Les Kits d’Exploit – sous une autre perspective

Les kits d’Exploit sont des packs logiciels contenant des programmes malveillants principalement utilisés pour réaliser des attaques de type « Drive-by download » afin de distribuer des malwares aux internautes (à leur insu et alors qu’ils visitent simplement une page infectée). Ces kits sont vendus au marché noir où les prix varient de quelques centaines à quelques milliers d’euros. Aujourd’hui, des versions hébergées de ces kits peuvent même être louées. Toutes ces raisons expliquent pourquoi ce marché est devenu compétitif avec de nombreux acteurs et plusieurs auteurs différents.

Apparu il y a quelques années, MPack fût l’un des premiers exemples marquants de tels « outils ». Il fût rapidement suivi de nombreux concurrents dont les plus connus s’appellent ICE-Pack ou Fire-Pack. Aujourd’hui, les kits les plus répandus se nomment, par exemple, Eleonore, YES Exploit Pack ou encore Crimepack. De nombreuses études ont été publiées autour de ces packs d’exploit sur différents blogs et sites WEB.

Lors de nos recherches, nous avons examiné différents aspects de ces kits. C’est l’un d’eux que nous voulons développer ici.

Kits d’Exploit par les nombres

Qu’est-ce qui fait le succès d’un kit ? Quelle est la clé de sa popularité ?

Pour y répondre, jetons d’abord un coup d’œil à l’évolution de différents kits d’exploit les plus répandus depuis Janvier 2009 (source MalwareDomainLists).


Bien que les 3 kits d’exploit principaux n’aient pas changé récemment, nous assistons quand-même à l’émergence de nouveaux kits comme en témoigne le graphique suivant qui répertorie les 5 principaux kits d’exploit sur ces 6 derniers mois :

Parmi les nouveaux acteurs, SEO Sploit et Crimepack se démarquent et entrent dans le Top 5.

Jetons maintenant un coup d’œil sur les vulnérabilités exploitées par ces kits :

La plupart de ces vulnérabilités sont anciennes et toutes ont des correctifs disponibles depuis fort longtemps. Pourtant, les attaques continuent d’atteindre leurs cibles !

Au final, qu’est-ce qui explique le succès récent des kits Crimepack et SEO Sploit ? On peut y voir de nombreuses raisons, et leur capacité à exploiter les différentes vulnérabilités en est certainement une. Mais voyons si d’autres attributs peuvent être perçus :

Nouvelles vulnérabilités

Si nous vérifions la distribution en pourcentage des vulnérabilités exploitées, par année de leur découverte, comparées à la médiane des 5 packs on constate que Crimepack et SEO Sploit exploitent d’avantage de nouvelles vulnérabilités que leurs concurrents.

Cible de Distribution

Encore une fois, PDF, Internet Explorer et le Java sont les 3 cibles principales, mais dans ce cas, leurs pourcentages combinés représentent plus de 75% des cibles globales. Autrement dit ces nouveaux kits ciblent encore davantage les programmes les plus fréquemment trouvés sur les ordinateurs des victimes.

Dans les coulisses des kits d’exploit

Pour obtenir les résultats suivants, nous avons étudié en détails plusieurs kits d’exploits ainsi que leurs différentes versions. Plus De 16 000 fichiers ont ainsi été analysés.

Graphisme et Design

En plus des exploits intégrés, ces kits contiennent également une interface utilisateur qui permet aux cybercriminels d’afficher différentes statistiques sur le pack.


Ecran d’accueil de Crimepack

Généalogie, vol et copie

Différentes statistiques intéressantes peuvent être déduites de la quantité de fichiers examinés. Lors de notre analyse, nous avons par exemple comparé les fichiers entre-eux. C’est utile au sein d’une même famille de kits afin de tracer les changements entre les différentes versions et révéler comment ces kits évoluent. Nous avons aussi comparé les fichiers entre les familles de kits afin de mettre en évidence d’éventuels points communs. Des éléments communs qui existent effectivement comme en témoigne le graphe suivant :

Conclusion

Au final, tout n’est qu’une question d’argent, comme en témoigne les images ci-dessus provenant du créateur de BlackHole.

Si un kit d’exploit devient très populaire, son créateur gagne plus d’argent parce que les volumes de ventes sont plus élevés.

Il y a une chose qu’un kit d’exploit doit offrir pour gagner en popularité sur ce marché fortement compétitif : un taux d’infection élevé. Les nouveaux venus dans la création de kits d’exploit emploient donc souvent des méthodes qui ont fait leurs preuves, ce qui pourrait bien expliquer le nombre élevé de similitudes détectées entre ces packs.

Cependant, l’importante « publicité » médiatique qui entoure cette thématique des « kits d’exploit » et d’autres éléments doivent aussi être pris en compte par leurs créateurs à commencer par la sécurité, des vulnérabilités au cœur même de ces kits ayant été identifiées.

Chez Kasperky Lab, nous continuerons à exercer une surveillance rapprochée sur la situation et l’évolution de ces kits afin d’offrir une protection complète contre les menaces de ce type…

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *