Infos

Les Kits d’Exploit – sous une autre perspective

Les kits d’Exploit sont des packs logiciels contenant des programmes malveillants principalement utilisés pour réaliser des attaques de type « Drive-by download » afin de distribuer des malwares aux internautes (à leur insu et alors qu’ils visitent simplement une page infectée). Ces kits sont vendus au marché noir où les prix varient de quelques centaines à quelques milliers d’euros. Aujourd’hui, des versions hébergées de ces kits peuvent même être louées. Toutes ces raisons expliquent pourquoi ce marché est devenu compétitif avec de nombreux acteurs et plusieurs auteurs différents.

Apparu il y a quelques années, MPack fût l’un des premiers exemples marquants de tels « outils ». Il fût rapidement suivi de nombreux concurrents dont les plus connus s’appellent ICE-Pack ou Fire-Pack. Aujourd’hui, les kits les plus répandus se nomment, par exemple, Eleonore, YES Exploit Pack ou encore Crimepack. De nombreuses études ont été publiées autour de ces packs d’exploit sur différents blogs et sites WEB.

Lors de nos recherches, nous avons examiné différents aspects de ces kits. C’est l’un d’eux que nous voulons développer ici.

Kits d’Exploit par les nombres

Qu’est-ce qui fait le succès d’un kit ? Quelle est la clé de sa popularité ?

Pour y répondre, jetons d’abord un coup d’œil à l’évolution de différents kits d’exploit les plus répandus depuis Janvier 2009 (source MalwareDomainLists).


Bien que les 3 kits d’exploit principaux n’aient pas changé récemment, nous assistons quand-même à l’émergence de nouveaux kits comme en témoigne le graphique suivant qui répertorie les 5 principaux kits d’exploit sur ces 6 derniers mois :

Parmi les nouveaux acteurs, SEO Sploit et Crimepack se démarquent et entrent dans le Top 5.

Jetons maintenant un coup d’œil sur les vulnérabilités exploitées par ces kits :

La plupart de ces vulnérabilités sont anciennes et toutes ont des correctifs disponibles depuis fort longtemps. Pourtant, les attaques continuent d’atteindre leurs cibles !

Au final, qu’est-ce qui explique le succès récent des kits Crimepack et SEO Sploit ? On peut y voir de nombreuses raisons, et leur capacité à exploiter les différentes vulnérabilités en est certainement une. Mais voyons si d’autres attributs peuvent être perçus :

Nouvelles vulnérabilités

Si nous vérifions la distribution en pourcentage des vulnérabilités exploitées, par année de leur découverte, comparées à la médiane des 5 packs on constate que Crimepack et SEO Sploit exploitent d’avantage de nouvelles vulnérabilités que leurs concurrents.

Cible de Distribution

Encore une fois, PDF, Internet Explorer et le Java sont les 3 cibles principales, mais dans ce cas, leurs pourcentages combinés représentent plus de 75% des cibles globales. Autrement dit ces nouveaux kits ciblent encore davantage les programmes les plus fréquemment trouvés sur les ordinateurs des victimes.

Dans les coulisses des kits d’exploit

Pour obtenir les résultats suivants, nous avons étudié en détails plusieurs kits d’exploits ainsi que leurs différentes versions. Plus De 16 000 fichiers ont ainsi été analysés.

Graphisme et Design

En plus des exploits intégrés, ces kits contiennent également une interface utilisateur qui permet aux cybercriminels d’afficher différentes statistiques sur le pack.


Ecran d’accueil de Crimepack

Généalogie, vol et copie

Différentes statistiques intéressantes peuvent être déduites de la quantité de fichiers examinés. Lors de notre analyse, nous avons par exemple comparé les fichiers entre-eux. C’est utile au sein d’une même famille de kits afin de tracer les changements entre les différentes versions et révéler comment ces kits évoluent. Nous avons aussi comparé les fichiers entre les familles de kits afin de mettre en évidence d’éventuels points communs. Des éléments communs qui existent effectivement comme en témoigne le graphe suivant :

Conclusion

Au final, tout n’est qu’une question d’argent, comme en témoigne les images ci-dessus provenant du créateur de BlackHole.

Si un kit d’exploit devient très populaire, son créateur gagne plus d’argent parce que les volumes de ventes sont plus élevés.

Il y a une chose qu’un kit d’exploit doit offrir pour gagner en popularité sur ce marché fortement compétitif : un taux d’infection élevé. Les nouveaux venus dans la création de kits d’exploit emploient donc souvent des méthodes qui ont fait leurs preuves, ce qui pourrait bien expliquer le nombre élevé de similitudes détectées entre ces packs.

Cependant, l’importante « publicité » médiatique qui entoure cette thématique des « kits d’exploit » et d’autres éléments doivent aussi être pris en compte par leurs créateurs à commencer par la sécurité, des vulnérabilités au cœur même de ces kits ayant été identifiées.

Chez Kasperky Lab, nous continuerons à exercer une surveillance rapprochée sur la situation et l’évolution de ces kits afin d’offrir une protection complète contre les menaces de ce type…

Les Kits d’Exploit – sous une autre perspective

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception