Evolution von Exploit Kits

Transcrição

Trend Micro Forschungsbericht
Vergangene Trends und aktuelle Verbesserungen
Autoren: Joseph C. Chen und Brooks Li
Trend Micro | Evolution von Exploit Kits
Inhalt
Einleitung3
Exploit Kit-Angriffsszenario
3
Kontakt3
Umleitung4
Exploit und Infektion
4
Evolution der Exploit Kits
4
Frühe Versionen
4
Weiterentwicklung5
Aktuelle Trends bei Exploit Kits
5
Top Exploit Kits
5
Top Ziele
6
Verwendete Exploits
6
Umgehungstechniken: Entdecken von Antivirus-/Virtualisierungsprodukten
6
Umgehungstechniken: Dateiverschleierung
7
Exploit Kits in 2015
8
Lösungen von Trend Micro
8
Anhang9
Referenzen10
Trend Micro Forschungsbericht | 2
Einleitung
Ein Exploit Kit, oder auch Exploit Pack genannt,
ist eine Art von Hacking Toolkit, die sich in den
letzten Jahren wachsender Beliebtheit bei
Cyberkriminellen erfreut, dient sie doch als Mittel,
um Schadsoftware über webbasierte Angriffe zu
verbreiten. Es wurden mehrere Kits entwickelt
und im Untergrundmarkt als kommerzielle
Produkte verkauft oder vermietet. Das erste
Toolkit dieser Art wurde 2006 im CrimewareMarkt entdeckt. [18]
Ein typisches Exploit Kit bietet normalerweise
eine Managementkonsole, eine Reihe von
Schwachstellen für verschiedene Anwendungen
und mehrere Add-on-Funktionen, die es
Cyberkriminellen erleichtern, einen Angriff zu
starten. Die steigende Nachfrage nach Exploit
Kits in den Untergrundmärkten führte dazu, dass
die Entwickler die Effizienz ihrer Produkte und
Verschleierungstechniken verbesserten. Derzeit
sind 70 verschiedene Exploit Kits im Umlauf, die
mehr als hundert Schwachstellen ausnützen.
Dieses Whitepaper zeigt auf, was ein Exploit Kit
kann, wie es funktioniert, und wie sich die Kits mit
der Zeit verändert haben.
CONTACT
REDIRECT
Normal
Website
Malicious
Advertisement
Compromised
Website
Traffic Direction
System
Spammed
Link
Bild 1. Vier Phasen einer Exploit Kit-Infektionskette
Angriffs-Szenario
mit Exploit Kit
Ein Erfolgsfaktor der Exploit Kits besteht in der
Tatsache, dass viele ihrer Routinen automatisch
ausgeführt werden. Als Illustration dessen
haben die Bedrohungsforscher ein typisches
Angriffsszenario in seine einzelnen Phasen
zerlegt und zeigen auf, wie diese funktionieren.
Kontakt
Mit dem Kontakt beginnt die Infektion. Der
Angreifer versucht, potenzielle Opfer dazu zu
verführen, einem Link zu folgen, der zum Exploit
Kit-Server führt. Der Kontakt wird häufig über
Spam-Mails hergestellt, wobei die Empfänger
über Social Engineering-Köder dazu gebracht
werden sollen, einen Link anzuklicken. [2]
Des Weiteren werden häufig auch kompromittierte
Websites als Kontaktpfad eingesetzt. Angreifer
fügen dort bösartigen Code ein, der dann die SiteBesucher zum Exploit Kit umleitet.
EXPLOIT
INFECT
Ransomware
Exploit
Server Kit
Banking
Trojan
Malware
Malvertisement stellt eine andere Form fortgeschrittener Angriffe dar, wobei hier die WebWerbung die Besucher zum Exploit Kit-Server
weiterleitet. [3, 4] Diese Technik macht jede
Website, die die bösartige Werbung anzeigt,
zum möglichen Infektionsvektor.
Umleitung
Ein Verkehrsumleitungssystem (Traffic Redirect
System) bezeichnet die Fähigkeit, mithilfe deren
der Exploit Kit-Anwender seine Opfer auf Basis
bestimmter Bedingungen screenen kann. Diese
Aufgabe übernehmen Traffic Direct Systems, wie
SutraTDS oder KeitaroTDS, die den umgeleiteten
Verkehr filtern oder aggregieren, bevor der Zugriff
auf den Exploit Kit-Server erfolgt. [5] Die Quelle
der Verkehrsumleitung wird nicht immer direkt
vom Exploit Kit-Anwender verwaltet, sondern
auch vom Verkehrs-Provider, der den Verkehr im
Untergrundmarkt verkauft. Der Traffic Subscriber,
in diesem Fall der Exploit Kit-Anwender, kann
sein Ziel angeben und die Opfer ausfiltern, die
bestimmten Anforderungen nicht genügen.
Beispielsweise könnte ein Exploit Kit-Anwender
ein bestimmtes Land anvisieren, indem er Client
IP-Adressen nach Ortung filtert.
Exploit und infizieren
Sobald Nutzer in der Kontakt-Phase dazu
gebracht worden sind, einen Link zum Exploit
Kit-Server anzuklicken, dann nach bestimmten
Kriterien überprüft worden sind, werden sie auf
die Landing Page des Exploit Kits weitergeleitet.
Diese Seite führt das Profiling der ClientUmgebung durch und entscheidet, welche
Sicherheitslücken für den Angriff genutzt werden
sollen. Wenn die angreifbaren Anwendungen
feststehen, schickt die Seite Anfragen an den
Exploit Kit-Server, um Dateien herunterzuladen,
die die Anwendungen angreifen. Die in Web
Browsern, Java™, Adobe® Flash® Player und
Adobe Acrobat® sowie Reader® gefundenen
Sicherheitslücken werden von Exploit Kits am
häufigsten anvisiert. Ist die Sicherheitslücke
erfolgreich missbraucht worden, kann der
Angreifer Schadsoftware herunterladen und in
der Umgebung des Opfers ausführen. In Exploit
Kit-Angriffen wird verschiedene Schadsoftware
heruntergeladen, wobei am häufigsten Online
Banking Malware [6] und Ransomware eingesetzt wird. [7]
Frühe Versionen
Der erste Exploit Kit-Angriff wurde 2006 entdeckt
und nutzte das WebAttacker Kit. Es war das erste
Exploit Kit, das im russischen Untergrundmarkt
gefunden wurde. [1] Das Angebot umfasste auch
technischem Support und kostete 20 Dollar. Der
Umleitungslink von WebAttacker wurde über Spam
und kompromittierte Websites verbreitet. Das Kit
hatte mehrere Sicherheitslücken in Microsoft™
Windows®, Mozilla Firefox® und Java-Anwendungen
im Visier, um die Schadsoftware zu streuen.
Das zweite Exploit Kit, Mpack, wurde von drei
russischen Programmierern Mitte 2006 entwickelt.
Die erste komplette Version erschien im Dezember
desselben Jahres und kostete 1000 Dollar. Im
Vergleich zu WebAttacker bot das Control Panel
von Mpack detailliertere Daten zu den Opfern, wie
etwa deren Standort. Mehr als 3000 kompromittierte
Websites enthielten Umleitungslinks von Mpack.
Auch 2007 wurden mehrere Exploit Kits in den
Untergrundmärkten veröffentlicht. [8]
Dies waren NeoSploit, [9] Phoenix, Tornado und
Armitage Exploit Kits, doch wurde Mpack als
die größte Bedrohung in jenem Jahr gesehen.
[7] EL Fiesta, AdPack und FirePack Exploit Kits
erschienen 2008 und das berüchtigte Blackhole
Exploit Kit 2010 [2]. Der Erfolg dieser frühen Exploit
Kits führte zur weiteren Erstellung von Kits.
Bild 2 zeigt die Zahl der aktiven Exploit Kits und
die seit 2006 in jedem Jahr neu entdeckten. Von
2006 an zeigte die Richtung immer nach oben bis
2013, wobei allein in 2012 20 neue Kits entdeckt
wurden. 2013 gingen die Zahlen etwas zurück
und 2014 zeigte die Richtung steil nach unten.
Auch die Zahl der aktiven Kits ging 2014 zurück.
Die Verhaftung von Paunch, Autor des
Blackhole Exploit Kit, im Oktober 2013 könnte
The Timeline Record of Exploit Kits
30
28
26
16
20
15
13
13
11
6
2
0
7
11
6
5
2
2006
14
5
3
2007
2008
3
2009
Number of Active Exploit Kit
2010
2011
2012
2013
2014
Number of New Released Exploit Kit
Bild 2. Die Entwicklung der Exploit Kits über die Jahre hinweg
Aktuelle Trends bei Exploit Kits
ein eindeutiges Signal an den Untergrundmarkt
gewesen sein, glaubt man den Zahlen. Blackhole
war 2012 und 2013 das am meisten genutzte
Top Exploit Kits
Exploit Kit und bedeutete eine ernsthafte
Bedrohung für die Nutzer.
Das Blackhole Exploit Kit rückte mehr in den Hintergrund, als sein Autor Pauch verhaftet wurde. Stattdessen entstanden mehrere Exploit Kits, die seinen
Platz im Scheinwerferlicht einnahmen. Bild 3 zeigt
Evolution
die Verteilung der Exploit Kit-Angriffe in 2014.
SweetOrange, ein Kit, das in Malvertisement-AngrifTrotz des Rückgangs der Aktivitäten hat sich fen zur Verteilung von Ransomware vewendet
die Bedrohung, die von Exploit Kits ausgeht, wurde [9], beherrschte 35% des Untergrundmarkts.
nicht geändert. Mehrere Kits wurden 2014
Das Angler Exploit Kit nahm den zweiten Platz ein
noch genutzt, so etwa EL Fiesta, Nuclear,
und rangiert heute noch unter den aktivsten Kits.
SweetOrange, [4] Styx, [10] FlashPack, [11]
Neutrino, Magnitude, [12] Angler und Rig.
EL Fiesta ist die 2013 entdeckte neuere
Version von NeoSploit. Nuclear wurde 2010
entdeckt, doch 2013 gab es ein Upgrade
auf die Version 3 mit neuen Exploits.
SweetOrange, Styx und FlashPack wurden
2012 zuerst in Angriffen verwendet. Neutrino,
Magnitude und Angler wurden 2013 entdeckt;
Rig wiederum im April 2014.
Bild 3. Verteilung der Exploit Kit-Angriffe
Top Ziele
ein Major Security Bulletin veröffentlicht hatte,
das eine erhebliche Verbesserung bezüglich
Bezüglich der Auswirkungen ist die USA am
der Schließung der UAF (User After Free)stärksten betroffen, weil das Land Ziel von fast
Sicherheitslücke beinhaltete. [13] Daraufhin gab
60% der Angriffe über Exploit Kits war (siehe Bild 4) es nur noch einen Internet Explorer Exploit in
Exploit Kits, CVE-2014-6332, und auch hier kam
sofort ein Patch von Microsoft. Diese Änderung
scheint die Angreifer hin zu Adobe Flash Player
getrieben zu haben, der bald das Hauptziel
darstellte. Die folgenden Exploits wurden
daraufhin in Exploit Kits entdeckt: CVE-20140497, CVE-2014-0515, CVE-2014-0569, CVE2014-8439, CVE-2015-0311 und CVE- 2015-0313
Bild 4. Die zehn am meisten angegriffenen
Länder in 2014
Umgehungstechniken: Erkennen
von Antivirus-/VirtualisierungsProdukten
Verwendete Exploits
Exploit Kits erhielten eine neue Funktionalität
zum Erkennen installierter Sicherheitssoftware.
Das bedeutet, dass das Exploit Kit die
eigene Ausführung stoppt, wenn bestimmte
Sicherheitsprodukte auf dem System installiert
sind. Es geht hier sowohl um Antiviruslösungen
als auch um Schutzsoftware für virtuelle
Maschinen.
Die Effizienz von Exploit Kits hängt vom eingesetzten Exploit ab. Ein Exploit für eine neue
Schwachstelle kann zu mehreren Schadsoftwareinfektionen führen, weil die Lücke voraussichtlich
von den Anwendern erst später gepatcht wird.
Das aber bedeutet, dass die Besitzer von
Exploit Kits ihre Exploits ständig aktualisieren
müssen, damit die Infektionsrate hoch bleibt.
Infektionsraten sind wichtig für die Entwickler von
Exploit Kits, weil sie als Schlüsselfähigkeit gelten.
Entwickler nutzen sie, um die Zuverlässigkeit
ihres Produkts zu demonstrieren und damit mehr
Geschäft zu machen.
Exploit Kit
Angler
Evasion Target
(Anti-Virus or
Virtualization
Software)
Kaspersky
Nuclear
Kaspersky
Rig
Styx
Kaspersky
Kaspersky
Trend Micro Trend Micro Trend Micro Trend Micro
VMWare
VirtualBox
Parallels
Desktop
Es wurden seit 2006 mehr als hundert Sicherheitslücken in Exploit Kits integriert, und
diese umfassen mehr als zehn verschiedene
Anwendungen.
Tabelle 2.
Anti-Virus Products Detected in Exploit Kits
Adobe Reader- und Java-Exploits waren 2008
beliebte Ziele. Java-Exploits waren 2013 die am
meisten genutzten. Doch seit 2014 wurden PDF
Reader- und Java-Sicherheitslücken in Exploit
Kits nicht mehr aktualisiert. Stattdessen nutzten
seit Ende 2013 und im Jahr 2014 fünf Exploit
Kits Microsoft Silverlight [11, 12], und machten
den Browser zum Top-Ziel von Exploit Kits.
Auch Internet Explorer® Exploits gelten als ein
Hauptangriffsvektoren.
Die Dinge änderten sich, nachdem Microsoft
Die Erkennung wird über eine Sicherheitslücke
in Internet Explorer (CVE-2013-7331) möglich.
Darüber können Angreifer nach Dateien und
Ordner auf einem betroffenen System suchen.
Die Sicherheitslücke wurde bereits im Februar
2014 an Microsoft gemeldet, doch erst im
September gab es einen Patch dafür (als Teil von
MS14-052). Folgender Code stellt ein Beispiel für
die Suche nach Antivirusprodukten dar:
Nuclear
Internet
Explorer
CVE-20132551
Sweet
Orange
FlashPack
CVE-20132551
CVE-20132551
CVE-20140322
CVE-20133918
CVE-20146332
CVE-20140322
Rig
Angler
CVE-20132551
CVE-20132551
CVE-20130074
CVE-20130074
Magnitude
CVE-20132551
EL Fiesta
CVE-20132551
CVE-20132551
CVE-20130074
CVE-20130074
CVE-20140497
CVE-20140515
Microsoft
Silverlight
CVE-20130074
Adobe Flash
Player
CVE-20140515
CVE-20140515
CVE-20130634
CVE-20140569
CVE-20140515
CVE-20140569
CVE-20140569
CVE-20140497
CVE-20150311
CVE-20140569
CVE-20140569
CVE-20150311
CVE-20150311
CVE-20148439
CVE-20140515
CVE-20150311
CVE-20140569
Adobe
Acrobat/
Reader
CVE-20100188
Oracle Java
CVE-20120507
CVE-20100188
CVE-20132460
CVE-20132465
CVE-20132471
XMLDOM
ActiveX
CVE-20140515
Styx
CVE-20137331
CVE-20120507
CVE-20142465
CVE-20137331
CVE-20137331
CVE-20137331
Tabelle 1. Sicherheitslücken, die 2014 in Exploit Kit-Angriffen verwendet wurden
nutzen immer wieder verschiedene Techniken,
um ihre Exploit-Datei zu verschleiern. 2014
kamen neue Techniken hinzu. So entdeckten die
Bedrohungsforscher, dass Angreifer legitime Tools
für die Verschleierung ihrer Dateien einsetzten.
Umgehungstechnken:
Dateiverschleierung
Das Angler Exploit Kit etwa nutzt jetzt das
Pack200-Format, um Java-Exploits zu
verschleiern. Pack200 ist das von Sun entwickelte
Archivformat für die Komprimierung von JARDateien. Das Tool zur Dekomprimierung
dieser verschleierten Dateien gibt es im
Original-Java Development Kit. Doch nicht alle
Sicherheitsprodukte können diese Formate
vollständig unterstützen, sodass die Entdeckung
manchmal vermieden werden kann.
Verschleierung ist eine in verschiedenen Angriffen
häufig angewendete Technik, die verhindern soll,
dass eine bösartige Payload entdeckt wird. Das
Aussehen der Payload wird verändert und bei
der Ausführung wiederhergestellt. Exploit Kits
Ein weiteres Beispiel ist die Technik, die
FlashPack- und Magnitude-Exploit Kits für Flash
Player Exploits nutzen. Sie verstecken ihre
Dateien mithilfe eines öffentlich erhältlichen Tools
namens DoSWF. Mit dem Werkzeug können
Bild 5. Beispielcode von CVE-2013-7331 bei
der Suche nach Antivirus-Software
Hanjuan
CVE-20150313
Entwickler die Inhalte des ActionScripts ihrer
Flash-Dateien vor dem Kopieren schützen. Leider
schützt dies auch vor der Entdeckung durch
Sicherheitssoftware. Neben der Verschleierung
von Landing Pages und Exploit-Dateien können
die meisten Exploit Kits nun auch ihre Payload
bzw. Schadsoftware verschleiern. Das heißt, die
Payload kann verschlüsselt in einem Stream über
das Internet übermittelt werden. So lässt sich
die Payload bzw. Schadsoftware eines Exploit
Kits unbemerkt auf die Maschine eines Opfers
bringen, denn sie sieht im Netzwerkverkehr nicht
wie eine ausführbare Datei aus. Daher ist die
ausführbare Datei weder am „MZ Magic Code“
am Dateianfang (.EXE Datei) noch generell
als Portable Executable (PE Datei) erkennbar.
Das Exploit Kit entschlüsselt mit Shellcode die
Payload im Hauptspeicher erst nachdem sie auf
die Maschine des Opfers heruntergeladen wurde.
Bild 6 zeigt sowohl das Erscheinungsbild der
Payload im Netzwerkverkehr als auch nach der
Entschlüsselung. Das Verschlüsseln kann die
Entdeckung durch die meisten signaturbasierten
IDS/IPS-Systeme verhindern. Nach dem
Entschlüsseln legen einige Exploit Kits die
Payload auf Festplatte ab. Doch Angler und
Hanjuan Exploit Kits schreiben ihre Payload
nicht auf Festplatte sondern lassen sie direkt
im Hauptspeicher ablaufen, um den Antivirus
Scan auf einem Dateisystem zu umgehen.
Diese Technik nennt man dateilose Infektion.
Die Tabelle zeigt, welche Exploit Kits PayloadVerschlüsselung nutzen und welche dateilose
Infektion.
Payload (PE)
Encryption
Fileless
Infection
FlashPack
✘
✘
Rig
✔
✘
Magnitude
✔
✘
Nuclear
✔
✘
EL Fiesta
✔
✘
Angler
✔
✔
SweetOrange
✘
✘
GongDa
✘
✘
Styx
✘
✘
Hanjua
✔
✔
Tabelle 3. Payload Evasion Summary
Exploit Kits 2015
Exploit Kits stellen mittlerweile die in
Untergrundmärkten die am meisten verbreitete
Art des Webangriffswerkzeugs dar. In diesem
Jahr sind noch mehr diesbezügliche Aktivitäten zu
erwarten. Bereits in den ersten beiden Monaten
2015 gab es zwei Adobe Flash Player ZeroDay-Sicherheitslücken (CVE- 2015-0311 [14]
und CVE-2015-0313 [15]), die von Exploit Kits
anvisiert wurden. Exploit Kits umfassen häufig
Zero-Day Exploits, und die Bedrohungsforscher
sehen darin einen Trend für 2015. Infolge der
Zero-Day Exploits werden Exploit Kits zu einer
viel ernsteren Bedrohung, denn die PayloadLieferung wird damit automatisiert und kann noch
mehr Anwender in kürzerer Zeit treffen.
Trend Micro-Lösungen
Exploit Kits stellen eine Mehrkomponenten-Bedrohung dar, deren Abwehr auch einer Lösung aus
mehreren Komponenten bedarf. Anwender benötigen eine Sicherheitsstrategie, die den Schutz
vor allen Bedrohungskomponenten einschließt.
Verhaltensbasierte Lösungen folgen Routinen,
die in Exploits gefunden wurden und blockieren
sie proaktiv. Damit können diese Lösungen als
Hauptabwehr gegen Exploit Kits dienen, vor allem
solcher, die Zero-Day Exploits einschließen. Ein
Bespiel für diese Vorgehensweise ist die Sandbox
mit Script Analyzer Engine als Teil von Trend
Micro Deep Discovery.
Webbasierte Entdeckung über eine webbasierte
Lösung wie die Browser Exploit PreventionFunktionalität in Endpoint-Produkten wie Trend
Micro™ Security, Trend Micro™ OfficeScan™
und Trend Micro™ Worry-Free™ Business
Security. Die Funktionalität blockiert den Exploit,
sobald der Nutzer auf die URL zugreift, die den
Exploit hostet. Ein Web Reputation Service kann
eine weitere Sicherheitsschicht hinzufügen, um
zu gewährleisten, dass die Weiterleitungskette
blockiert wird, noch bevor die bösartige Payload
auf das System heruntergeladen wird.
Dabeibasierte Entdeckung stellt sicher,
dass jede Payload, die auf das System
heruntergeladen wurde, ihre Routinen nicht
ausführen kann.
Bild 6. Ver- und Entschlüsselung
der Payload
Anhang
Jahr
Alte Exploit Kits
2006
Neue Exploit Kits
MPack
WebAttacker Kit
2007
MPack
Armitage Exploit Pack
IcePack Exploit Kit
NeoSploit Exploit Kit 1.0
Phoenix Exploit Kit
Tornado Exploit Kit
2008
IcePack Exploit Kit
NeoSploit Exploit Kit 2.0/3.0
Phoenix Exploit Kit
Tornado Exploit Kit
AdPack
EL Fiesta Exploit Kit
FirePack Exploit Kit
2009
Phoenix Exploit Kit 2.0
Tornado Exploit Kit
CrimePack 1.0
Eleonore Exploit Kit
Fragus Exploit Kit
Just Exploit Kit
Liberty Exploit Kit
Lucky Sploit
MyPoly Sploit
Neon Exploit System
SPack
Siberia Exploit Pack
Unique Sploits Exploit Pack
Yes Exploit Kit 1.0/2.0
Anhang
Jahr
Alte Exploit Kits
Neue Exploit Kits
2010
CrimePack 2.0/3.0
Siberia Pack
Yes Exploit Kit 3.0
Blackhole Exploit Kit 1.0
Bleeding Life Exploit Kit 1.0/2.0
Dragon Pack
2011
Blackhole Exploit Kit 1.1/1.2
Bleeding Life Exploit Kit 3.0
Nuclear Exploit Kit 1.0
SEO Sploit Pack
Siberia Pack
Best Pack
G01Pack Exploit Kit
Katrin Exploit Pack
OpenSource Exploit Kit
Sava Exploit Kit
2012
G01Pack Exploit Kit
Hierarachy/Eleonore Exploit Kit
Alpha Pack
CK Exploit Kit
Cool Exploit Kit
CrimeBoss Exploit Kit
CritXPack
GrandSoft Exploit Kit
Impact Exploit Kit
KaiXin Exploit Pack
Kein Exploit Pack
NucSoft Exploit Pack
2013
CK Exploit Kit
CrimeBoss Exploit Kit
Fiesta/NeoSploit Exploit Kit
FlackPack Exploit Kit
G01Pack Exploit Kit
GrandSoft
RedKit/Goon Exploit Kit
Sakura Exploit Kit
Sibhost/Glazunov Exploit Kit
Styx Exploit Kit
SweetOrange Exploit Kit
Angler Exploit Kit
Anonymous Exploit Kit
DotkaChef Exploit Kit
GongDa Exploit Kit
Hello/LightsOut Exploit Kit
HiMan Exploit Kit
Magnitude/PopAds Exploit Kit
Neutrino Exploit Kit
Private Exploit Pack
Red Dot Exploit Kit
Safe Pack
White Lotus Exploit Kit
WhiteHole Exploit Kit
Zuponcic Exploit Kit
2014
Angler Exploit Kit
DotkaChef Exploit Kit
Fiesta/NeoSploit Exploit Kit
FlackPack Exploit Kit
GongDa Exploit Kit
Hello/LightsOut Exploit Kit
RedKit/Infinity Exploit Kit
Magnitude Exploit Kit
Neutrino Exploit Kit
Styx Exploit Kit
Zuponcic Exploit Kit
CottonCastle/Niteris Exploit Kit
Rig Exploit Kit
Referenzen
1. Trend Micro Incorporated (September 20,
2006). TrendLabs Security Intelligence Blog.
“IE Zero Day + Web Attacker Kit2
http://blog.trendmicro.com/trendlabs-securityintelligence/ie-zero-day-2b-web-attacker-kit/
2. Jon Oliver, Sandra Cheng; Lala Manly, Joey
Zhu, Roland Dela Paz, Sabrina Sioting, and
Jonathan Leopando. (2012). Trend Micro.
“VBlackhole Exploit Kit: A Spam Campaign,
Not a Series of Individual Spam Runs”
Papka Exploit Pack
SEO Sploit Pack
ProPack
RedKit Exploit Kit
Sakura Exploit Kit
Serenity Exploit Pack
Sibhost/Glazunov Exploit Kit
Styx Exploit Kit 2.0
Techno XPack
Yang Pack
ZhiZhu Exploit Kit
http://www.trendmicro.com/cloud-content/
us/pdfs/security-intelligence/white-papers/
wp_blackhole-exploit-kit.pdf
3. Brooks Li (October 4, 2011). TrendLabs Security
Intelligence Blog. “Facebook Malvertisement
Leads to Exploits”, http://blog.trendmicro.com/
trendlabs-security-intelligence/facebookmalvertisement-leads-to-exploits/
4. Joseph C. Chen (October 14, 2014). TrendLabs
Security Intelligence Blog. “YouTube Ads Lead
to Exploit Kits, Hit US Victims.” Last accessed
February 24, 2015,
http:// blog.trendmicro.com/trendlabs-securityintelligence/youtube-ads-lead-to-exploit-kitshit-us-victims/
13.Jack Tang (July 1, 2014) TrendLabs Security
Intelligence Blog “Isolated Heap for Internet
Explorer Helps Mitigate UAF Exploits”
http://blog.trendmicro.com/trendlabs-security5. Maxim Goncharov. (October 2011). Trend Micro.
intelligence/isolated-heap-for-internet“Traffic Direction Systems as Malware Distribution
explorer-helps-mitigate-uaf-exploits/
Tools.” Last accessed February 24, 2015,
http://www.trendmicro.com/cloud- content/us/ 14.Weimin Wu. (January 22, 2015) Blog.
pdfs/security-intelligence/reports/ rpt_malwaretrendmicro.de “Flash geht mit einem Zero-Day
distribution-tools.pdf
ins neue Jahr”
http://blog.trendmicro.de/flash-geht-mit-einem6. Joseph C. Chen (August 21, 2014) TrendLabs
zero-day-ins-neue-jahr/
Security Intelligence Blog “Website Add-on
Targets Japanese Users, Leads to Exploit Kit” 15.Peter Pi (February 2, 2015) Blog.trendmicro.de
http://blog.trendmicro.com/trendlabs-security“Schon wieder ein Zero-Day Exploit in Adobe”
intelligence/website-add-on-targets-japanesehttp://blog.trendmicro.de/schon-wieder-einusers-leads-to-exploit-kit/
zero-day-exploit-in-adobe/
7. Jay Yaneza (November 17, 2014). TrendLabs
Security Intelligence Blog “Flashpack Exploit
Kit Used in Free Ads, Leads to Malware
Delivery Mechanism”,
http://blog.trendmicro.com/trendlabs-securityintelligence/flashpack-exploit-kit-used-in-freeads-leads-to-malware-delivery-mechanism/
8. JCarolyn Guevarra (June 18, 2007). TrendLabs
Security Intelligence Blog “Another Malware
Pulls an Italian Job”
http://blog.trendmicro.com/trendlabs-securityintelligence/another-malware-pulls-an-italian-job/
9. Jovi Umawing. (April 2, 2008) TrendLabs
Security Intelligence Blog. “Old, Known Bugs
Exploited by Neosploit”
http://blog.trendmicro.com/trendlabs-securityintelligence/old-known-bugs-exploited-byneosploit/
10.Michael Du (November 24, 2014). TrendLabs
Security Intelligence Blog “Obfuscated Flash
Files Make Their Mark in Exploit Kits”,
http://blog.trendmicro.com/trendlabs-securityintelligence/malicious-flash-files-gain-theupper-hand-with-new-obfuscation-techniques/
16.Yuki Chen. (November 25, 2013). TrendLabs
Security Intelligence Blog. “A Look at a
Silverlight Exploit.” Last accessed February
24, 2015, http://blog.trendmicro.com/trendlabssecurity-intelligence/a-look-at-a-silverlightexploit/
17.Brooks Li. (September 23, 2014). TrendLabs
Security Intelligence Blog. “Nuclear Exploit
Kit Evolves, Includes Silverlight Exploit.” Last
accessed February 24, 2015, http://blog.
trendmicro.com/trendlabs-security-intelligence/
nuclear-exploit-kit-evolves-includes-silverlightexploit/
18.Jack Tang. (July 1, 2014). TrendLabs Security
Intelligence Blog. “Isolated Heap for Internet
Explorer Helps Mitigate UAF Exploits.” Last
accessed February 24, 2015, http://blog.
trendmicro.com/trendlabs-security-intelligence/
isolated-heap-for-internet-explorer-helpsmitigate-uaf-exploits/
19.Weimin Wu. (January 22, 2015). TrendLabs
Security Intelligence Blog. “BFlash Greets
2015 with New Zero-day.” Last accessed
February 24, 2015, http://blog.trendmicro.com/
trendlabs-security-intelligence/flash-greets11.Yuki Chen (Nov. 25, 2013). TrendLabs Security
2015-with-new-zero-day/
Intelligence Blog “A Look at a Silverlight Exploit”
http://blog.trendmicro.com/trendlabs-security- 20.Peter Pi. (February 2, 2015). TrendLabs
intelligence/a-look-at-a-silverlight-exploit/
Security Intelligence Blog. “Trend Micro
Discovers New Adobe Flash Zero-day Exploit
12.Brooks Li (September 23, 2014) TrendLabs
Used in Malvertisements.” Last accessed
Security Intelligence Blog “Nuclear Exploit Kit
February 24, 2015, http://blog.trendmicro.com/
Evolves, Includes Silverlight Exploit”
trendlabs-security-intelligence/trend-microhttp://blog.trendmicro.com/trendlabs-securitydiscovers-new-adobe-flash-zero-day-exploitintelligence/nuclear-exploit-kit-evolvesused-in-malvertisements/
includes-silverlight-exploit/
HAFTUNGSAUSSCHLUSS
Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine
Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf
alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine
Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen
zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und
ohne Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert
noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments
in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf
Compliance oder Durchsetzung keine Rechtswirkung.
Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt
jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr
Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine
Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung
dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden,
entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder
in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser
Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar.
Über TREND MICRO
Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler
Informationen. Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloudbasierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller
und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend
Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im
Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen
mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
http://www.trendmicro.de/
http://blog.trendmicro.de/
http://www.twitter.com/TrendMicroDE
TREND MICRO Deutschland GmbH
Zeppelinstrasse 1
85399 Hallbergmoos
Germany
Tel. +49 (0) 811 88990–700
Fax +49 (0) 811 88990–799
TREND MICRO Schweiz GmbH
Schaffhauserstrasse 104
8152 Glattbrugg
Switzerland
Tel. +41 (0) 44 82860–80
Fax +41 (0) 44 82860–81
TREND MICRO (SUISSE) SÀRL
World Trade Center
Avenue Gratta-Paille 2
1018 Lausanne
Switzerland
www.trendmicro.com
©2015 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro
Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.

Evolution von Exploit Kits

Transcrição

Documentos relacionados

Performance Kits

ALBERT-SCHWEITZER-REALSCHULE UND KIT „Deutsche

KIT produziert Langmuir-Sonden für das WEST

G DATA Malware Report H1 2015

Camera Control Pro 2 - Full version

HONDA SH125 / 150 / 250 SCOOPY `01 KIT TOPMASTER 1 6 5 4 3 2

Cooltek W2 Tempered Glass Kit

YZ-Cup 2014.indd

"charge zippers" (Jan. 2013) - Institut für Biologische Grenzflächen

peugeot elystar 50/125/150 `03 kit topmaster