De ontwikkelaars van de exploitkit Angler hebben hun zaken goed op orde. De concurrentie kan de feature-uitbreidingen van de tool niet bijbenen en de software is veruit de meest gebruikte tool bij criminaliteit online. Criminelen die een stukje ransomware kopen om uit te baten, kloppen aan bij zo'n crimewaredienst die met exploitkits tussen de klant en de aanbieder zitten.
Veel makers van exploitkits verkeren in zwaar weer nu Angler op een monopoliepositie afstevent. Herinner je je Kore nog? In het machtsvacuüm dat ontstond na het verdwijnen van de populairste exploitkit, Blackhole, verscheen Kore ten tonele als een van de grootste kanshebbers om de nieuwe Blackhole te worden. Een andere kanshebber die in Nederland een groeispurt doormaakte was Sweet Orange, die ook stevig werd ingezet in ons land na het verdwijnen van Blackhole.
Tool zonder innovatie sterft
Maar twee jaar later is er van beide EK's weinig meer te bespeuren. Namen als Angler, Nuclear en Magnitude hebben de criminele concurrentie volledig weggeblazen, zo blijkt uit cijfers van Trend Micro. Angler heeft bijvoorbeeld 59,56 procent van de 'markt' wereldwijd in handen, tegenover de schamele 3,25 van Sweet Orange.
In 2015 verdwenen Sweet Orange en Fiësta volledig uit zicht, schrijft het beveiligingsbedrijf. Deze twee kwamen niet mee met ontwikkelingen waar Angler wel sterk in is, bijvoorbeeld voor klanten interessante features als ontwijktechnieken en een goed arsenaal aan kwetsbaarheden. Het kwam niet meer goed met de concurrenten die achterbleven.
Ruim in de exploits
Het is niet moeilijk om te zien waarom Angler zo groot is. Ten eerste komt dat door de aanwezigheid van voldoende (zeroday-)exploits; het hele bestaansrecht van een EK. Ten tweede is de prijs om Angler te huren - EK's worden als crimeware-as-a-servie aangeboden - aantrekkelijk voor wat er wordt geboden. Ten derde bevat Angler veel features die de kit een interessant voorstel maken voor criminelen.
De eerste twee zijn aan elkaar gekoppeld. Exploits, en vooral zerodays, kosten nou eenmaal geld. De maker van Blackhole, bekend onder de naam Paunch, bood daarom naast zijn standaardeditie ook een duurdere versie onder de naam Cool om ook een high-end propositie in de markt te kunnen zetten. Een EK die minder populair wordt, heeft minder te besteden voor nieuwe exploits en wordt daardoor nog minder populair - een neerwaartse spiraal dus waar menige nijverheid zich maar moeilijk uit redt.
Snel itereren
Angler heeft zich opgewerkt in de markt door slim in te spelen op nieuw ontdekte gaten. Terwijl patches worden uitgerold, heeft Angler EK in snel een exploit toegevoegd, zoals onlangs nog het geval was bij een kwetsbaarheid in Microsofts Silverlight, CVE-2016-0034, of een exploit vorig jaar voor de Flash Player van Adobe (PDF). Het interessante van deze laatste is dat het een variatie was op een ontdekte CVE die laat zien dat de exploitmakers goed nadenken over hoe ze een kwetsbaarheid efficiënt kunnen misbruiken.
Hierna: nieuwe CVE's zijn nieuwe kansen voor criminelen. De aandacht van een kitmaker kan geen moment verslappen, getuige de plotselinge boosts in populariteit van concurrenten op het moment dat zij iets kunnen leveren wat de ander niet heeft.
Angler koopt verder met enige regelmaat zerodays, zoals in januari vorig jaar het geval was. De Franse onderzoeker Kafeine, die malware nauwlettend in de gaten houdt, merkte een exploit voor een nog niet eerder ontdekt gat in Flash. Dat gat werd later door MITRE toegewezen aan CVE-2015-0310 en twee weken na de ontdekking gepatcht door Adobe.
Nieuwe gaten, nieuwe kansen
Het effect van verse kwetsbaarheden op de populariteit van exploitkits is goed te merken in korte boosts van bepaalde kits. Magnitude maakte een opleving door in juli, wat hoogstwaarschijnlijk te danken is aan het verschijnen van een exploit voor CVE-2015-3105, dat een maand eerder was toegevoegd aan het Angler-alternatief.
De Flash-kwetsbaarheid voor systemen onder Windows, Linux en OS X en Android werd diezelfde maand nog gepatcht door Adobe. Maar in de weken voor de patch voor de browser-plugin goed en wel is uitgerold, doen criminelen goede zaken - en dan hebben we het nog niet eens over consumentensystemen die maanden of zelfs jaren vatbaar blijven.
Interessant van deze tijdelijke effecten is dat ze illustreren dat de aandacht van een toolkitmaker geen moment kan verslappen. De strijd gaat dus maand in maand uit door. Exploitkits komen en gaan en over twee jaar kan het best wel zo zijn dat Angler een vage herinnering uit het verleden is, zoals Kore nu of Blackhole daarvoor.
Dweilen met de kraan open
Opsporingsdiensten pakken de aanbodkant aan door makers te arresteren en te berechten. Je ziet dat dit bijvoorbeeld met Paunch groot effect had op de eens zo beruchte exploitkit die in een mum van tijd verdween. Maar dat is eigenlijk een pyrrusoverwinning: de online economie draait gewoon door omdat er aan de vraagkant niets verandert.
Dit is een strijd waar beveiligingsprofessionals vaak moedeloos van worden, zo merkten we onlangs op beveiligingscongres RSAc, en het doet denken aan het gevoel van fatalisme waar bijvoorbeeld drugbestrijders mee te maken krijgen, zo filosofeerden we onlangs met Intel Security-CTO Raj Samani. Er zal weinig fundamenteel veranderen zolang de vraag niet verandert: het is simpelweg te aantrekkelijk voor criminelen om deze markt los te laten omdat het rendement hoog is.
Dat moet omlaag en de onderneming wordt duurder dankzij betere consumentenbeveiliging, betrouwbare back-ups, verkleinen van aanvalsoppervlak door afstoten van al die kwetsbare plug-ins, minder (mobiele) monocultuur, en ja, meer aandacht van opsporingsdiensten voor botnets, exploitkits en malwaremakers om een carrière in dit bedrijf onaantrekkelijker te maken.
Klinkt als een miljoenen buisiness ... en waar miljoenen omgaan moet er ergens betaald worden, met bitcoins uiteraard. En zolang er banken zijn die bitcoins accepteren en omzetten in old money zal deze zwarte industrie zegevieren. Follow the money ....
Reageer
Preview