Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora
Boletín de Alertas CCN-CERT
Nueva actualización de Blackhole Exploit Kit

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, informa sobre una nueva actualización de Blackhole Exploit Kit.

Blackhole Exploit Kit es un conocido framework de infección web comercializado en diferentes foros underground. Desde su aparición, en septiembre de 2010, ha tenido muy buena aceptación en este tipo de ambientes, comercializándose a través de foros específicos.

La primera variante se liberó en estado beta en septiembre del año 2010, con un coste muy competitivo (1.500 dólares por licencia anual; 1.000 por semestral y 700 trimestral). Aunque su diseño es igual en todas las generaciones, la última versión (1.1.0) incorpora una serie de funcionalidades "extras" respecto a las anteriores.

Descripción

Para llevar a cabo la infección, BlackHole buscaba en sus comienzos explotar vulnerabilidades "0 Day" que, a día de hoy son conocidas. Una vez que el host se infecta, se comunica con su Command and Control "C&C" para notificar que la infección se ha realizado con éxito, así como para esperar nuevas órdenes.

Entre las vulnerabilidades que explota se encuentran las siguientes:
  • CVE-2006-0003 Microsoft Data Access Components (MDAC) Internet Explorer 6 with Data Access component <=2.8 sp2
  • CVE-2007-5659 collectEmaillnfo PDF Adobe Reader and Acrobat <=8.1.1
  • CVE-2008-2992 util.printf PDF Adobe Reader 3.0-8.0
  • CVE-2009-0927 PDF collab.getIcon Adobe Reader and Acrobat <=9.1,<=8.1.3, <=7.1.1
  • CVE-2010-0188 PDF Libtiff Adobe Reader 8.0-9.3
  • CVE-2010-0840 javagetval OBE Java invoke Java < =1.6 update 18
  • CVE-2010-0886 JAVA SMB / JAVA JDT Java <=1.6 update 18
  • CVE-2010-1885 HCP Windows Help Center URL Validation Windows XP SP3, Server 2003 SP2
  • CVE-2010-3552 JAVA SKYLINE Java <=1.6 update 21
  • CVE-2011-3544 Rhino Script Engine Java <=1.6 update 27 and JRE <=1.7
  • CVE-2011-0611 SWF Memory Corruption Vulnerability Adobe Flash Player 10.2.156.12 and prior
  • CVE-2012-0507 JAVA AtomicReferenceArray Vulnerability Adobe Flash Player 10.2.15.12 and prior
Se tiene constancia de que Blackhole incorporó el pasado 8 de julio a su framework, un nuevo vector de ataque. En concreto el exploit que explota la vulnerabilidad CVE-2012-1723.

Análisis

Para llevar a cabo la infección con Blackhole, se debe descargar un archivo PE32 que realiza una descarga no permitida en el sistema, accediendo a URLs para la descarga y ejecución del código dañino utilizando las siguientes extensiones y URLs:

Ficheros .php
  • Versión 1.2.2 o nuevas versiones:
  • /d.php?f=2ad08&e=2
  • /q.php?f=2143a&e=2
  • /v.php?f=5e91c&e=2
  • /w.php?f=00f49&e=2
  • /w.php?f=182b5&e=2
  • /w.php?f=f424f&e=4
  • /w.php?f=fe0e4&e=2
  • Versión 1.2.2 o viejas versiones:
  • /w.php?f=197&e=2
  • /w.php?f=219&e=2
  • /w.php?f=16&e=2
El fichero mas común que descarga el ejecutable mencionado anteriormente es "w.php". Aun así, este fichero es el que está generado por defecto y es completamente configurable desde la interfaz web de Blackhole y puede ser renombrado como se desee. Los parámetros "f" y "e" en la URL dañina no son configurables, pero pueden tener distintos valores. El parámetro "e" (GET), es especialmente usado para verificar si el exploit fue ejecutado exitosamente.

Ficheros .jar

La detección de URLs en archivos Java es menos fiable, ya que como se ha podido observar, se dan más casos con la extensión de fichero ".jar". Sin embargo, hay varios tipos dependiendo de la configuración que le hayan proporcionado los atacantes. Los más observados son:
  • content-type application/java-archive
  • /jav2.jar
  • /viewer.jar
  • /GPlugin.jar
  • /Jas.jar
  • /Pol.jar
  • /obe.jar
  • /rin.jar
Estos archivos ".jar" una vez que ya están cargados, precisan archivos adicionales ".class".
Blackhole en numerosas ocasiones ejecuta el siguiente archivo Flash, que carga un código en JavaScript cuya intención es vulnerar al visitante:
  • /field.swf
Ficheros .pdf

Los archivos .pdf infectados con Blackhole, suelen coincidir con las siguientes URLs:
  • /ap2.php?f=16
  • /adp1.php?f=51
  • /adp2.php?f=51
  • /ap2.php?f=97d19
Los nombres de archivo "ap2", "adp1" y "adp2" suelen variar, pero el parámetro "f" (GET) combinado con el "content-type PDF" puede convertirse en un método fiable de detección.

El menú de gestión del Blackhole es posiblemente el más difícil de detectar, debido a que los atacantes suelen alterar la URL del archivo y el nombre de los parámetros. A continuación se muestran algunos ejemplos:
  • /direct.php?page=ad212518b620dfc2
  • /google.php?gmpid=2a4baa70301068
  • /index.php?tp=15064791080616af
  • /main.php?page=03def465fa1423ac
  • /main.php?scan=25a79816d7e8ad30
  • /opentraff.php?pagpag=b9c9f4f015912cb2
  • /prime.php?stream=a7a1c5f26f77bf9d
  • /search.php?page=73a07bcb51f4be71
  • /showthread.php?t=66bc85b3bf81d4ea
  • /VisitorSta.php?UniquePageID=f5794e39f58a26e8
Las siguientes URLs de administración son configurables por Blackhole, aunque estos archivos como es de esperar, también pueden ser renombrados por los atacantes:
  • Administration /bhadmin.php
  • Statistics /bhstat.php
El 29 de junio del 2012 se publicaron nuevos informes que indican que se ha añadido el Exploit CVE-2012-1889 en el kit de Blackhole.

Más información
  • Brian Krebs (New Java Exploit to Debut in BlackHole Exploit Kits), 2012-07-05 
  • CVE-2011-0559 Exploit in the Wild, 2011-09-15
  • iDefense Intelligence Operations, 2012-03-29
  • Sophos (Zero-day XML Core Services vulnerability included in Blackhole exploit kit), 2012-07-29

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Para establecer contacto, por favor, diríjase a info@ccn-cert.cni.es

Este correo ha sido codificado en formato ISO-8859-1. Si no visualiza ciertos caracteres especiales, cambie manualmente la configuración de su cliente de correo.

//////////////////////////////////////////////////////////////////////////////////////////


El CCN-CERT, el CERT Gubernamental español, es el Servicio de Respuesta ante Incidentes de Seguridad de las Tecnologías de la Información del Centro Criptológico Nacional (https://www.ccn-cert.cni.es).

Su misión es ser el centro de alerta y respuesta nacional que coopere y ayude a las administraciones públicas a responder, de forma rápida y eficiente, a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.

La finalidad principal del CCN-CERT es contribuir a la mejora del nivel de seguridad de los sistemas de información de la Administración Pública española. La comunidad a la que presta servicio está constituida por el conjunto de organismos de las distintas administraciones: general, autonómica y local.

---------------------
Claves PGP Públicas
---------------------
info@ccn-cert.cni.es
--------------------

Fingerprint: 4A7D 155F 38FA 2204 55F8 5E4C A62B AB99 7527 F5AF

Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=113&lang=es

ccn-cert@ccn-cert.cni.es
------------------------

Fingerprint: 0D4D BD59 ADCB 5466 0FB6 2529 C57E 8849 CE7B 4475

Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=114&lang=es

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

© 2012 Centro Criptológico Nacional - C/Argentona, 20 28023 MADRID www.ccn-cert.cni.es
Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración