Kit de exploits web

Un WebKit, Kit de exploits web (del inglés web exploit kit), Paquete de exploits de navegador o BEP (del inglés Browser Exploit Packs), es un software que se instala en servidores web y automatiza la detección y explotación de las vulnerabilidades del navegador y/o plugins instalados en ellos. Lo habitual es que el atacante introduzca enlaces o técnicas para redirigir (malvertising, correos electrónicos maliciosos, sitios web comprometidos,...) que hagan que el navegador del usuario se dirija a un sitio dañino en el que se encuentra instalado el kit de exploits web. Generalmente este tipo de software suele apoyarse en librerías Javascript como, por ejemplo, PluginDetect para obtener las versiones de los plugins utilizados y ejecutar así el exploit correspondiente.^[1]^[2]^[3]

Los exploits proporcionados por el Webkit son aprovechados para instalar una carga útil que puede ser proporcionada por el kit o ser externa. Esta carga útil puede ser Ransomware, criptominado, troyanos,...^[4]

Debido a su propia naturaleza son frecuentemente actualizados con los últimos exploits y técnicas de cifrado, ofuscación y packing con los que evadir multitud de dispositivos de seguridad. De esta forma suelen actualizar e integrar en su arsenal los exploits más recientes a los pocos días de su publicación^[5]

Es habitual que estas herramientas estén diseñadas de forma modular de forma que se fácil agregar nuevas vulnerabilidades o eliminar las existentes.^[6]

Funcionalidades adicionales[editar]

Además de la funcionalidad principal de, explotar vulnerabilidades en los navegadores, algunos kits ofrecen funcionalidades adicionales como por ejemplo:

Ofrecer capacidades para remotamente controlar el sistema que ha sido explotado, creando así una plataforma por Internet para actividades maliciosas controlada remotamente por el atacante. Estas plataformas se pueden explotar económicamente como una plataforma Software as a Service para cibercriminales. Los exploits kits como Fiesta EK, Blackhole EK, Goon EK, Angler EK, Nuclear EK y Magnitude EK tienen estas capacidades.^[7]
Disponer de módulos de geolocalización de IP que proveen estadísticas de infecciones exitosas y no exitosas a lo largo de internet.^[2]
Proveer interfaz web que proporciona información sobre como va funcionando la infección. Por ejemplo muestra víctimas activas o estadísticas (exploits más exitosos, localización geográfica de víctimas, navegadores que no se han podido explotar,...)^[8]
Interfaz de usuario muy fácil de manejar que ayuda a quien lo desee a lanzar un ataque.^[6]

Comercialización[editar]

Lo más habitual es que se comercialicen en foros de la deep web, y sus precios suelen comenzar en 500 dólares aproximadamente, pero varían mucho dependiendo del número de exploits que tengan y cuales sean estos. En especial son muy cotizados los exploits de día cero. Lo más frecuente es que utilicen vulnerabilidades ya conocidas y parcheadas y se busquen víctimas que no tenga versiones con esos problemas solucionados. A veces se realiza un solo pago pudiendo incluso tener un período de soporte técnico, por si el comprador tiene alguna duda, e incluso con actualizaciones. Otras veces se realiza un pago semanal o mensual. Incluso a veces el pago se realiza por número de infecciones exitosas (pay-per-install). El negocio de los eploit kits es rentable estimándose a que sus creadores tienen ganancias de cerca de 100.000 dólares mensuales.^[8] La facilidad de uso y el alcance de sus exploits es lo que hace que un kit sea más popular, tenga más usuarios, se venda más y el autor o autores obtengan más ventas.^[6]

Ejemplos[editar]

A los kits de exploits se les suele añadir al final las siglas EK, del inglés Exploit Kit, para dejar de forma explícita que es un kit de exploits. Ejemplos de este tipo de software son:^[2]^[9].^[3]

WebAttacker kit. Fue el primer kit de exploits que se detectó, a principios de 2006.^[3]
MPack. Fue uno de los primeros kits de exploits. Se detectó a finales de 2006. Creado por hackers rusos, estaba basado en PHP y se aprovechaba de las vulnerabilidades en navegadores como Internet Explorer, permitiendo conocer el tecleo de los usuarios y descubrir así los datos de cuentas bancarias.^[10]
Angler EK
BlackHole Exploit kit
Bleeding Life
Capensand EK^[11]
Cool Exploit Kit
Crime Boss Exploit Pack
Crime Pack
CritXPack
Demon Hunter^[11]
Disdain EK^[12]
DotkaChef EK
Dragon
Eleonore Exploit Kit
Fallout Exploit Kit^[13]^[14]
Fiesta
FlashPack EK
Fragus Black
Grandsoft
Gong Da
Goon EK
GrandSoft EK^[14]
GreenFlash Sundown EK^[14]
Hierarchy Exploit Pack
Hunter EK
iPack
Incognito
Impassioned Framework
Icepack
JustExploit
Katrin Exploit Kit
KaiXin EK
LinuQ
Liberty
Lupit Exploit Pack
Magnitude EK
Merry Christmas
Mushroom/Unknown
Neosploit
Neutrino
Nucsoft Exploit Pack
Nuclear
Nukesploit P4ck.^[6]
Open Source/MetaPack
Phoenix
Papka
Purplefox EK^[11]
Red Dice^[15]
Red Dot
Redkit
Redkit V2, también conocido como Infinity EK
RIG EK^[14]
Robopak Exploit Kit
Safe Pack
Sakura Exploit Pack
Salo Exploit Kit
Sava/Pay0C
SEO Sploit pack
Siberia
Siberia Private
SofosFO aka Stamp EK
SPack^[15]
Spelevo Exploit Kit^[13]
SpyEye.^[6]
Sundown EK
Sweet Orange
T-Iframer
Techno
Terror^[12]
Tornado
Underminer EK^[14]
Unique Pack Sploit 2.1
Whitehole
XPack
Yang Pack
Yes Exploit
Zero Exploit Kit
Zhi Zhu
Sibhost Exploit Pack
ZeuS.^[6] Detectado en 2007, ha evolucionado y sigue estando activo en 2017. Crea su propia botnet (Zbot).^[16]
Zombie Infection kit
Zopack
Styx Exploit Pack

Referencias[editar]

↑ Informe de Amenazas CCN-CERT IA-03/17 MEDIDAS DE SEGURIDAD CONTRA RANSOMWARE. CCN-CERT. Junio 2017
↑ ^a ^b ^c System Exploitation. Aditya K Sood, Richard Enbody, in Targeted Cyber Attacks. Elsevier 2014
↑ ^a ^b ^c Preventing Ransomware: Understand, prevent, and remediate ransomware attacks. Abhijit Mohanta, Kumaraguru Velmurugan, Mounir Hahad. Packt Publishing 2018
↑ Exploit kits go cryptomining – Summer 2018 edition. RHegde@zscaler.com. securityboulevard.com. 7 de agosto de 2018
↑ Detección de APTs. José Miguel Holguín et ali. Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV). Mayo 2013
↑ ^a ^b ^c ^d ^e ^f Exploit Kits, o conviértete en un hacker. ChannelBiz.es. 21 de julio de 2015
↑ Detecting web exploit kits by tree-based structural similarity search. Xin Hu et ali. Patente US9516051B1. 14 de mayo de 2015
↑ ^a ^b Exploit kits, amados y odiados a partes iguales. Iskander Sanchez-Rola. deusto.es 5 de julio de 2016
↑ Build Cyber Range Cyber Defense Training Center to run Cyber Exercises. Gregory FRESNAIS. Cyber Test Systems 2017
↑ Exploit Kits: ¿qué son y cómo podemos defendernos de ellos?. vernegroup.com
↑ ^a ^b ^c Exploit kits: fall 2019 review. Jérôme Segura. malwarebytes.com. Noviembre de 2019
↑ ^a ^b Disdain, el nuevo Kit de Exploits que está amenazando a los usuarios. Rubén Velasco. redeszone.net. 19 de agosto, 2017
↑ ^a ^b DETALLES DEL NUEVO EXPLOIT SPELEVO REVELADOS POR CISCO - TALOS. zonavirus.com. 28 de junio de 2019
↑ ^a ^b ^c ^d ^e Exploit kits: winter 2019 review . Jérôme Segura. malwarebytes.com. 24 de septiembre de 2019
↑ ^a ^b Browser exploit packs - exploitation paradigm. Aditya Sood y Richard J. Enbody Virus Bulletin 2011
↑ Zeus es aún la base de los troyanos actuales. pandasecurity.com. 27 de septiembre de 2017.

Datos: Q97180862

[1] Informe de Amenazas CCN-CERT IA-03/17 MEDIDAS DE SEGURIDAD CONTRA RANSOMWARE. CCN-CERT. Junio 2017

[aditya-2] System Exploitation. Aditya K Sood, Richard Enbody, in Targeted Cyber Attacks. Elsevier 2014

[packt-3] Preventing Ransomware: Understand, prevent, and remediate ransomware attacks. Abhijit Mohanta, Kumaraguru Velmurugan, Mounir Hahad. Packt Publishing 2018

[4] Exploit kits go cryptomining – Summer 2018 edition. RHegde@zscaler.com. securityboulevard.com. 7 de agosto de 2018

[5] Detección de APTs. José Miguel Holguín et ali. Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV). Mayo 2013

[channelbiz-6] ↑ ^a ^b ^c ^d ^e ^f Exploit Kits, o conviértete en un hacker. ChannelBiz.es. 21 de julio de 2015

[7] Detecting web exploit kits by tree-based structural similarity search. Xin Hu et ali. Patente US9516051B1. 14 de mayo de 2015

[deusto-8] Exploit kits, amados y odiados a partes iguales. Iskander Sanchez-Rola. deusto.es 5 de julio de 2016

[9] Build Cyber Range Cyber Defense Training Center to run Cyber Exercises. Gregory FRESNAIS. Cyber Test Systems 2017

[verne-10] Exploit Kits: ¿qué son y cómo podemos defendernos de ellos?. vernegroup.com

[fall2019-11] Exploit kits: fall 2019 review. Jérôme Segura. malwarebytes.com. Noviembre de 2019

[disdain-12] Disdain, el nuevo Kit de Exploits que está amenazando a los usuarios. Rubén Velasco. redeszone.net. 19 de agosto, 2017

[spelevo-13] DETALLES DEL NUEVO EXPLOIT SPELEVO REVELADOS POR CISCO - TALOS. zonavirus.com. 28 de junio de 2019

[winter2019-14] Exploit kits: winter 2019 review . Jérôme Segura. malwarebytes.com. 24 de septiembre de 2019

[virusbulletin-15] Browser exploit packs - exploitation paradigm. Aditya Sood y Richard J. Enbody Virus Bulletin 2011

[16] Zeus es aún la base de los troyanos actuales. pandasecurity.com. 27 de septiembre de 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]