Специалисты «Лаборатории Касперского» проанализировали распространенность и внутреннее устройство популярных наборов эксплойтов, являющихся в последние годы одной из основных составляющих процесса автоматического заражения уязвимых систем. Наборы эксплойтов состоят из двух основных модулей – модуль заражения или набор эксплойтов, а также - веб-интерфейс, используемый для настроек функционирования набора эксплойтов и мониторинга статистики заражений. История развития наборов эксплойтов берет свое начало с набора под названием MPack, и выпущенных вскоре после него ICE-Pack и Fire-Pack. Именно эти наборы доказали право на существование такого рода программ и их востребованность на «черном» рынке. Сейчас стоимость наборов эксплойтов колеблется от нескольких сотен до тысяч долларов США, при этом большим спросом пользуется услуга их аренды. Лидерами по распространению и долгожительству являются наборы Phoenix, Eleonore и Neospolit. К новинкам, получившим наибольшее распространение можно отнести SEO Sploit Pack и Crimepack. Появление новых наборов эксплойтов и их популяризация обуславливается высокой эффективностью, которая достигается путем использования эксплойтов для «свежих» уязвимостей. Как показывает анализ, наборы эксплойтов используют не только новые уязвимости, но и уязвимости, обнаруженные и закрытые еще в 2005-2008 годах. Основным вектором атак эксплойтов остаются уязвимости в обработчиках PDF-файлов, на втором месте уязвимости веб-браузера Internet Explorer и библиотек Java. В общей сложности на эти программные продукты приходится 75% всех эксплойтов. Изучение внутреннего устройства наборов эксплойтов позволило оценить уровень сходства программного кода эксплойтов разных авторов. Так, популярный набор эксплойтов Phoenix Exploit Kit (PEK) основывается, на ставших уже историей, Fire-Pack и ICE-Pack. А вот, наборы SEO Sploit Pack и ElFiesta связаны лишь друг с другом, что дает основания считать их полностью авторскими проектами. Однако, чтобы приобрести популярность на этом высококонкурентном рынке, набор эксплойтов должен обладать одной характеристикой – высоким процентом успешных заражений. Поэтому новички в деле создания наборов эксплойтов часто применяют известные, зарекомендовавшие себя методы. Очень возможно, что именно этим можно объяснить столь высокий уровень сходства разных наборов. Что же касается веб-интерфейса набора эксплойтов, то здесь следует отметить возросшее качество графического оформления системы управления. Прежде всего, это связано с заинтересованностью в их использование людей, слабо разбирающихся в компьютерных технологиях. Авторы эксплойтов стараются сделать интерфейс интуитивно понятным и наглядным, иногда для этого применяется технология Ajax. Правда, эта «красота» не особо отражается на функциональности эксплойтов, и иногда за ней скрывает малоэффективный инструмент для автоматизации процесса заражения. Как отмечают специалисты, многие наборы эксплойтов, несмотря на свой долгий жизненный путь, имеют ряд уязвимостей, позволяющих экспертам безопасности получить доступ к контролирующему центру для дальнейшего анализа их активности.
Подробнее