Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 3 de enero de 2010

Estado del arte en Eleonore Exploit Pack

Desde el lanzamiento de la primera versión, en junio del 2009, Eleonore Exploit Pack goza de un importante impacto en el ámbito criminal, tanto desde la demanda de obtener el Exploit Pack debido a su costo competitivo respecto a las aplicaciones web similares, como por su alto índice de actividad.

Actualmente cuenta con un repertorio de 6 (seis) versiones, siendo la última la 1.3.2, de reciente aparición en la escena underground a un costo de USD 1000.

Esto significa que su autor, ExManoize, fue actualizando el paquete aproximadamente cada mes, lo que da una idea concreta del esfuerzo depositado en su desarrollo, y que obviamente no es por vocación sino que responde y forma parte del negocio fraudulento, colaborando con la creación y mantenimiento de una de las "herramientas" utilizadas en el campo delictivo.

La estructura de este crimeware es bastante compleja y cuenta con un repertorio total de 13 (trece) exploits por defecto que se incluyen en el paquete y que son los siguientes:
  • MDAC. Funciona en MSIE
  • MS009-02. Funciona en MSIE
  • ActiveX pack. Funciona en MSIE
  • compareTo. Funciona en Firefox
  • JNO (JS navigator Object Code). Funciona en Firefox
  • MS06-006. Funciona en Firefox
  • Font tags. Funciona en Firefox
  • Telnet. Funciona en Opera
  • PDF collab.getIcon. Funciona en todos los navegadores
  • PDF Util.Printf. Funciona en todos los navegadores
  • PDF collab.collectEmailInfo. Funciona en todos los navegadores
  • PDF Doc.media.newPlayer. Funciona en todos los navegadores
  • Java calendar. Funciona en todos los navegadores
Obviamente, como todo servicio que se ofrece dentro de un modelo de mercado, y el crimeware lo es incluyendo este, el "prestador" garantiza el soporte, las actualizaciones y limpieza del paquete en caso de ser necesario. ¡Todo un negocio!

Desde el punto de vista histórico, las actualizaciones de Eleonore Exploit Pack son las siguientes:
  • En junio de 2009 se pone a disposición del público la venta de Eleonore Exploit Pack v1.0, conteniendo los exploits para MDAC, MS009-02, Snapshot, Telnet (para opera), PDF collab.getIcon, PDF Util.Printf, PDF collab.collectEmailInfo. Su valor fue, en principo, de USD 599.
  • En julio de 2009 se actualiza a la versión 1.1 y se agregan dos exploits más: Font tags que explota en Firefox 3.5 y DirectX DirectShow que explota en IE 6 y 7. Además, se realizan mejoras en el cifrado de los scripts. Su valor fue de USD 500, y la versión anterior bajo el precio a USD 300.
  • Durante el mismo mes de julio, se agrega el exploit Spreadsheet, se modifican los archivos PDF, se elimina la captura de imágenes y se agrega la capacidad de cargar un archivo a través del propio panel de administración. La versión es denominada 1.2 y su costo se establece en USD 700.
  • Luego de un periodo de tres meses sin actualizaciones, en octubre aparece la versión 1.3, incorporando en el paquete más funcionalidades fraudulentas. Entre ellas, algunas "mejoras" en los exploits para Internet Explorer y se agrega Java D&E. EL costo de esta versión fue de USD 1000.
  • En noviembre comienza la comercialización de la versión 1.3.1, donde se continúan puliendo los exploits y, entre otros, se agrega el archivo Robots.txt para mejorar el indexado y evitar que ciertas carpetas se muestren. El precio se mantuvo en USD 1000.
  • Durante este periodo de tiempo, se podía encontrar In-the-Wild una versión beta privada (1.3B).
  • El 16 de diciembre, aparece la última versión, 1.3.2 que agrega Java calendar y un Exploit para la reciente vulnerabilidad PDF Doc.media.newPlayer, que hasta ese entonces se trataba de un 0-Day. Su valor no se modificó.
Desde el punto de vista del empleador, la infraestructura para manejar el negocio de las botnets consiste en armarla y ponerla en funcionamiento a través de un servidor dedicado que también puede ser contratado. Sin embargo, para obtener el beneficio económico se necesita de las zombis, ya que sin ellas no se podrían optimizar las tareas fraudulentas para las cueles están pensadas. De hecho, que el paquete se actualice con bastante regularidad, demuestra que los réditos que se obtienen a través de estas actividades son importantes.

Por otro lado, independientemente del costo que posee el crimeware, existen "servicios extras" ofrecidos por el desarrollador, que no están incluidos en el paquete original, como por ejemplo, la limpieza de la botnet por un costo USD 50, al igual que el cambio de dominio malicioso por el mismo valor, USD 50.

Alternativamente, los botmaster (que no necesariamente son los desarrolladores de la aplicación web) suelen alquilar su botnet de forma parcial, y en el caso de Eleonore Exploit Pack v1.3.2, su alquiler es de USD 40 por día.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware

Hybrid Botnet Control System. Desarrollo de http bot en perl
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
TRiAD Botnet III. Administración remota de zombis multiplataforma
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild


Jorge Mieres

Ver más