11 октября 2013 г.

Blackhole - один из доминирующих инструментариев автоматизированных атак на хакерском рынке и - увы! - в Сети. Он открыл дорогу целой волне атак через веб-приложения и инфицировал миллионы систем, используя уязвимости в Java, Flash и PDF.

Киберпреступник, создавший автоматизированный инструментарий атак Blackhole (automated attack toolkit), арестован на этой неделе, сообщил Европейский центр излучения киберпреступности (European Cybercrime Centre, ECС). Агентство подтвердило изданию TechWeek Europe во вторник, что правоохранительные органы содержат обвиняемого под стражей.

Blackhole, самый популярный у хакеров инструментарий, был использован для многих атак с финансовой мотивацией, нацеленных на организации и отдельных людей. Blackhole продавался на нелегальных хакерских форумах по подписке, включавшей периодические обновления, в которые входили последние обнаруженные уязвимости, в том числе нацеленные на слабые места Java, ошибки кодирования у Adobe и дефекты Microsoft. Данный инструментарий часто одним из первых получал обновления после очередного выпуска «заплат» вендорами ПО.

Российский след?

Эксперты ИТ-безопасности полагают, что создателем инструментария Blackhole, впервые обнаруженного в 2011 году, является российский разработчик ПО, использующий псевдоним «Paunch». От властей пока не поступило официального сообщения о его аресте.

Стоимость подписки на данный инструментарий составляла около 500 долл. в месяц либо 50 долл. в день. Впервые он был предложен как бесплатная версия в 2011 году. Изучение данного пакета показало, что он по-прежнему остается самым популярным, но на рынке появились и другие. Некоторые вендоры ИБ говорят, что Blackhole пришел в упадок. Фирма AVG, специализирующаяся на ИТ-безопасности, в настоящее время ставит Blackhole на 24-е место в мире в списке активного вредоносного ПО. По ее оценке, данный инструментарий затрагивает свыше 36 тыс. вебсайтов в 218 странах.

Прицел на слабые места вебсайтов

Те, кто приобрел инструментарий Blackhole, нацеливаются  на уязвимые вебсайты и веб-приложения. Среди широко используемых методов - инъекции кода SQL и межсайтовый скриптинг. Blackhole использует злонамеренный код JavaScript, загружая iFrame внутри HTML-кода на страницу, и скрытно сканирует системы посетителей на наличие дефектов ПО, которые можно легко использовать. Найденный дефект автоматически запускает атаку, в ходе которой на систему жертвы помещается загрузчик вредоносного ПО.

Осторожно! Вредоносная ссылка!

Жертвы инструментария Blackhole обычно перенаправляются «на нужные ресурсы» посредством спамовых сообщений, содержащих злонамеренную ссылку или инфицированную рекламу. Посещение взломанных сайтов - часто вполне законных - также может вести к инфицированию как результату работы автоматизированного инструментария. Его цель - широко распространиться, инфицируя как можно больше жертв.

Zeus и SpyEye использовали Blackhole

Blackhole отчасти способствовал распространению Zeus и SpyEye - двух близкородственных троянских семейств, нацеленных на банковскую сферу, посредством которых были украдены сведения о миллионах владельцев банковских счетов. Этот инструментарий использовался для создания атакующих вебсайтов. Через спам жертвы перенаправлялись на атакующий вебсайт, где Blackhole использовал уязвимости в Adobe Reader, Flash- и Java-плагинах браузера. Blackhole не загружал исполняемый модуль Zeus напрямую, а устанавливал крохотный загрузчик, который извлекал Zeus с дополнительного вебсайта, сообщает исследование Dell SecureWorks.

Эксплойты в Java, Flash и PDF

По оценке недавнего исследования, неисправленные установки Java были причиной 60% успешных атак с использованием Blackhole. В январе исследователи обнаружили, что инструментарий нацелен на только что выявленную уязвимость Java, но обычно автоматизированные средства атак ориентированы на старые эксплойты. Blackhole постоянно меняется, но исследователи считают, что у него на прицеле как минимум три или более уязвимостей в Java.

Было также найдено, что инструментарий использует пять или более уязвимостей PDF-документов и помогает использовать слабые места файлов Adobe Flash. 30% образцов вредоносного кода, проанализированных поставщиком услуг управления ИТ-безопасностью Solutionary, задействуют Blackhole. Инструментарий, подобный Blackhole, работает столь успешно, потому что пользователи не спешат установить обновления средств защиты систем и компонентов браузера, указывает Solutionary.

Метод - перенаправление трафика

Успех инструментария Blackhole целиком построен на перенаправлении трафика на вредоносный ресурс, как показывает исследование, которое провел Фрейзер Ховард из фирмы Sophos. Также, этот инструментарий постоянно меняется, он проходит незамеченным через URL-фильтры, IDS и другие системы защиты. Кроме того, Blackhole имеет вполне конкурентоспособную цену и весьма одобрительно воспринимается на хакерских форумах за наличие поддержки и постоянные обновления, пишет Ховард. В то же время, указывает он, централизованный подход, используемый для поддержания контроля за Blackhole, может оказаться его слабым местом и позволит правоохранительным органам заблокировать его деятельность или существенно ее ограничить.

Наибольшая распространенность - в США и России

По данным Sophos, большинство взломанных сайтов, через которые действует Blackhole, имеют прописку в США или в России. Атакующие часто регистрируют .com-домен и могут превратить его в платформу для атаки за 24 часа. «Сайты, где базируется Blackhole, быстро меняются», - пишет Sophos. Кроме того, киберпреступники взламывают Web-серверы, обслуживающие законные сайты, «заряжая» их вредоносным кодом, который запускает скрытую атаку, когда пользователи посещают инфицированную веб-страницу.

Как защитить сеть?

Эксперты ИБ подсказывают различные технологии, обеспечивающие защиту от автоматизированного инструментария атак. Системы предотвращения вторжений (IPS) обнаруживают и блокируют начатую атаку. Также  могут быть встроены средства упреждающего мониторинга сети и новостные ленты анализа угроз (threat intelligence feeds), чтобы обеспечить защиту от самых последних эксплойтов и блокировать связанные с ними потенциально вредоносные IP-адреса. Конечным пользователям следует иметь новейшее ПО защиты точек подключения к сети (endpoint security). Полезно также применять фильтрацию веб-контента, чтобы обнаруживать деятельность ботнетов, выявляя побочный трафик.

Защита вебсайтов

Следует регулярно сканировать вебсайты на предмет уязвимости веб-приложений и других слабых мест, которые могут быть найдены и использованы автоматизированным инструментарием атак. Межсетевой экран может защитить веб-приложения от атак и использоваться для установки виртуальных заплат, помогающих защититься  от проникновения без установки официального патча.

На очереди - премиум-инструментарий

Автору Blackhole приписывают также создание пакета Cool Exploit Kit - расширенного инструментария атак, который, по слухам, вначале стоил 10 тыс. долл. в месяц. Он был предложен в январе и рекламировался как использующий самые ценные (для хакеров) эксплойты, нацеленные на уязвимости «нулевого дня». Анализ этого инструментария, проведенный специалистами Microsoft в мае, обнаружил в нем шесть эксплойтов, в том числе одну Java-уязвимость «нулевого дня» на тот момент. Считается также, что Cool Kit способствовал росту числа программ, требующих выкупа (ransomware).

© 2013. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com.  Reprinted with permission.

Источник: Роберт Уэстервельт, CRN/США