CCN-CERT AL 04/12 Nueva actualización de Blackhole Exploit Kit

Published: 11 Xullo 2012


Nueva actualización de Blackhole Exploit Kit El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, informa sobre una nueva actualización de Blackhole Exploit Kit. Blackhole Exploit Kit es un conocido framework de infección web comercializado en diferentes foros underground. Desde su aparición, en septiembre de 2010, ha tenido muy buena aceptación en este tipo de ambientes, comercializándose a través de foros específicos. La primera variante se liberó en estado beta en septiembre del año 2010, con un coste muy competitivo (1.500 dólares por licencia anual; 1.000 por semestral y 700 trimestral). Aunque su diseño es igual en todas las generaciones, la última versión (1.1.0) incorpora una serie de funcionalidades "extras" respecto a las anteriores. Descripción Para llevar a cabo la infección, BlackHole buscaba en sus comienzos explotar vulnerabilidades "0 Day" que, a día de hoy son conocidas. Una vez que el host se infecta, se comunica con su Command and Control "C&C" para notificar que la infección se ha realizado con éxito, así como para esperar nuevas órdenes. Entre las vulnerabilidades que explota se encuentran las siguientes: CVE-2006-0003 Microsoft Data Access Components (MDAC) Internet Explorer 6 with Data Access component <=2.8 sp2 CVE-2007-5659 collectEmaillnfo PDF Adobe Reader and Acrobat <=8.1.1 CVE-2008-2992 util.printf PDF Adobe Reader 3.0-8.0 CVE-2009-0927 PDF collab.getIcon Adobe Reader and Acrobat <=9.1,<=8.1.3, <=7.1.1 CVE-2010-0188 PDF Libtiff Adobe Reader 8.0-9.3 CVE-2010-0840 javagetval OBE Java invoke Java < =1.6 update 18 CVE-2010-0886 JAVA SMB / JAVA JDT Java <=1.6 update 18 CVE-2010-1885 HCP Windows Help Center URL Validation Windows XP SP3, Server 2003 SP2 CVE-2010-3552 JAVA SKYLINE Java <=1.6 update 21 CVE-2011-3544 Rhino Script Engine Java <=1.6 update 27 and JRE <=1.7 CVE-2011-0611 SWF Memory Corruption Vulnerability Adobe Flash Player 10.2.156.12 and prior CVE-2012-0507 JAVA AtomicReferenceArray Vulnerability Adobe Flash Player 10.2.15.12 and prior Se tiene constancia de que Blackhole incorporó el pasado 8 de julio a su framework, un nuevo vector de ataque. En concreto el exploit que explota la vulnerabilidad CVE-2012-1723. Análisis Para llevar a cabo la infección con Blackhole, se debe descargar un archivo PE32 que realiza una descarga no permitida en el sistema, accediendo a URLs para la descarga y ejecución del código dañino utilizando las siguientes extensiones y URLs: Ficheros .php Versión 1.2.2 o nuevas versiones: /d.php?f=2ad08&e=2 /q.php?f=2143a&e=2 /v.php?f=5e91c&e=2 /w.php?f=00f49&e=2 /w.php?f=182b5&e=2 /w.php?f=f424f&e=4 /w.php?f=fe0e4&e=2 Versión 1.2.2 o viejas versiones: /w.php?f=197&e=2 /w.php?f=219&e=2 /w.php?f=16&e=2 El fichero mas común que descarga el ejecutable mencionado anteriormente es "w.php". Aun así, este fichero es el que está generado por defecto y es completamente configurable desde la interfaz web de Blackhole y puede ser renombrado como se desee. Los parámetros "f" y "e" en la URL dañina no son configurables, pero pueden tener distintos valores. El parámetro "e" (GET), es especialmente usado para verificar si el exploit fue ejecutado exitosamente. Ficheros .jar La detección de URLs en archivos Java es menos fiable, ya que como se ha podido observar, se dan más casos con la extensión de fichero ".jar". Sin embargo, hay varios tipos dependiendo de la configuración que le hayan proporcionado los atacantes. Los más observados son: content-type application/java-archive /jav2.jar /viewer.jar /GPlugin.jar /Jas.jar /Pol.jar /obe.jar /rin.jar Estos archivos ".jar" una vez que ya están cargados, precisan archivos adicionales ".class". Blackhole en numerosas ocasiones ejecuta el siguiente archivo Flash, que carga un código en JavaScript cuya intención es vulnerar al visitante: /field.swf Ficheros .pdf Los archivos .pdf infectados con Blackhole, suelen coincidir con las siguientes URLs: /ap2.php?f=16 /adp1.php?f=51 /adp2.php?f=51 /ap2.php?f=97d19 Los nombres de archivo "ap2", "adp1" y "adp2" suelen variar, pero el parámetro "f" (GET) combinado con el "content-type PDF" puede convertirse en un método fiable de detección. El menú de gestión del Blackhole es posiblemente el más difícil de detectar, debido a que los atacantes suelen alterar la URL del archivo y el nombre de los parámetros. A continuación se muestran algunos ejemplos: /direct.php?page=ad212518b620dfc2 /google.php?gmpid=2a4baa70301068 /index.php?tp=15064791080616af /main.php?page=03def465fa1423ac /main.php?scan=25a79816d7e8ad30 /opentraff.php?pagpag=b9c9f4f015912cb2 /prime.php?stream=a7a1c5f26f77bf9d /search.php?page=73a07bcb51f4be71 /showthread.php?t=66bc85b3bf81d4ea /VisitorSta.php?UniquePageID=f5794e39f58a26e8 Las siguientes URLs de administración son configurables por Blackhole, aunque estos archivos como es de esperar, también pueden ser renombrados por los atacantes: Administration /bhadmin.php Statistics /bhstat.php El 29 de junio del 2012 se publicaron nuevos informes que indican que se ha añadido el Exploit CVE-2012-1889 en el kit de Blackhole. Más información Brian Krebs (New Java Exploit to Debut in BlackHole Exploit Kits), 2012-07-05 CVE-2011-0559 Exploit in the Wild, 2011-09-15 iDefense Intelligence Operations, 2012-03-29 Sophos (Zero-day XML Core Services vulnerability included in Blackhole exploit kit), 2012-07-29
Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Para establecer contacto, por favor, diríjase a Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. Este correo ha sido codificado en formato ISO-8859-1. Si no visualiza ciertos caracteres especiales, cambie manualmente la configuración de su cliente de correo. ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT, el CERT Gubernamental español, es el Servicio de Respuesta ante Incidentes de Seguridad de las Tecnologías de la Información del Centro Criptológico Nacional (https://www.ccn-cert.cni.es). Su misión es ser el centro de alerta y respuesta nacional que coopere y ayude a las administraciones públicas a responder, de forma rápida y eficiente, a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas. La finalidad principal del CCN-CERT es contribuir a la mejora del nivel de seguridad de los sistemas de información de la Administración Pública española. La comunidad a la que presta servicio está constituida por el conjunto de organismos de las distintas administraciones: general, autonómica y local. --------------------- Claves PGP Públicas --------------------- Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. -------------------- Fingerprint: 4A7D 155F 38FA 2204 55F8 5E4C A62B AB99 7527 F5AF Descarga: https://www.ccn-cert.cni.es/documentos-publicos/1354-public-ccn-cert-global/file.html Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. ------------------------ Fingerprint: 0D4D BD59 ADCB 5466 0FB6 2529 C57E 8849 CE7B 4475 Descarga: https://www.ccn-cert.cni.es/documentos-publicos/1354-public-ccn-cert-global/file.html ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.
© 2012 Centro Criptológico Nacional - C/Argentona, 20 28023 MADRID	www.ccn-cert.cni.es