Destripando Nuclear Exploit Kit

A menudo cuando se analiza el tráfico de red, podemos encontrarnos patrones pertenecientes a los ya conocidos Angler EK, Nuclear EK y Magnitude EK.

Normalmente vendidos en el mercado negro, un Exploit Kit (EK) es un conjunto de herramientas que automatiza la explotación de vulnerabilidades en el cliente, dirigidas a navegadores y plugins que un sitio web puede invocar como Adobe Flash Player, Microsoft Silverlight, Adobe Reader, Java, etc., para infectar equipos mientras se navega por Internet en lo que se llama drive-by download attacks.

Dichos patrones pueden ser detectados por reglas de SNORT como:

ET CURRENT_EVENTS Cushion Redirection
ET CURRENT_EVENTS Possible Nuclear EK Landing URI Struct T1
ET CURRENT_EVENTS Malvertising Redirection to Exploit Kit Aug 07 2014
ET CURRENT_EVENTS DRIVEBY Nuclear EK Landing May 23 2014

Después, analizando los logs de navegación para averiguar si el equipo ha sido infectado, podemos observar, el navegador del usuario contacta con una web que carga un objeto Flash. Este objeto Flash intenta explotar alguna vulnerabilidad de Adobe Flash Player y si lo consigue, descarga un fichero binario que resulta ser un bicho malo-malísimo que es ejecutado, quedando el equipo infectado.

Observamos unos contactos con páginas HTML y descarga de un par de ficheros binarios (4)(5), pero no encontramos el objeto utilizado para explotar alguna vulnerabilidad que infecte el equipo. ¿Cómo lo han hecho? ¿Acaso el usuario ha descargado conscientemente el ejecutable? O… ¿el objeto no está identificado correctamente por el proxy?

Para poder estudiarlo detenidamente, se ha buscado un ejemplo similar a este caso en malware-traffic-analysis.net donde podemos descargar un fichero PCAP para el análisis.

Continuar leyendo en fuente original Security Art Work I, II y III de esta serie