au vu de l'exposition du sujet des codes d'exploitation, les créateurs des kits d'exploitation doivent tenir compte d'autres éléments tels que la sécurité quand les vulnérabilités au sein du code d'exploitation ont été identifiées. Kaspersky Lab suit de près la situation pour offrir une protection complète et efficace contre ce type de menace.