Kits de Explotación en 2015: Dominan las Vulnerabilidades de Flash, los Sitios Comprometidos y el Malvertising

Las amenazas nunca se detienen, y los kits de explotación no son la excepción. En 2015 esta parte del panorama de amenazas sufrió varios cambios: se agregaron explotaciones recientemente descubiertas, y se utilizaron sitios web comprometidos y malvertising para desplegar y propagar amenazas que utilizaban kits de explotación.

Los kits de explotación formaron parte del panorama de amenazas en 2015. En esta serie de artículos examinaremos el desarrollo de los kits de explotación en 2015, comenzando con nuevas explotaciones que se agregaron así como las nuevas técnicas que se han utilizado en los ataques que utilizan kits de explotación. En una publicación futura, analizaremos los comentarios de nuestros clientes para determinar la escala de los problemas así como mostrar qué países y regiones son los más afectados.

Nuevas Explotaciones: Flash domina

Los kits de explotación necesitan añadir continuamente vulnerabilidades a las que atacar para asegurarse de que sigan siendo potentes, incluso si los usuarios actualizan su software con versiones más recientes. Por lo tanto, no debe de sorprendernos que en 2015 varios kits de explotación atacaran a 17 nuevas vulnerabilidades. De éstas, 14 se parcharon antes de que se utilizaran las explotaciones ampliamente. Las tres restantes se convirtieron en vulnerabilidades de día cero que afectaron a los usuarios antes de que un parche estuviera disponible. Algunas de estas vulnerabilidades se utilizaron primero en ataques dirigidos como Pawn Storm o se filtraron en línea (como las vulnerabilidades de Hacking Team), mientras que otras “se descubrieron” a partir del análisis cuidadoso de los parches.

Lo que es notable sobre este total es el dominio de una sola aplicación – Adobe Flah Player. Trece de las vulnerabilidades eran de esta aplicación. Destaca la importancia de las vulnerabilidades de Flash en el ecosistema del kit de explotación – sin la presencia de Flash, los kits de explotación serían mucho menos poderosos.

Número de CVE Aplicación Vulnerable Fecha Identificada Primer Exploit Kit a Integrar Fecha de Liberación del Parche
CVE-2015-8651 Adobe Flash 2016-01-26 Angler 2015-12-28
CVE-2015-8446 Adobe Flash 2015-12-15 Angler 2015-12-08
CVE-2015-7645 Adobe Flash 2015-10-29 Angler 2015-10-16
CVE-2015-5560 Adobe Flash 2015-08-28 Angler 2015-08-11
CVE-2015-2444 Microsoft Internet Explorer 2015-08-25 Sundown 2015-08-12
CVE-2015-2419 Microsoft Internet Explorer 2015-08-10 Angler 2015-07-22
CVE-2015-1671 Microsoft Silverlight 2015-07-21 Angler 2015-05-12
CVE-2015-5122 Adobe Flash 2015-07-11 Angler 2015-07-14
CVE-2015-5119 Adobe Flash 2015-07-07 Angler 2015-07-08
CVE-2015-3113 Adobe Flash 2015-06-27 Magnitude 2015-06-23
CVE-2015-3104 Adobe Flash 2015-06-17 Angler 2015-06-09
CVE-2015-3105 Adobe Flash 2015-06-16 Magnitude 2015-06-09
CVE-2015-3090 Adobe Flash 2015-05-26 Angler 2015-05-12
CVE-2015-0359 Adobe Flash 2015-04-18 Angler 2015-04-14
CVE-2015-0336 Adobe Flash 2015-03-19 Nuclear 2015-03-12
CVE-2015-0313 Adobe Flash 2015-02-02 HanJuan 2015-02-04
CVE-2015-0311 Adobe Flash 2015-01-20 Angler 2015-01-27
CVE-2015-0310 Adobe Flash 2015-01-15 Angler 2015-01-22

Tabla 1. Explotaciones que se agregaron a los kits de explotación en 2015 (del más reciente al más antiguo por fecha de identificación)

Como lo veremos más adelante, el kit de explotación Angler fue el kit más exitoso de 2015. Regularmente, Angler añade nuevas explotaciones, y como se puede advertir en la tabla, con frecuencia es el primer kit de explotación que ataca a una vulnerabilidad. La siguiente tabla enumera las muchas vulnerabilidades que fueron los nuevos blancos de los kits de explotación en 2015.

Kit de Explotación Aplicación Vulnerabilidad
Angler Flash CVE-2015-8446, CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311, CVE-2015-0310
Internet Explorer CVE-2015-2419
Silverlight CVE-2015-1671
Magnitude Flash CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3105, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0311
Internet Explorer CVE-2015-2419
Silverlight CVE-2015-1671
Nuclear Flash CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311
Internet Explorer CVE-2015-2419
Neutrino Flash CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311
Internet Explorer CVE-2015-2419
Rig Flash CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0311
Internet Explorer CVE-2015-2419
Sundown Flash CVE-2015-0313, CVE-2015-0311
Internet Explorer CVE-2015-2444
Hanjuan Flash CVE-2015-3113

Tabla 2. Explotaciones que se añadieron a los kits en 2015 (por kit de explotación)

Técnicas de Evasión

Una parte común de analizar y detectar los ataques realizados por los kits de explotación es analizar el tráfico de la red que se genera. Para contrarrestar esto, en 2015 los atacantes comenzaron a utilizar la encripción para proteger el tráfico de sus redes.

Y lo hicieron mediante el uso del algoritmo de intercambio de claves Diffie-Hellman con el cual es posible intercambiar claves de encripción entre la víctima y los servidores de los kits de explotación. Eso protege al archivo de explotación contra los productos de seguridad de redes, ya que para los principiantes dichos productos serían incapaces de analizar y detectar cualquier archivo malicioso que se transfiera. De igual forma, los productos que dependen de capturar del tráfico para detectar las actividades relacionadas con las explotaciones también se volverían menos efectivos, pues la repetición del tráfico ya no sería efectiva.

Además de dificultar la detección, estos pasos también le complicarían más la vida a los investigadores que tratan de analizar las actividades de los kits de explotación.

Figura 1. Cómo puede utilizarse el protocolo Diffie-Hellman para intercambiar datos

Sitios de CMS Comprometidos y Malvertising

En 2015, se utilizaron dos métodos principales para dirigir a los usuarios a los kits de explotación: sitios comprometidos y malvertising. Hablemos del primer método.

Los sitios que se han comprometido atacan a los usuarios al dirigir a los visitantes a un sitio separado que contiene el código de kits de explotación. En muchos casos, estos sitios ya están comprometidos debido al software de los sistemas de gestión de contenido (CMS) utilizado para estos servidores.

En noviembre de 2015, dimos a conocer información sobre la campaña ElTest, la cual entregaba ransomware a quienes visitaran sitios comprometidos usando el kit de explotación Angler. La campaña pudo apoderarse de más de 1,500 sitios web para distribuir ransomware. La campaña ElTest normalmente agregaba un objeto SWF a las páginas del sitio que se había comprometido, el cual carga otro archivo de Flash para inyectar un iframe oculto que lleva a los kits de explotación. Todo esto sucede sin el conocimiento del usuario.

ElTest no fue la única campaña que atacaba a sitios web con el fin de comprometerlos. Sin embargo, todas estas campañas tenían características en común: atacaban sitios que corrían CMS’s bastante conocidos como WordPress, Joomla y Drupal. Los sitios afectados estaban utilizando versiones de estos sistemas sin parchar y vulnerables, o add-ons de terceros de amplio uso, lo que resalta lo importante que es mantenerlos actualizados. Esta combinación de factores le permitió a los atacantes afectar a un gran número de sitios y comprometerlos con relativamente poco esfuerzo, poniendo en riesgo a una importante cantidad de usuarios.

FigurA 2. Objecto SWF Insertado (Dé clic para ampliar)

Alternativamente, la publicidad puede utilizarse para llevar a los visitantes a los sitios maliciosos – sin que ellos lo sepan. La gran mayoría de los sitios web dependen de la publicidad para pagar las facturas, pero estos anuncios raramente son administrados por los propietarios del sitio. De hecho, son administrados por redes publicitarias. Si estas redes publicitarias no logran asegurar que todos los compradores de anuncios sean legítimos, los atacantes pueden “comprar” tráfico publicitario y llevarlos a los kits de explotación. Para los dueños de los sitios puede ser muy difícil y eliminar estos ataques, ya que se realizan a través de una red publicitaria, la cual no controlan directamente.

Figura 3. iFrame Invisible que oculta un anuncio malicioso
Figura 4. Anuncio emergente que conduce a los kits de explotación

En 2015 se observó que muchos malvertisers utilizaban anuncios tipo banner o incrustados, o anuncios emergentes, para enviar a la gente a páginas que contenían kits de explotación. Creaban un anuncio falso (o copiaban la imagen de uno legítimo) y agregaban scripts que redirigían a los usuarios a las páginas de kits de explotación en segundo plano, sin que el usuario tuviera que dar clic en algo o que tuviera que ver algo inusual. Por lo tanto, un atacante puede lanzar sus ataques a un gran número de usuarios más rápidamente. Nuestros datos indican que cerca de 88% de los ataques con kits de explotación de diciembre de 2015 estaban relacionados con al malvertising.

  Desde el Malvertising Desde Otras Fuentes
Angler Exploit Kit 89.32% 10.68%
Magnitude Exploit Kit 100% 0%
Neutrino Exploit Kit 39.80% 60.20%
Rig Exploit Kit 85.93% 14.07%
Nuclear Exploit Kit 33.81% 66.19%
Sundown Exploit Kit 100% 0%
Total 88.07% 11.93%

Tabla 4. Distribución del tráfico de kits de explotación por fuente (diciembre de 2015)

Resumen

Los kits de explotación han demostrado ser enormemente poderosos durante años, y 2015 no fue la excepción. Con tal herramienta efectiva no había razón para esperar que se dieran cambios radicales; por el contrario, vimos cambios más evolutivos en la manera en que funcionaban.

Las nuevas vulnerabilidades del software (en particular, Adobe Flash) se integraron rápidamente a los kits de explotación. Ahora la encripción se está utilizando para proteger el tráfico de la red de los kits de explotación, dificultando aún más la detección y el análisis. Los CMS’s comprometidos y los malvertisements se están utilizando para afectar a los usuarios con mayor frecuencia.

Ninguno de éstos son especialmente revolucionarios por sí mismos. Sin embargo, cuando se unen continúan lanzando ataques para hacer a los kits de explotación más efectivos y atractivos para los criminales cibernéticos. ¿Qué tan grande es este problema? Eso es algo que analizaremos en un segundo blog de esta serie.


Posted

in

by

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.