Neutrino Exploit Kit

Navegando pelo site cybercrime-tracker.net vi que foi publicado um painel do Neutrino Exploit Kit, coisa rara isso, uma vez que encontrar painéis de Exploits Kits é bem mais complicado do que encontrar painel de Botnet.

A saber, um Exploit Kit, como o próprio nome já diz, é um kit de exploração de vulnerabilidades, a vantagem de um Exploit Kit em relação a uma botnet é sua capacidade de gerenciamento de tráfego, relatórios e suporte do vendedor, que em sua maioria é bem mais profissional que o suporte oferecido por vendedor de Botnet.

O Exploit Kit funciona da seguinte forma:

Ele é instalado em um servidor, exatamente como uma botnet, porém, a diferença é que ele cria Links maliciosos que devem ser colocados dentro de sites, esses links ficam dentro de iframes no site, ou seja, ficam escondidos, são iframes sem largura ou altura ou no máximo na largura de 1px, dessa forma conseguem ficar invisíveis quando você visita o site comprometido.
O Exploit Kit fica no site “A”, usando sites invadidos o dono do Exploit Kit coloca iframes com links maliciosos em outros diversos sites, por exemplo, o site “B”,”C” e “D”, o usuário “U” navegando pela internet visita o site “C”, de forma rápida e quase invisível o site “C” direciona o usuário para o site “A”, onde está o Exploit Kit e lá o usuário “U” recebe diversas tentativas de invasão, seja por falhas no Java, Flash ou qualquer outra vulnerabilidade que esteja quente naquele momento, se a invasão for bem sucedida, o Exploit Kit injeta um Payload no computador do usuário “U”, esse Payload ou Carga, pode ser qualquer coisa, um EXE da Citadel Botnet por exemplo.
Toda essa logística parece complicada mas no final das contas não é, muito pelo contrário, demonstra uma ótima organização do cibercrime uma vez que dessa forma a capacidade de contaminação aumenta consideravelmente e também permite ao controlador do Exploit Kit ter relatórios de tráfego, ele tem total controle do que está acontecendo com os links maliciosos, sabe quais países estão recebendo mais Payload, sabe quais sites estão sendo mais visitados.
Algo comum nesse mundo dos Exploit Kits é alguém que tenha um site muito visitado, vender esse serviço, ou seja, se a pessoa tem um site que tem 50 mil visitas por mês, essa pessoa pode vender para algum cibercriminoso o seu site por 15 dias por exemplo, permitindo assim que o cibercriminoso coloque seu link no site e faça o carregamento do Payload nos computadores dos usuários que visitam o site, esse tipo que ataque já aconteceu até mesmo no site oficial do PHP.

Neutrino é um Exploit Kit novo, possivelmente deve ser baseado no antigo Black Hole Exploit Kit, que com certeza foi o que mais fez sucesso.

001

Na imagem acima podemos ver um o painel de estatísticas do Exploit Kit, algumas informações são importantes:

Hits: Quantidade de sites com links maliciosos que foram visitados.
Host: Quantidade de hosts que estão com o link malicioso.
Loads: Quantidade de PAYLOAD que foi carregado no computador da vítima.

No painel informa a data de criação, possivelmente deve ser a data que o Exploit Kit foi instalado, por isso temos poucas vítimas.

002

Aqui podemos observar as estatísticas dos navegadores das vítimas.

003

Aqui vemos as estatísticas dos países. Neste caso, o Exploit Kit parece ter preferência por atacar usuários da Russia, onde podemos observar que existem 66 hosts e já foram visitados 106 vezes.

004

Aqui vemos os sites que estão com os links maliciosos, novos sites são colocados na listagem periodicamente.

005

Visitando um dos sites da listagem, podemos observar a existência de um iframe que é quase comum em todos os hosts.
Vamos observar que o link destacado na foto aparece em diversos outros sites com algumas variações, mas ele parece ser o link que tenta injetar a carga que deve ser algo relacionado com uma falsa atualização do Plugin FlashPlayer.

006

Alguns sites já cairam na BlackList, com certeza o administrador do Exploit Kit deve retirar o site e colocar outro posteriormente, pois cair em uma BlackList não é bom para os negócios.

 007

Visitando outro site, novamente vemos o iframe no seu código fonte.

008

009

010

Aqui vemos uma variação do link, mas segue o mesmo padrão de tentar injetar algo no usuário. Outro detalhe importante de um Exploit Kit é a capacidade de direcionar o usuário para outro site, o objetivo disso é evitar levantar suspeitas, esse direcionamento pode ser para qualquer site.
Então, o usuário visita o site com o link malicioso, ele é direcionado de forma rápida para outro site onde são feitas tentativas de comprometer o computador e depois o usuário é direcionado para outro site, nesse caso foi o site do Yahoo.

011

012

Aqui vemos outra variação do link que tenta fazer a injeção do Payload.

Fiz um verificação para saber de onde era esse link e um servidor na Alemanha é a indicação dada.
Colocando o IP que o site Check-Host nos mostrou no navegador, somos encaminhados para um painel, esse painel é de um serviço de controle de tráfego chamado KEITARO TDS, não sei bem como esse serviço funciona, mas sei que permite um controle muito bom em relação ao tráfego de links e afins.
Todas as variações dos links presentes dentro dos iframes nos sites levam sempre para esse mesmo IP o que me faz pensar que talvez seja apenas uma forma de camuflar a verdadeira origem do link.

Fazendo uma varredura com o NMAP no IP em questão, podemos perceber uma quantidade grande de portas abertas, como 22 e principalmente a porta 3306, se quiser verificar todas as informações colhidas pelo NMAP pode clicar AQUI (link do Pastebin).

017

Farei mais pesquisas e assim que conseguir mais dados postarei aqui.