סיפור ההצלחה של Blackhole, ערכת הפריצה שלא מפסיקה לייצר כסף

עם הנהלה מסודרת, תפריט מחירים שקוף, עדכונים תכופים ומנוי יומי, שבועי או חודשי, ערכת הפירצה Blackhole, אחראית לכלמעלה משליש מכלל האתרים הנגועים באינטרנט והיא מזרימה הון למפתחיה.

shutterstock

ערכת הפריצה שאחראית לחלק ניכר מכלל האתרים הנגועים באינטרנט מביאה הכנסות גבוהות ליוצרים ולקהל הלקוחות שלה, וממשיכה להתחזק בתור ערכת הפריצה המובילה בעולם.

בכתבה הקודמת על ערכת הפריצה Blackhole תיארתי את החידושים שהיא הכילה בכלי הפריצה, בתוכנית המנויים ובממשק שלה כשהיא יצאה ב-2010, וכיצד היא הפכה בתקופה קצרה לערכת הפריצה הפופולארית ביותר בקרב העבריינים באינטרנט.
בשלוש השנים שחלפו מאז שיצאה גרסת הבטא של הערכה, היא המשיכה להציג עדכונים מהירים של פרצות Zero day ב-JAVA, FLASH, PDF- ודפדפנים, שכולם נקנו באמצעות ההכנסות הגבוהות שקיבלו היוצרים שלה.

החור השחור גדל

המנהיג של כנופיית העבריינים (מקורה ברוסיה) שמשווקת את הערכה מכנה עצמו Paunch, והוא דואג לעדכן את קהל המנויים והלקוחות הפוטנציאליים דרך פורומים בדארקנט כמעט מידי חודש.

Paunch הוא המתכנת הראשי של הערכה, ואיתו מנהלים אותה Naron, מצוות המייסדים של הערכה, ו-Legacy שמנהל את תוכניות המנויים והשכרת שרתי התקיפה.

העדכון המשמעותי הראשון לערכה הגיע עם גרסה 1.2.0 שיצאה בספטמבר 2011. הגרסה הכילה הגנות obsfucation חדשות עבור הסקריפטים שמשמשים להתקפה, פרצות חדשות עבור PDF, JAVA ו-Flash. בתור הגנה נוספת בפני גילוי של הערכה, הפורמט של חלק מכתובת ה-URL בשרתי התקיפה השתנה בצורה דינמית.

כמו כן, התווספה אופציה חדשה לסריקה של נוזקות שמופצות דרך הערכה, בנוסף לסורק AVCheck שהיה כלול בגרסת הבטא ניתן היה להשתמש גם בשירות של Scan4you, מה שאיפשר למשתמשים בערכה להתחמק מיותר אנטי וירוסים.

בעקבות המעמד החדש של הערכה בתור מובילה בשוק נוסף גם באנר לעמוד הסטטיסטיקות הראשי שלה, שקיים גם בגרסאות האחרונות של הערכה ומאפשר ליוצרי נוזקות וקידודים לפרסם את המוצרים שלהם עם חשיפה לקהל לקוחות גדול של האקרים ו-script kiddies. בחוג ההאקרים ידוע שקוד Flash או JAVA הוא תמיד מסוכן, ולכן הבאנרים כתובים בטקסט רגיל.

pic1

עד ששוחררה הגרסה השניה של Blackhole הספיקו לצאת גרסאות רבות עם עדכונים לפרצות עדכניות. גרסה 1.2.3 הכילה פירצת zero day של JAVA שלא היתה קיימת באף ערכה מתחרה – הדגש על פרצות ב-JAVA מגיע מהעובדה שהן מאפשרות הדבקה של מגוון מערכות הפעלה.

גרסה 1.2.5 ששוחררה ביולי 2012, הביאה איתה גם כן פרצות ייחודיות שלא היו קיימות בערכות פריצה מתחרות באותה התקופה – פירצת XML שעבדה בכל הגרסאות של Internet Explorer, ופירצת Flash שעבדה גם על גרסאות עדכניות של Adobe.

pic2

חור שחור 2.0

גרסה 2.0 של Blackhole Exploit kit שוחררה רק חודשיים לאחר מכן בספטמבר 2012. בהודעה שיצאה בפורומים התגאה Paunch שבעקבות ההצלחה המסחררת של הערכה, חברות האנטי וירוס מתאמות מאמצים כדי לזהות אתרי התקפה של Blackhole, ובעקבות כך החליטו היוצרים של הערכה לכתוב את כל הקוד של הערכה מאפס.

בין ההגנות בפני אנטי וירוסים שהקוד החדש מכיל:

  • כתובות URL דינמיות לחלוטין, כך שלא ניתן יהיה לבצע זיהוי על פי תבנית קבועה, דבר שמקשה על חברות ה-hosting של האתרים הנגועים וחברות האנטי וירוס להדוף התקפות SQL Injection על שרתי האחסון.
  • חסימת רשימה שחורה מתעדכנת של כתובות IP ישירות על כתובת ה-URL, כך שחברות האנטי וירוס לא יוכלו להוריד את הגרסאות החדשות של הנוזקות, דבר שמאט משמעותית את הזיהוי הראשוני שלהן.
  • פרצות JAVA ו-PDF מופעלות רק במקרה שאותן תוכנות לא מעודכנות, כדי למנוע זיהוי של מחרוזת התקפות מכתובת מסוימת.
  • יכולת מעקב אחרי המקור של כתובת IP, כדי להמנע מ-Honeypots של חברות האנטי וירוס. כתובת IP מותקפת פעם אחת בלבד.
  • הוספה של Captcha למסך הלוגין של הערכה, כדי למנוע התקפות Brute Force ע”י חברות אנטי וירוס או יוצרי ערכות פריצה מתחרות.
  • הסרה של פרצות ישנות מהערכה, שאחוז ההצלחה שלהן נמוך יחסית, גם נועד למנוע זיהוי של מחרוזת התקפה.

הגרסה החדשה מביאה גם שיפורים רבים לממשק של הערכה, עם סטטיסטיקות דינמיות יותר שמסוגלות להראות לוגים של שנים אחורה, תצוגות חדשות של סטטיסטיקות הדבקה של Windows 8 ומערכת תצוגה נפרדת להתקפות על סמארטפונים וטאבלטים, כדי לאפשר הפניה של טראפיק לשרת התקפה שמתאים למכשירים ניידים.

למרות כל החידושים שהגיעו בגרסה 2.0, מחיר השכירות של הערכה נותר זהה, בנוסף למחיר השכירות של שרת התקפה ייעודי, וגם בזה מתגאה Pauch בהודעה שלו על תוכנית המנויים החדשה:

So glad to report that prices have remained the same:

Rent on our server:
-Day rental – $ 50 (limit traffic 50k hits)
-Week rent – $ 200 (limit traffic 70k hits a day)
-Month lease – $ 500 (limit traffic 70k hits a day)
if need traffic limit can be raised for the add. fee

The license for your server:
-License for 3 months $ 700
-The license for six months $ 1,000
License-year $ 1500
multidomain version bundle – $ 200 one-time fee for the duration of the license (not binding on the domain and the ip)
change of the domain on the standard version bundle – $ 20
change ip for multidomain version cords – $ 50
a one-time cleaning – $ 50
avtochistki a month – $ 300 (cleaning poured yourself on your server, as soon as your slept kriptor)

 

כפי שניתן לראות, הערכה היא עדיין בין היקרות בשוק עם מחיר של “חבילה מלאה” שמגיע למינימום של 7,000$ לשנה.

גרסה 2.1.0 – כסף מביא כסף

בחודשים שלפני היציאה של הגרסה האחרונה של Blackhole, התפרסם מחקר של חוקר אבטחה צרפתי שמכנה את עצמו Kafeine, שבו הוא מתאר כיצד רק שבוע לאחר שכתב מאמר על התולעת Duqu שמשולבת בערכת הפריצה Cool Toolkit, ומשתמשת בפירצת אבטחה שלא קיימת בשום ערכת פריצה אחרת, היא הגיעה גם לערכת הפריצה Blackhole.

בהתכתבויות שנערכו לאחרונה עם Paunch בחדרי צ’אט של האקרים ב-IRC, הוא הודה שהוא אחראי גם על ערכת הפריצה Cool, והודיע חגיגית שהוא גובה עבורה סכום אסטרונומי של 10,000$ לחודש בתור ערכת פריצה “למבינים”.

מבדיקה עם מספר האקרים חזקים בתחום מתברר שהוא לא מגזים, ושכרגע הוא נותן עדיפות לפרצות אבטחה חדשות ובלעדיות בערכת הפריצה Cool,שפורסמה לראשונה בסוף 2012, ולאחר מספר שבועות מעביר אותן גם ל-Blackhole.

לפי מחקר שנערך במרץ השנה, ערכות הפריצה Blackhole ו-Cool אחראיות ישירות ובעקיפין לקרוב ל-50% (!) מהאתרים הנגועים באינטרנט.

בעקבות הפרסומים האחרונים, החליטו יוצרי Blackhole שצריך לצאת במסע פרסום אגרסיבי לקראת היציאה של גרסה 2.1.0 שיצאה בחודש יוני האחרון, והם פירסמו את המודעה הבאה בפורומים, שבה הם טוענים שהם הקדישו תקציב של 100,000$ לרכישה של פרצות אבטחה ייחודיות לערכה, ומתחייבים לא להעביר אותן הלאה לערכות פריצה אחרות:

Dear Ladies and Gentlemen!

Everyone is aware of the problem which exists now on the exploit market! To solve this problem, our team prepared the following exclusive program of purchasing new browser and browser plugin vulnerabilities. Not only do we buy exploits and vulnerabilities, but also improvements to existing public exploits, and also any good solutions for improving the rate of exploitation.

The “meat” of the project: We are setting aside a $100K budget to purchase browser and browser plug-in vulnerabilities, which are going to be used exclusively by us, without being released to public (not counting the situations, when a vulnerability is made public not because of us).

Not only do we purchase weaponized (ready) exploits, but also their descriptions and proof of concepts (with subsequent joint work with our specialists).

אם נתייחס למחקר שנערך השנה על ידי חברת אבטחה, שבו התגלה שכנופיה אחת שהשתמשה ב-Blackhole כדי לשתול נוזקות Ransomeware ביותר מ-100,000 מחשבים השתכרה כתוצאה מכך בכ-30,000$ ליום, מדובר בסכום צנוע למדי.

בנוסף לפרצות החדשות שמגיעות עם גרסה 2.1.0, כחלק ממסע הפרסום והשיווק שהגיע עם הגרסה החדשה, פורסם בפורומים שתוכנית המנויים החדשה תכלול את עלות ההשכרה של השרתים והדומיינים שמשמשים להתקפה. כמו כן, הגרסה מאפשרת פריסה קלה יותר של הפניית אתרים נגועים לשרתי התקיפה.

במאמר הבא על ערכת הפריצה Blackhole נראה כיצד מרוויחים באמצעותה סכומי כסף משמעותיים, וכיצד הפופולריות שלה והאוטומציות שהיא מספקת לעבריינים באינטרנט מביאות לכך שהיא קשורה לאחוז הגדול ביותר של אתרים נגועים באינטרנט, ולכמות הספאם הגדולה ביותר – גם בישראל.

קרדיט תמונה ראשית: Shutterstock.

הכתבה בחסות ESET

הכתבה בחסות ESET
חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה - ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android - מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.

בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.

בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות,
עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.

אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

3 תגובות על "סיפור ההצלחה של Blackhole, ערכת הפריצה שלא מפסיקה לייצר כסף"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רמי
Guest

מעניין מאוד העולם שלכם. מעולם לא נחשפתי אליו בצורה כזו.

רוקי
Guest

Cool Toolkit עושה את החיים קלים לחברות אבטחת מידע.

מוטי
Guest

לגלות לאיפה אנשים מפקידים ואז
להוריד את הקונים ואת המוכרים

wpDiscuz

תגיות לכתבה: