Kit de exploits web

Un WebKit, Kit de exploits web (del inglés web exploit kit), Paquete de exploits de navegador o BEP (del inglés Browser Exploit Packs), es un software que se instala en servidores web y automatiza la detección y explotación de las vulnerabilidades del navegador y/o plugins instalados en ellos. Lo habitual es que el atacante introduzca enlaces o técnicas para redirigir (malvertising, correos electrónicos maliciosos, sitios web comprometidos,...) que hagan que el navegador del usuario se dirija a un sitio dañino en el que se encuentra instalado el kit de exploits web. Generalmente este tipo de software suele apoyarse en librerías Javascript como, por ejemplo, PluginDetect para obtener las versiones de los plugins utilizados y ejecutar así el exploit correspondiente.[1][2][3]

Los exploits proporcionados por el Webkit son aprovechados para instalar una carga útil que puede ser proporcionada por el kit o ser externa. Esta carga útil puede ser Ransomware, criptominado, troyanos, entre otros.[4]

Debido a su propia naturaleza son frecuentemente actualizados con los últimos exploits y técnicas de cifrado, ofuscación y packing con los que evadir multitud de dispositivos de seguridad. De esta forma suelen actualizar e integrar en su arsenal los exploits más recientes a los pocos días de su publicación[5]

Es habitual que estas herramientas estén diseñadas de forma modular de forma que se fácil agregar nuevas vulnerabilidades o eliminar las existentes.[6]


Funcionalidades adicionales

Además de la funcionalidad principal de, explotar vulnerabilidades en los navegadores, algunos kits ofrecen funcionalidades adicionales como por ejemplo:

  • Ofrecer capacidades para remotamente controlar el sistema que ha sido explotado, creando así una plataforma por Internet para actividades maliciosas controlada remotamente por el atacante. Estas plataformas se pueden explotar económicamente como una plataforma Software as a Service para cibercriminales. Los exploits kits como Fiesta EK, Blackhole EK, Goon EK, Angler EK, Nuclear EK y Magnitude EK tienen estas capacidades.[7]
  • Disponer de módulos de geolocalización de IP que proveen estadísticas de infecciones exitosas y no exitosas a lo largo de internet.[2]
  • Proveer interfaz web que proporciona información sobre como va funcionando la infección. Por ejemplo muestra víctimas activas o estadísticas (exploits más exitosos, localización geográfica de víctimas, navegadores que no se han podido explotar,...)[8]
  • Interfaz de usuario muy fácil de manejar que ayuda a quien lo desee a lanzar un ataque.[6]

Comercialización

Lo más habitual es que se comercialicen en foros de la deep web, y sus precios suelen comenzar en 500 dólares aproximadamente, pero varían mucho dependiendo del número de exploits que tengan y cuales sean estos. En especial son muy cotizados los exploits de día cero. Lo más frecuente es que utilicen vulnerabilidades ya conocidas y parcheadas y se busquen víctimas que no tenga versiones con esos problemas solucionados. A veces se realiza un solo pago pudiendo incluso tener un período de soporte técnico, por si el comprador tiene alguna duda, e incluso con actualizaciones. Otras veces se realiza un pago semanal o mensual. Incluso a veces el pago se realiza por número de infecciones exitosas (pay-per-install). El negocio de los eploit kits es rentable estimándose a que sus creadores tienen ganancias de cerca de 100.000 dólares mensuales.[8]​ La facilidad de uso y el alcance de sus exploits es lo que hace que un kit sea más popular, tenga más usuarios, se venda más y el autor o autores obtengan más ventas.[6]

Ejemplos

A los kits de exploits se les suele añadir al final las siglas EK, del inglés Exploit Kit, para dejar de forma explícita que es un kit de exploits. Ejemplos de este tipo de software son:[2][9]​.[3]

  • WebAttacker kit. Fue el primer kit de exploits que se detectó, a principios de 2006.[3]
  • MPack. Fue uno de los primeros kits de exploits. Se detectó a finales de 2006. Creado por hackers rusos, estaba basado en PHP y se aprovechaba de las vulnerabilidades en navegadores como Internet Explorer, permitiendo conocer el tecleo de los usuarios y descubrir así los datos de cuentas bancarias.[10]
  • Angler EK
  • BlackHole Exploit kit
  • Bleeding Life
  • Capensand EK[11]
  • Cool Exploit Kit
  • Crime Boss Exploit Pack
  • Crime Pack
  • CritXPack
  • Demon Hunter[11]
  • Disdain EK[12]
  • DotkaChef EK
  • Dragon
  • Eleonore Exploit Kit
  • Fallout Exploit Kit[13][14]
  • Fiesta
  • FlashPack EK
  • Fragus Black
  • Grandsoft
  • Gong Da
  • Goon EK
  • GrandSoft EK[14]
  • GreenFlash Sundown EK[14]
  • Hierarchy Exploit Pack
  • Hunter EK
  • iPack
  • Incognito
  • Impassioned Framework
  • Icepack
  • JustExploit
  • Katrin Exploit Kit
  • KaiXin EK
  • LinuQ
  • Liberty
  • Lupit Exploit Pack
  • Magnitude EK
  • Merry Christmas
  • Mushroom/Unknown
  • Neosploit
  • Neutrino
  • Nucsoft Exploit Pack
  • Nuclear
  • Nukesploit P4ck.[6]
  • Open Source/MetaPack
  • Phoenix
  • Papka
  • Purplefox EK[11]
  • Red Dice[15]
  • Red Dot
  • Redkit
  • Redkit V2, también conocido como Infinity EK
  • RIG EK[14]
  • Robopak Exploit Kit
  • Safe Pack
  • Sakura Exploit Pack
  • Salo Exploit Kit
  • Sava/Pay0C
  • SEO Sploit pack
  • Siberia
  • Siberia Private
  • SofosFO aka Stamp EK
  • SPack[15]
  • Spelevo Exploit Kit[13]
  • SpyEye.[6]
  • Sundown EK
  • Sweet Orange
  • T-Iframer
  • Techno
  • Terror[12]
  • Tornado
  • Underminer EK[14]
  • Unique Pack Sploit 2.1
  • Whitehole
  • XPack
  • Yang Pack
  • Yes Exploit
  • Zero Exploit Kit
  • Zhi Zhu
  • Sibhost Exploit Pack
  • ZeuS.[6]​ Detectado en 2007, ha evolucionado y sigue estando activo en 2017. Crea su propia botnet (Zbot).[16]
  • Zombie Infection kit
  • Zopack
  • Styx Exploit Pack

Referencias

  1. Informe de Amenazas CCN-CERT IA-03/17 MEDIDAS DE SEGURIDAD CONTRA RANSOMWARE. CCN-CERT. Junio 2017
  2. a b c System Exploitation. Aditya K Sood, Richard Enbody, in Targeted Cyber Attacks. Elsevier 2014
  3. a b c Preventing Ransomware: Understand, prevent, and remediate ransomware attacks. Abhijit Mohanta, Kumaraguru Velmurugan, Mounir Hahad. Packt Publishing 2018
  4. Exploit kits go cryptomining – Summer 2018 edition. RHegde@zscaler.com. securityboulevard.com. 7 de agosto de 2018
  5. Detección de APTs Archivado el 19 de marzo de 2020 en Wayback Machine.. José Miguel Holguín et ali. Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV). Mayo 2013
  6. a b c d e f Exploit Kits, o conviértete en un hacker. ChannelBiz.es. 21 de julio de 2015
  7. Detecting web exploit kits by tree-based structural similarity search. Xin Hu et ali. Patente US9516051B1. 14 de mayo de 2015
  8. a b Exploit kits, amados y odiados a partes iguales. Iskander Sanchez-Rola. deusto.es 5 de julio de 2016
  9. Build Cyber Range Cyber Defense Training Center to run Cyber Exercises. Gregory FRESNAIS. Cyber Test Systems 2017
  10. Exploit Kits: ¿qué son y cómo podemos defendernos de ellos?. vernegroup.com
  11. a b c Exploit kits: fall 2019 review. Jérôme Segura. malwarebytes.com. Noviembre de 2019
  12. a b Disdain, el nuevo Kit de Exploits que está amenazando a los usuarios. Rubén Velasco. redeszone.net. 19 de agosto, 2017
  13. a b DETALLES DEL NUEVO EXPLOIT SPELEVO REVELADOS POR CISCO - TALOS. zonavirus.com. 28 de junio de 2019
  14. a b c d e Exploit kits: winter 2019 review . Jérôme Segura. malwarebytes.com. 24 de septiembre de 2019
  15. a b Browser exploit packs - exploitation paradigm. Aditya Sood y Richard J. Enbody Virus Bulletin 2011
  16. Zeus es aún la base de los troyanos actuales. pandasecurity.com. 27 de septiembre de 2017.