A menudo cuando se analiza el tráfico de red, podemos encontrarnos
patrones pertenecientes a los ya conocidos Angler EK,
Nuclear EK y
Magnitude EK.
Normalmente vendidos en el mercado negro, un
Exploit Kit (EK) es un
conjunto de herramientas que automatiza la explotación de
vulnerabilidades en el cliente, dirigidas a navegadores y plugins que un
sitio web puede invocar como Adobe Flash Player, Microsoft
Silverlight, Adobe Reader, Java, etc., para infectar equipos mientras
se navega por Internet en lo que se llama
drive-by download attacks.
Dichos patrones pueden ser detectados por reglas de SNORT como:
ET CURRENT_EVENTS Cushion Redirection
ET CURRENT_EVENTS Possible Nuclear EK Landing URI Struct T1
ET CURRENT_EVENTS Malvertising Redirection to Exploit Kit Aug 07 2014
ET CURRENT_EVENTS DRIVEBY Nuclear EK Landing May 23 2014
Después, analizando los logs de navegación para averiguar si el equipo
ha sido infectado, podemos observar, el navegador del usuario contacta
con una web que carga un objeto Flash. Este objeto Flash intenta
explotar alguna vulnerabilidad de Adobe Flash Player y si lo consigue,
descarga un fichero binario que resulta ser un bicho malo-malísimo que
es ejecutado, quedando el equipo infectado.
Observamos unos contactos con páginas HTML y descarga de un par de ficheros binarios
(4)(5),
pero no encontramos el objeto utilizado para explotar alguna
vulnerabilidad que infecte el equipo. ¿Cómo lo han hecho? ¿Acaso el
usuario ha descargado conscientemente el ejecutable? O… ¿el objeto no
está identificado correctamente por el proxy?
Para poder estudiarlo detenidamente, se ha buscado un ejemplo similar a este caso en
malware-traffic-analysis.net donde podemos descargar un fichero PCAP para el análisis.
Continuar leyendo en fuente original Security Art Work I, II y III de esta serie