Sakura ExploitKit 1.1 Panel

Après BlackHole Exploit Kit – des captures de l’Exploit Kit Sakura qui est relativement nouveau.
Les URLs du kit sont de la forme suivante :
http://host/repertory/detect/mm.js
http://host/repertory/gotit.php?i=3&key={ID}
http://host/repertory/gotit.php?i=4&key={ID}
http://host/repertory/index.php?showtopic={thread}
http://host/repertory/load.php?sh=at

La page d’index avec les statistiques.
Comme vous pouvez le voir le nombre de HITS est assez conséquent (via Malvertising sur sites pornographiques), le ratio d’infection est d’environ 10%.
On a le taux d’infection par exploit (PDF / Java), navigateur WEB ou par version de Windows.

Les statistiques par Pays :

Les fichiers malicieux uploadés qui seront executés sur les machines infectées selon les pays :

Les referer :

Les Threads avec le ratio et statistiques ce qui permet donc de rémunérer les affiliés :

Les statistiques par Thread :

Le panel est beaucoup moins poussé que celui de BlackHole.

Spécial remerciement à Kafeine pour son boulot !

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 39 times, 1 visits today)

5 thoughts on “Sakura ExploitKit 1.1 Panel

  1. Marrant de voir l’utilisation d’exploit très ancien, preuve qu’encore beaucoup d’internaute (10%) ne maintiennes pas leur système / AV à jour…

  2. Les antivirus sont à jour.
    Si tu jètes un oeil sur les désinfections qui ont lieu sur les forums, ils ont tous des antivirus installés, 99% du temps, des antivirus gratos…

  3. Ce n’est pas tant un problème d’antivirus (le dropper doit certainement etre crypté et/ou le code légèrement modifié pour limité la détection) mais plutôt d’exploiter des failles PDF ou Java qui date de Mathusalem (libtiff c’est super ancien).

    Cependant, tu a raison, les AV gratuit ne comble pas les trou des exploit du à des soft / browser un peu trop ancien, c’est comme mettre un pansement sur une jambe de bois (Chose que tu fait systématiquement remarqué à ceux qui sollicite ton aide :D)

  4. La vulnérabilité sur Adobe Reader remonte, car tout simplement, des vulnérabilités critiques, y en a pas eu tant que ça dernièrement – exemple cette année: http://secunia.com/advisories/product/33123/?task=statistics_2012

    Le PDF c’est plus portant comme au départ, mais t’arrives quand même à toper des machines.
    Java a pris le relai depuis un sacré moment.
    C’est monté à 15% sur du BlackHole : http://www.malekal.com/2011/12/14/exploit-par-java-toujours-aussi-efficace/

    Les Jar du kit semblent mis à jour au moins une fois par jour (sur BlackHole, c’est toutes les 2h) :

    https://www.virustotal.com/file/7be1cc4d0cfb656c7bf9ff949efad3da076357c309460283c899d380f125989e/analysis/1346164324/

    SHA256: 7be1cc4d0cfb656c7bf9ff949efad3da076357c309460283c899d380f125989e
    File name: Expression.zip
    Detection ratio: 1 / 42
    Analysis date: 2012-08-28 14:32:04 UTC ( 0 minute ago )

    TrendMicro-HouseCall TROJ_GEN.F47V0827 20120828

    ~~

    https://www.virustotal.com/file/2d8a87e2e72bf9ebeb347a9ef48744ecea2ec3d42c931005b6fbc993e21f1329/analysis/1346164327/

    SHA256: 2d8a87e2e72bf9ebeb347a9ef48744ecea2ec3d42c931005b6fbc993e21f1329
    File name: Byte.zip
    Detection ratio: 1 / 42
    Analysis date: 2012-08-28 14:32:07 UTC ( 0 minute ago )

    ESET-NOD32 a variant of Java/Exploit.CVE-2012-1723.BG 20120827

    CVE-2012-1723 c’est Juin 2012 : http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

    et là y a une 0-Day qui vient de sortir… qui vient d’être ajoutée à BlackHole.
    Donc ça va faire remonter les stats.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *