BlackHole Exploit WebKit : Présentation

Après le billet Spyeye C&C et Business underground, voici une présentation de BlackHole Exploit WebKit.

Un Exploit WebKit est un kit clef en main qui permet l’installation de malware via des exploits sur site WEB. Ces kits sont vendus dans le milieu underground et permettent à des groupes la propagation de leurs malwares (ou après en avoir acheté) via des exploits sur site WEB.
Le kit fournit les exploits et un panel de gestion (avec souvent des statistiques).
Un service de support est disponible en cas de problème technique ou éventuellement des mises à jour des exploits pour échapper aux détections via un abonnement supplémentaire.

Blackhole Exploit WebKit est un des plus utilisés actuellement, vous trouvez une présentation sur cette page : http://malwareint.blogspot.com/2011/08/black-hole-exploits-kit-110-inside.html et http://xylibox.blogspot.com/2011/09/blackhole-exploit-kit-v120.html
D’après le lien précédent, la licence était vendu en aout 2011 à 1500 dollars l’année.

La page d’accueil affiche les statistiques, à gauche vous avez le nombre de hits et hosts et le nombre de load avec un pourcentage de « réussite », ce qui donne une certaine efficacité de l’exploit WebKit.
Les mêmes statistiques par jour.
A droite, vous avez les exploits avec les statistiques de load/réussite, comme vous pouvez le voir, les exploits Java fonctionnent plutôt bien.
En bas à gauche, vous avez les statistiques par systèmes d’exploitations, on voit que Windows XP est le plus touché avec un nombre de hits assez identiques à Windows Seven.

Plus bas les statistiques par malwares et par navigateurs WEB et par pays.
On peux voir qu’IE a le nombre de hits le plus élevés, le taux de réussite pour Firefox et IE est assez identiques.
Chrome est par contre très haut et inversement Opera est très bas.

On peux voir que cet Exploit vise les pays américains en majorité.

Le webpanel prévoit la possibilité de filtre les éléments affichés… bref du beau Web 2.0

BlackHole Exploit WebKit prévoit la possibilité de gérer les malwares ainsi que les exploits.
Par exemple ici on peux définir des malwares différents ou gérer des affiliations différentes, chacun ayant ses statistiques, en cliquant sur l’icône stats, on retrouve les statistiques de la page précédentes.

Il est aussi possible de cibler des pays avec des navigateurs/OS différents et les redirigers sur des exploits en particuliers.
L’onglet Files permet de gérer les malwares.
Les fichiers ne sont pas directement téléchargements, lors d’une infection par l’exploit, ce sont des scripts PHP qui sont appelés (cela permet d’enregistrer les informations pour alimenter les statistiques).
Souvent des urls avec des noms alématoires ou via une page w.php?=f=xxx&e=xxx ou f est le fichier malicieux qui va être chargé  et e est l’exploit qui a permis le chargement.

L’onglet Security permet de blacklister des referers ou IP, par exemple, des bots d’antivirus ou autres.
Il est possible d’exporter ou importer la liste.
La config de l’Exploit WebKit – il est possible de changer les noms des scripts ce qui est assez interressant d’un point de vue sécurité, en effet, les pages des Exploit webkit étant en généralement connues.
Comme vous pouvez le voir en bas à droite, il est aussi possible de soumettre de manière automatiquement son malware à des détections d’antivirus.
Les services sont bien sûrs des services underground : Scan4you et VirTest.

Comme vous pouvez le voir, les Exploit WebKit sont assez professionnels avec les services de support qui vont derrière.
De quoi proposer tout clef en main pour propager des malwares, d’où une explosion ces dernières années.

En amont, on peux trouver un Traffic system qui permet de gérer l’affiliation et la monétisation.
Exemple avec le « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »

EDIT 13 Septembre

L’exploitkit BlackHole 2.0 est sorti avec quelques inovations, se reporter au billet suivant : http://malware.dontneedcoffee.com/2012/09/blackhole2.0.html
Notamment, il va être plus difficile à tracker, avec la version 1, il était possible de retélécharger le binaire mais aussi, par défaut, de télécharger tous les binaires d’un même ExploitKit.
Un captcha a aussi été ajouté à l’authentification admin pour éviter les bruteforces afin d’éviter que des petits malins se logguent sur le panel 😉
L’auteur semble avoir corrigé cela.

Les URLs ont aussi changé, voici un exemple d’un BlackHole :

http://follow.fellowshipsports.org/links/loaded-mistook-requirements.php
http://follow.fellowshipsports.org/links/loaded-mistook-requirements.php?knlc=030b080537360a3736340b083804070335060434333804093308343802020508&oianr=474c&nha=zhwvb&lexelpv=ugcbhsqc
http://follow.fellowshipsports.org/links/loaded-mistook-requirements.php?knlc=030b080537360a3736340b083804070335060434333804093308343802020508&oianr=474c&nha=zhwvb&lexelpv=ugcbhsqc
http://follow.fellowshipsports.org/links/plugindetecta/plugindetecta.class
http://follow.fellowshipsports.org/links/plugindetecta/plugindetecta.class
http://follow.fellowshipsports.org/links/loaded-mistook-requirements.php?uvd=030b080537360a3736340b083804070335060434333804093308343802020508&kny=34&fmdimmsa=37053505383737373608&vzvivb=09000200020002

 En plus détaillé, se reporter à ce billet : http://malware.dontneedcoffee.com/2012/09/BHEK2.0landing.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 124 times, 1 visits today)

4 thoughts on “BlackHole Exploit WebKit : Présentation

  1. La on est clairement sur du travail professionnel.
    c’est pas comme kevin 15 ans qui code un dropper / stealer….

    C’est impressionnant !

  2. Bei der schlechten Qualite4t frage ich mich, ob es wilirkch klug war, diese Version als public beta herauszubringen. Apple hat ein Image zu verlieren. Und wenn nichteinmal Bookmarking funktioniert oder selbst die Google-Startseite desastrf6s dargestellt wird, was soll man dann testen?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *