Blackhole
Exploit Kit
From Wikipedia, the free encyclopedia
Blackhole (deutsche Übersetzung: schwarzes Loch) ist ein Exploit-Kit, das mittlerweile einen Marktanteil von knapp 30 Prozent hat.[1] Es wird vermutlich von russischen Cyberkriminellen entwickelt, darauf lassen die Screenshots im Internet schließen.[2][3]
| Blackhole | |
|---|---|
| Basisdaten | |
| Entwickler | Paunch |
| Aktuelle Version | 2.0 (geschätzt) (12. September 2012) |
| Kategorie | Exploit-Kits, Malware |
| Lizenz | unbekannt |
| deutschsprachig | nein |
Die Infrastruktur von Blackhole
Blackhole ist kostenpflichtig ($ 1000 pro Halbjahr[4]) und bietet eine (relativ komfortable) Administration per Web-Interface an. Das Besondere dabei ist, dass die Entwickler von Blackhole sehr schnell auf neue Sicherheitslücken reagieren.[5] Der im Zusammenhang mit dem Java-Crash (CVE-2012-4681)[6] veröffentlichte Exploit[7] wurde nach zwölf Stunden schon in Blackhole integriert.[8][9]
Eine genaue Beschreibung der Serverinfrastruktur von Blackhole ist nicht möglich. Täglich kommen neue Server dazu, die teilweise nach wenigen Stunden oder Tagen wieder vom Netz gehen. Dazu kommt, dass viele dieser Knoten sich innerhalb von anonymen Netzwerken befinden (beispielsweise Tor), was die Ermittlung von verantwortlichen Personen quasi unmöglich macht. Die meisten dieser Server stehen in den USA (knapp 30 %), gefolgt von Russland (≈ 17,5 %).[10]
| Land | Serveranteil von Blackhole (2012)[11] |
|---|---|
| Brasilien | 1,49 % |
| Großbritannien | 2,24 % |
| Niederlande | 2,55 % |
| Deutschland | 3,68 % |
| China | 5,22 % |
| Türkei | 5,74 % |
| Italien | 5,75 % |
| Chile | 10,77 |
| Russland | 17,88 % |
| USA | 30,81 % |
| Sonstige | 13,88 % |
Eine typische Blackhole-Infizierung
Die meisten Vorfälle einer Infizierung durch Blackhole laufen nach dem folgenden Schema ab: Zunächst wird ein Werbeserver (also ein Server im Internet, der Werbung auf anderen, unverdächtigen Webseiten einblendet) gehackt und so manipuliert, dass er im Hintergrund Skripte nachlädt, die die Besucher des Servers an eine Webseite weiterleiten, die dann den Rechner auf Schwachstellen (etwa veraltete Plugins) abklopft und diese gefundenen Lücken dann ausnutzt[12]. Wenn der Angriff auf einen Computer erfolgreich war, wird ein sog. Payload nachgeladen, also ein Programm, das weitere Aktionen durchführt, beispielsweise das Verwischen von Spuren oder das Nachladen von neuem Schadcode, der genau auf den Rechner zugeschnitten ist.
Bedienung von Blackhole
Es ist nicht genau bekannt, wie Blackhole vom „Endanwender“ bedient wird. Die wenigen Screenshots im Internet lassen auf eine Art Webinterface oder graphisches Programm schließen[13][14][15]. Fest scheint jedoch zu stehen, dass Blackhole relativ komfortabel zu benutzen ist, also ohne langwieriges Programmieren von Exploits oder Payloads. Details hierzu sind nicht bekannt.
Payloads
Veröffentlichung von Blackhole
Gegenmaßnahmen
Blackhole fällt dadurch auf, dass es ein überdurchschnittlich gutes Management besitzt. Der oder die Entwickler (Pseudonym: Paunch) sind offensichtlich sehr erfahren, neue Schadsoftware für Programme zu finden oder selbst zu programmieren. Die IT-Sicherheitsfirma Sophos versucht laut einem Artikel[19], das Exploit-Kit zu verfolgen und Benutzer zu mehr Sicherheitsmaßnahmen (Backups, Aktualisieren von kritischen Programmen etc.) aufzurufen. Der Erfolg dieser Maßnahmen ist nicht einzuschätzen, da nicht (oder kaum) bekannt ist, wie hoch die Zahl der von Blackhole infizierten Rechner sonst wäre.
Da Blackhole verstärkt auf Zero-Day-Exploits zurückgreift[19][20][21], hilft ein automatisches Aktualisieren wenig, es verhindert aber meistens eine Infizierung durch schon bekannte Exploits.
Blackhole manipuliert, wie auch andere Exploit-Kits, gehackte Webseiten, indem es ein Skript (meistens JavaScript) einfügt, das beim Aufrufen der Webseite automatisch im Hintergrund den Browser beziehungsweise das Betriebssystem analysiert und auf Sicherheitslücken abklopft. Wird es fündig, versucht es, die gefundenen Lücken auszunutzen. Hier würden Plug-ins oder Add-ons (zum Beispiel NoScript) helfen, um das Nachladen von Skripten zu verhindern[22][23].
Im Oktober 2013 gelang es, den Entwickler (Pseudonym: Paunch) von Blackhole in Russland mit einigen Komplizen festzunehmen.[24]
Prominente Fälle von Blackhole-Attacken
- Am 3. April 2013 wurde bekannt, dass ein neues und überdurchschnittlich gut programmiertes Schadprogramm namens Darkleech im Umlauf ist. Darkleech infiziert Apache-Webserver, wobei es bei IP-Adressen von Sicherheitsfirmen keine Angriffe auslöst[25]. Es wird vermutet, dass Darkleech von den Entwicklern des Blackhole-Exploit-Kits programmiert wurde, da es Schadcode von Blackhole-Seiten nachlädt.
- Laut einem Bericht vom 8. April 2013 auf Heise Security ist derzeit ein Botnetz namens Cutwail wieder besonders aktiv. Es verbreitet neben dem Online-Banking-Trojaner auch Malware für Android. Auch hier werden Opfer auf Blackhole-Seiten umgeleitet[26].
Siehe auch
Weblinks
- Technical Paper: Deeper inside the Blackhole exploit kit. Artikel über Blackhole (englisch)
- Inside a Black Hole: Part 2. (PDF) Genauerer Artikel über Blackhole und die Infektionsvorgänge (englisch)