Las amenazas nunca se detienen, y los kits de explotación no son la excepción. En 2015 esta parte del panorama de amenazas sufrió varios cambios: se agregaron explotaciones recientemente descubiertas, y se utilizaron sitios web comprometidos y malvertising para desplegar y propagar amenazas que utilizaban kits de explotación.
Los kits de explotación formaron parte del panorama de amenazas en 2015. En esta serie de artículos examinaremos el desarrollo de los kits de explotación en 2015, comenzando con nuevas explotaciones que se agregaron así como las nuevas técnicas que se han utilizado en los ataques que utilizan kits de explotación. En una publicación futura, analizaremos los comentarios de nuestros clientes para determinar la escala de los problemas así como mostrar qué países y regiones son los más afectados.
Nuevas Explotaciones: Flash domina
Los kits de explotación necesitan añadir continuamente vulnerabilidades a las que atacar para asegurarse de que sigan siendo potentes, incluso si los usuarios actualizan su software con versiones más recientes. Por lo tanto, no debe de sorprendernos que en 2015 varios kits de explotación atacaran a 17 nuevas vulnerabilidades. De éstas, 14 se parcharon antes de que se utilizaran las explotaciones ampliamente. Las tres restantes se convirtieron en vulnerabilidades de día cero que afectaron a los usuarios antes de que un parche estuviera disponible. Algunas de estas vulnerabilidades se utilizaron primero en ataques dirigidos como Pawn Storm o se filtraron en línea (como las vulnerabilidades de Hacking Team), mientras que otras “se descubrieron” a partir del análisis cuidadoso de los parches.
Lo que es notable sobre este total es el dominio de una sola aplicación – Adobe Flah Player. Trece de las vulnerabilidades eran de esta aplicación. Destaca la importancia de las vulnerabilidades de Flash en el ecosistema del kit de explotación – sin la presencia de Flash, los kits de explotación serían mucho menos poderosos.
| Número de CVE | Aplicación Vulnerable | Fecha Identificada | Primer Exploit Kit a Integrar | Fecha de Liberación del Parche |
| CVE-2015-8651 | Adobe Flash | 2016-01-26 | Angler | 2015-12-28 |
| CVE-2015-8446 | Adobe Flash | 2015-12-15 | Angler | 2015-12-08 |
| CVE-2015-7645 | Adobe Flash | 2015-10-29 | Angler | 2015-10-16 |
| CVE-2015-5560 | Adobe Flash | 2015-08-28 | Angler | 2015-08-11 |
| CVE-2015-2444 | Microsoft Internet Explorer | 2015-08-25 | Sundown | 2015-08-12 |
| CVE-2015-2419 | Microsoft Internet Explorer | 2015-08-10 | Angler | 2015-07-22 |
| CVE-2015-1671 | Microsoft Silverlight | 2015-07-21 | Angler | 2015-05-12 |
| CVE-2015-5122 | Adobe Flash | 2015-07-11 | Angler | 2015-07-14 |
| CVE-2015-5119 | Adobe Flash | 2015-07-07 | Angler | 2015-07-08 |
| CVE-2015-3113 | Adobe Flash | 2015-06-27 | Magnitude | 2015-06-23 |
| CVE-2015-3104 | Adobe Flash | 2015-06-17 | Angler | 2015-06-09 |
| CVE-2015-3105 | Adobe Flash | 2015-06-16 | Magnitude | 2015-06-09 |
| CVE-2015-3090 | Adobe Flash | 2015-05-26 | Angler | 2015-05-12 |
| CVE-2015-0359 | Adobe Flash | 2015-04-18 | Angler | 2015-04-14 |
| CVE-2015-0336 | Adobe Flash | 2015-03-19 | Nuclear | 2015-03-12 |
| CVE-2015-0313 | Adobe Flash | 2015-02-02 | HanJuan | 2015-02-04 |
| CVE-2015-0311 | Adobe Flash | 2015-01-20 | Angler | 2015-01-27 |
| CVE-2015-0310 | Adobe Flash | 2015-01-15 | Angler | 2015-01-22 |
Tabla 1. Explotaciones que se agregaron a los kits de explotación en 2015 (del más reciente al más antiguo por fecha de identificación)
Como lo veremos más adelante, el kit de explotación Angler fue el kit más exitoso de 2015. Regularmente, Angler añade nuevas explotaciones, y como se puede advertir en la tabla, con frecuencia es el primer kit de explotación que ataca a una vulnerabilidad. La siguiente tabla enumera las muchas vulnerabilidades que fueron los nuevos blancos de los kits de explotación en 2015.
| Kit de Explotación | Aplicación | Vulnerabilidad |
| Angler | Flash | CVE-2015-8446, CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311, CVE-2015-0310 |
| Internet Explorer | CVE-2015-2419 | |
| Silverlight | CVE-2015-1671 | |
| Magnitude | Flash | CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3105, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Silverlight | CVE-2015-1671 | |
| Nuclear | Flash | CVE-2015-7645, CVE-2015-5560, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3104, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Neutrino | Flash | CVE-2015-7645, CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0336, CVE-2015-0313, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Rig | Flash | CVE-2015-5122, CVE-2015-5119, CVE-2015-3113, CVE-2015-3090, CVE-2015-0359, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2419 | |
| Sundown | Flash | CVE-2015-0313, CVE-2015-0311 |
| Internet Explorer | CVE-2015-2444 | |
| Hanjuan | Flash | CVE-2015-3113 |
Tabla 2. Explotaciones que se añadieron a los kits en 2015 (por kit de explotación)
Técnicas de Evasión
Una parte común de analizar y detectar los ataques realizados por los kits de explotación es analizar el tráfico de la red que se genera. Para contrarrestar esto, en 2015 los atacantes comenzaron a utilizar la encripción para proteger el tráfico de sus redes.
Y lo hicieron mediante el uso del algoritmo de intercambio de claves Diffie-Hellman con el cual es posible intercambiar claves de encripción entre la víctima y los servidores de los kits de explotación. Eso protege al archivo de explotación contra los productos de seguridad de redes, ya que para los principiantes dichos productos serían incapaces de analizar y detectar cualquier archivo malicioso que se transfiera. De igual forma, los productos que dependen de capturar del tráfico para detectar las actividades relacionadas con las explotaciones también se volverían menos efectivos, pues la repetición del tráfico ya no sería efectiva.
Además de dificultar la detección, estos pasos también le complicarían más la vida a los investigadores que tratan de analizar las actividades de los kits de explotación.
Sitios de CMS Comprometidos y Malvertising
En 2015, se utilizaron dos métodos principales para dirigir a los usuarios a los kits de explotación: sitios comprometidos y malvertising. Hablemos del primer método.
Los sitios que se han comprometido atacan a los usuarios al dirigir a los visitantes a un sitio separado que contiene el código de kits de explotación. En muchos casos, estos sitios ya están comprometidos debido al software de los sistemas de gestión de contenido (CMS) utilizado para estos servidores.
En noviembre de 2015, dimos a conocer información sobre la campaña ElTest, la cual entregaba ransomware a quienes visitaran sitios comprometidos usando el kit de explotación Angler. La campaña pudo apoderarse de más de 1,500 sitios web para distribuir ransomware. La campaña ElTest normalmente agregaba un objeto SWF a las páginas del sitio que se había comprometido, el cual carga otro archivo de Flash para inyectar un iframe oculto que lleva a los kits de explotación. Todo esto sucede sin el conocimiento del usuario.
ElTest no fue la única campaña que atacaba a sitios web con el fin de comprometerlos. Sin embargo, todas estas campañas tenían características en común: atacaban sitios que corrían CMS’s bastante conocidos como WordPress, Joomla y Drupal. Los sitios afectados estaban utilizando versiones de estos sistemas sin parchar y vulnerables, o add-ons de terceros de amplio uso, lo que resalta lo importante que es mantenerlos actualizados. Esta combinación de factores le permitió a los atacantes afectar a un gran número de sitios y comprometerlos con relativamente poco esfuerzo, poniendo en riesgo a una importante cantidad de usuarios.
Alternativamente, la publicidad puede utilizarse para llevar a los visitantes a los sitios maliciosos – sin que ellos lo sepan. La gran mayoría de los sitios web dependen de la publicidad para pagar las facturas, pero estos anuncios raramente son administrados por los propietarios del sitio. De hecho, son administrados por redes publicitarias. Si estas redes publicitarias no logran asegurar que todos los compradores de anuncios sean legítimos, los atacantes pueden “comprar” tráfico publicitario y llevarlos a los kits de explotación. Para los dueños de los sitios puede ser muy difícil y eliminar estos ataques, ya que se realizan a través de una red publicitaria, la cual no controlan directamente.
En 2015 se observó que muchos malvertisers utilizaban anuncios tipo banner o incrustados, o anuncios emergentes, para enviar a la gente a páginas que contenían kits de explotación. Creaban un anuncio falso (o copiaban la imagen de uno legítimo) y agregaban scripts que redirigían a los usuarios a las páginas de kits de explotación en segundo plano, sin que el usuario tuviera que dar clic en algo o que tuviera que ver algo inusual. Por lo tanto, un atacante puede lanzar sus ataques a un gran número de usuarios más rápidamente. Nuestros datos indican que cerca de 88% de los ataques con kits de explotación de diciembre de 2015 estaban relacionados con al malvertising.
| Desde el Malvertising | Desde Otras Fuentes | |
| Angler Exploit Kit | 89.32% | 10.68% |
| Magnitude Exploit Kit | 100% | 0% |
| Neutrino Exploit Kit | 39.80% | 60.20% |
| Rig Exploit Kit | 85.93% | 14.07% |
| Nuclear Exploit Kit | 33.81% | 66.19% |
| Sundown Exploit Kit | 100% | 0% |
| Total | 88.07% | 11.93% |
Tabla 4. Distribución del tráfico de kits de explotación por fuente (diciembre de 2015)
Resumen
Los kits de explotación han demostrado ser enormemente poderosos durante años, y 2015 no fue la excepción. Con tal herramienta efectiva no había razón para esperar que se dieran cambios radicales; por el contrario, vimos cambios más evolutivos en la manera en que funcionaban.
Las nuevas vulnerabilidades del software (en particular, Adobe Flash) se integraron rápidamente a los kits de explotación. Ahora la encripción se está utilizando para proteger el tráfico de la red de los kits de explotación, dificultando aún más la detección y el análisis. Los CMS’s comprometidos y los malvertisements se están utilizando para afectar a los usuarios con mayor frecuencia.
Ninguno de éstos son especialmente revolucionarios por sí mismos. Sin embargo, cuando se unen continúan lanzando ataques para hacer a los kits de explotación más efectivos y atractivos para los criminales cibernéticos. ¿Qué tan grande es este problema? Eso es algo que analizaremos en un segundo blog de esta serie.
Leave a Reply