среда, 30 ноября 2011 г.

Java эксплойты впереди всех по пробиву

За последнее время Java-эксплойты получили наиболее широкое распространение в составе различных эксплойт-паков. Уровень пробива у них очень высок, так как обновляют JRE многие крайне редко, да и вообще забывают о его существовании. Для злоумышленников дополнительном стимолом к поиску уязвимостей в JRE является легкость их эксплуатации, стабильность, работа в обход различных песочниц внутри браузеров и кроссплатформенность.

Кибепреступникам не выгодно вкладывать деньги в покупку/поиск уязвимостей нулевого дня, это дорого и не нужно, т.к. и 1-day уязвимости позволяют им добиться желаемого результата. Вот например скриншот с панели BlackHole, с которой загружался Carberp.


Отчетливо видно, что по популярности Java-эксплойты значительно обходят все остальные. Второе место делят между собой Flash и PDF, что вполне объяснимо. Уязвимости там не просто старые, а некоторые более чем годичной давности, но тем не менее показывают высокий уровень пробива. По нашим данным мониторинга, подтвержденного статистикой по Рунету уже прошло несколько активных компаний по распространению Carberp по разным популярным ресурсам. Так, например раздача этого банковского троянца была замечена на сайтах, целевой аудиторией которых являются бухгалтера или люди имеющие отношение к управлению финансами различных компании. В прошлом месяце по нашему региону на первое место по числу срабатываний вышел следующий эвристический детект: HTML/Iframe.B.Gen - 5.40%

По большей части все эти детекты были связны с попытками атак или переадресации на BlackHole. BlackHole сейчас самый распространенный и продвинутый с точки зрения дополнительных сервисов эксплойт-пак. Так, например в раках его интерфейса можно управлять обнаружением со стороны антивирусных продуктов и перепаковкой дропера (в том числе и на сторонних сервисах).


Сегодня на паблике появилась реализация эксплойта для еще одной Java-уязвимости (CVE-2011-3544), которая позволяет удаленно выполнить произвольный код.