Karadelik İstismar Kiti

Karadelik İstismar Kiti

Blackhole Exploit Kit

19.01.2013

Mehmet Keçeci

spam e-mailler

Yukarıdaki e-mailler 3 gün içerisinde gelenlerden seçilmiş ve çoğu Karadelik İstismar Kiti/Blackhole Exploit Kit [1] tipi bizlerin bilgilerini, şifrelerini, üye olduğumuz site veya sosyal ağların şifrelerini çalmak amacı ile gönderilen e-maillerdir. 2010 yılında tespit edilmiştir. [2] Çoğu bilinen bir siteden geliyormuş gibi gözükse de aslında e-mail kodları incelendiğinde hepsinin spam, fake, sahte olduğu anlaşılmaktadır. Bunlar özellikle sahte linkler vererek sizi herhangi bir sitenin içine yerleştirilmiş sahte sayfalara yönlendirmektedirler. Gönderilmiş sitede ise genellikle kriptolu php kodu içermektedirler. Tüm zararlı virüs ve buna benzer yazılımların %13’ünü bu Karadelik Kiti içermektedir. Oldukça yaygın ve zararlı bir durumla karşı karşıyayız. Bu tür sitelere kesinlikle bilgi girmememiz gerekir. Bilgisayarımıza yüklemeye kalktıkları yazılımları kesinlikle kurmamalıyız. Mutlaka bir antivirüs yazılımını kuralım. [3]

Sahte Sayda Adları:

  1. request_linkedin.html_
  2. ash.html_
  3. wlc.htm_
  4. addindex.htm_
  5. solved-surely-considerable.php_
  6. uploud.htm_
  7. ***.php_
  8. ***.htm_
  9. ***.html_

Bunlar kısa aralıklarla sitelerden silindiklerinden çoğu zaman yakalanmadan bilgi hırsızlığı yapabilmektedirler. Bunun için özellikle bu bilgileri sizlerle paylaşıyorum. Siteleri denediğimden kendimi de riske atmış bulunmaktayım. Böyle e-maillerin linklerine asla tıklamayınız. Yapabiliyorsanız Live Mail veya blaklist, karaliste sitelerine bunların sitelerini, e-maillerini ve IP’lerini kaydediniz ki başkaları da zarar görmesinler.

E-Maillerdeki Sahte Sayfa Linkleri ve Onları Tespit eden Antivirüs Yazılımının Uyarısı

  1. x-mmx.com/EGBVYXNUQF.php_ (1 Günlük Kriptolu Truvaatı) Bana gelen e-maillerin ciddiyet derecelerini göstermesi açısından çok önemli buluyorum.

Bilgisayarınıza dosya indirmeye çalışan bir sahte link.

Bu virüsü incelediğimizde kriptolanmış bir truvaatı olduğunu görmekteyiz. Bu malware, kötü yazılım 18.01.2013 tarihinde tesbit edilmiştir. Yani bizim tesbitimizden sadece 1 gün önce. Bunu da sadece 2 antivirüs programında görüyoruz diğer ikisi daha bugün tesbit edebilmişlerdir. Bir çok antivirüs yazılımı görmeyeceğinden bu tamemen istismara açık bir virüstür.

MD5 : beb3300e9223d2f6de53590b9a2cf7b3
SHA1 : d591901a55a5ab8951bac49358996864053419fc

Şu Anda Sadece 37 Antivirüs Yazılımından 4 Tanesi Tesbit Edebilmiştir.

  1. Ikarus T3.1.32.20.0 2013.01.18.83249 2013-01-18 Trojan-Spy.Win32.Zbot
  2. NOD32 3.0.21 7909 2013-01-18 a variant of Win32/Kryptik.ASKV trojan
  3. Kaspersky 5.5.10 2013.01.19 2013-01-19 Trojan-Downloader.Win32.Kuluoz.alc
  4. ClamAV 0.97.5 16523 2013-01-19 PUA.Win32.Packer.Upx-28
  5. McAfee-GW-Edition Heuristic.BehavesLike.Exploit.CodeExec.I 20130120 

Not: 20.01.2013 tarihinde zipin içinde açtığım UPX1 dosyasını 46 antivirüs programı ile tarattığımda sadece McAfee-GW-Edition buldu diğerleri maalesef göremediler geçen sene McAfee’ye verdiğim eksi puanı bu sene geri alıyorum. Sonuç:

McAfee-GW-Edition Heuristic.BehavesLike.Exploit.CodeExec.I 20130120

SHA256: 631607fb781ddd2332b5591b9c5703eb87b7028370224ddafb0d5cf905d7f11c
SHA1: 958cba50d9a9fe9ae0d452e0d3e69f47f2d6a28d
MD5: ab8a5d9630bb493bc13d3e6abe6d171a
File size: 30.5 KB ( 31232 bytes )
File name: UPX1
File type: unknown
Detection ratio: 1 / 46
Analysis date: 2013-01-20 13:24:29 UTC 

***Güvenlik açığı Blackhole Exploit Kit Detection (type 1961), (type 1968), (type 1704)***

  1. societyofthemind.com/request_linkedin.html_
  2. aeroplan66.ru/request_linkedin.html_
  3. shininghill.net/detects/solved-surely-considerable.php_
     

 

  1. 213.130.1.1/~vadik787/ash.html_
  2. prescriptioncialteens.com_

 

  1. wrlabs.altervista.org/wlc.htm_
  2. hacksforwarrock.altervista.org/wlc.htm_
  3. thekla-kampelmann.com/wlc.htm_
  4. themgssdd-forum.biz/wlc.htm_


 

  1. pubpremium2.com/addindex.htm_
  2. miramiro.be/addindex.htm_
  3. jeic-emf.jp/addindex.htm_
  4. fadeinonline.com/addindex.htm_

  1. garotacarioca.site.br.com/upload.htm_

Gönderilen E-Maillerin İçeriklerinden Örnek Görüntüler

Verilen linklerin tamamı sahtedir (fake) ve yukarıdaki sitelere gönderir.

1. Sahte bir American Express e-maili

2. Sahte bir banka para transfer e-maili

3. Bilgilerinizi isteyen sahte bir e-mail

 

4. Sahte bir download, indirme linki

 

5. Sahte bir Linkedin linki

6. Sahte bir Linkedin linki

7.  Sahte bir link

8. Sizden adres bilgileri isteyen sahte bir e-mail.

 

No Virüs Davranış Tipleri Bütünü içindeki oranları
1 Cool Exploit Kit
20.14%
2

 

JavaScript Obfuscation

14.25%
3

 

Blackhole Exploit Kit Detection

13.35%
4

 

Blackhole Exploit Kit

11.55%
5

 

Redirect to Rogue Scanner

7.98%
6

 

Rogue Scanner

5.95%
7

 

Parallels Plesk Panel compromise

3.74%
8

 

HTML/Framer

2.65%
9

 

Pharmacy Spam Site

2.64%
10

 

Facebook Scam

2.61%
11

 

JS/Redir

2.29%
12

 

Generic

1.16%
13

 

YouTube Scam

1.09%
14

 

JS/POPUP

0.65%
15

 

JS/Downloader

0.59%
16

 

Invisible IFrame Injection

0.46%
17

 

Exploit

0.45%
18

 

Script/Exploit

0.44%
19

 

Script/Exploit

0.39%
20

 

JS/Agent

0.38%
21

 

Exploit_c

0.35%
22

 

Downloader Generic

0.35%
23

 

JS/Psyme

0.31%
24

 

VBS/Heur

0.30%
25

 

Redkit Exploit Kit

0.28%
26

 

Agent

0.28%
27

 

Script Injection Redirect

0.27%
28

 

Phoenix exploit kit

0.27%
29

 

Win/Heur

0.22%
30

 

Generic_r

0.22%
31

 

Link to Exploit Site

0.21%
32

 

Downloader Agent

0.20%
33

 

Generic_c

0.18%
34

 

Invisible IFrame Launcher

0.18%
35

 

JS/Obfuscated

0.18%
36

 

Dropper Generic

0.17%
37

 

Script/PDF

0.16%
38

 

SHeur

0.15%
39

 

Blackhat SEO

0.15%
40

 

Script/Generic

0.13%
41

 

Win/DH

0.11%
42

 

JS/Phish

0.11%
43

 

FakeAlert

0.10%
44

 

JS/Downloader

0.10%
45

 

Cryptic

0.09%
46

 

Styx Sploit Pack

0.09%
47

 

Win/Cryptor

0.08%
48

 

WebAttacker Exploit Kit

0.07%
49

 

Exploit

0.07%
50

 

PSW Generic

0.07%
51

 

Script Injection

0.06%
52

 

PHP/BackDoor

0.05%
53

 

Citem_c

0.04%
54

 

Win/PolyCrypt

0.04%
55

 

MDAC ActiveX code execution

0.04%
56

 

Clicker

0.04%
57

 

FakeAV

0.04%
58

 

JS/Dropper

0.03%
59

 

Proxy

0.03%
60

 

Downloader Banload

0.03%
61

 

Win/DH

0.03%
62

 

Generic_s

0.03%
63

 

Downloader

0.03%
64

 

BackDoor Generic

0.03%
65

 

Hosts

0.03%
66

 

HackTool

0.03%
67

 

IFrame Launcher Script

0.03%
68

 

Logger

0.03%
69

 

Win/DHWBIuICIlVwATmQ

0.03%
70

 

Win/NSAnti

0.02%
71

 

JS/ClickJack

0.02%
72

 

JS/Tweet

0.02%
73

 

PSW Banker

0.02%
74

 

VBS/StartPage

0.02%
75

 

Win/DHICVXTg

0.02%
76

 

Gondad Exploit Kit

0.02%
77

 

Social Engineering

0.02%
78

 

Ransom

0.02%
79

 

CRiMEPACK Exploit Kit

0.02%
80

 

Win/DH

0.02%
81

 

Agent_r

0.02%
82

 

Downloader Generic_c

0.02%
83

 

Invalid_Name

0.02%
84

 

ILAgent

0.02%
85

 

Win/DH

0.02%
86

 

Orphaned Lure site

0.02%
87

 

Execute/Scremu

0.02%
88

 

Mirar

0.02%
89

 

Downloader VB

0.02%
90

 

BHO

0.02%
91

 

Dropper Generic_c

0.01%
92

 

Worm/Small

0.01%
93

 

BAT/Crypt

0.01%
94

 

Javascript Document Write Loop

0.01%
95

 

Dropper Small

0.01%
96

 

Exploit

0.01%
97

 

BackDoor Hupigon

0.01%
98

 

Worm/Generic

0.01%
99

 

Crypt

0.01%
100

 

PSW Agent

0.01%

[4]

Kaynaklar/References:

  1. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_blackhole-exploit-kit.pdf
  2. http://sophosnews.files.wordpress.com/2012/03/blackhole_paper_mar2012.pdf
  3. http://www.mehmetkececi.com/index.php?option=com_content&view=article&id=237&Itemid=679
  4. http://www.avgthreatlabs.com/webthreats