https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=BlackholeBlackhole - Versionsgeschichte2026-06-21T17:19:25ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Blackhole&diff=2900892&oldid=previmported>Eriosw: Vorlage - language ergänzt2025-06-30T10:36:03Z<p>Vorlage - language ergänzt</p>
<p><b>Neue Seite</b></p><div>{{Infobox Software<br />
|Screenshot= <!-- kein Screenshot vorhanden, Links siehe unten --><br />
|Beschreibung= Exploit-Kit<br />
|Hersteller= ''Paunch''<br />
|AktuelleVersion= 2.0 (geschätzt)<br />
|AktuelleVersionFreigabeDatum= 12. September 2012<br />
|Kategorie= Exploit-Kits, [[Malware]]<br />
|Lizenz= unbekannt<br />
|Deutsch= nein<br />
}}<br />
'''Blackhole''' (deutsche Übersetzung: ''schwarzes Loch'') ist ein [[Exploit]]-Kit, das mittlerweile einen Marktanteil von knapp 30 Prozent hat.<ref>{{cite web|url=https://sophosnews.files.wordpress.com/2012/03/bh_figure14.png?w=640|title=Kosten von Blackhole (Bild) | language=en |author=Sophos|accessdate=2013-03-05}}</ref> Es wird vermutlich von russischen Cyberkriminellen entwickelt, darauf lassen die [[Screenshots]] im Internet schließen.<ref>{{cite web|url=http://labs.m86security.com/wp-content/uploads/2011/12/blackhole12.png|title=Screenshot von Blackhole|author=M86 Security Labs| accessdate=2013-03-09| language=en}}</ref><ref>{{cite web|url=http://community.websense.com/cfs-filesystemfile.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/5287.statistics.png|title=Screenshot des Blackhole-Interfaces (Version 1.0.0)|accessdate=2013-03-09|offline=0| language=en}}</ref><br />
<br />
== Die Infrastruktur von Blackhole ==<br />
Blackhole ist kostenpflichtig ($ 1000 pro Halbjahr<ref>{{cite web|url=https://sophosnews.files.wordpress.com/2012/03/bh_figure2.png?w=640|title=Kosten von Blackhole (Bild)| language=en| accessdate=2013-03-09}}</ref>) und bietet eine (relativ komfortable) Administration per Web-Interface an. Das Besondere dabei ist, dass die Entwickler von Blackhole sehr schnell auf neue Sicherheitslücken reagieren.<ref>{{cite web|url=http://malwareint.blogspot.de/2011/08/black-hole-exploits-kit-110-inside.html|title=Malware Intelligence Blog: Black Hole Exploits Kit 1.1.0 Inside | language=en |author=MalwareIntelligence|accessdate=2013-03-19}}</ref> Der im Zusammenhang mit dem [[Java (Programmiersprache)|Java]]-Crash ([[Common Vulnerabilities and Exposures|CVE]]-2012-4681)<ref>{{CommonVulnerabExpos| id = CVE-2012-4681}}</ref> veröffentlichte [[Exploit]]<ref>{{cite web|url=http://pastie.org/4594319|title=Java-Exploit (CVE:2012-4681)|accessdate=2022-07-07 |offline= |work=pastie.org |archiveurl=https://web.archive.org/web/20130217000013/http://pastie.org/4594319|archivedate=2013-02-17 | language=en}}</ref> wurde nach zwölf Stunden schon in Blackhole integriert.<ref>{{cite web|url=https://www.heise.de/security/artikel/Java-0-Day-unter-der-Lupe-1676764.html|title=Java-0-Day unter der Lupe|author=Heise Security|accessdate=2013-03-09}}</ref><ref>{{cite web|url=http://nakedsecurity.sophos.com/2012/08/30/java-flaws-already-included-in-blackhole-exploit-kit-oracle-was-informed-of-vulnerabilities-in-april/|title=Java flaws already included in Blackhole exploit kit, Oracle was informed of vulnerabilities in April (englisch)|author=Sophos|accessdate=2013-03-19| language=en}}</ref><br />
<br />
Eine genaue Beschreibung der Serverinfrastruktur von Blackhole ist nicht möglich. Täglich kommen neue Server dazu, die teilweise nach wenigen Stunden oder Tagen wieder vom Netz gehen. Dazu kommt, dass viele dieser ''Knoten'' sich innerhalb von anonymen Netzwerken befinden (beispielsweise [[Tor (Netzwerk)|Tor]]), was die Ermittlung von verantwortlichen Personen quasi unmöglich macht. Die meisten dieser Server stehen in den [[USA]] (knapp 30 %), gefolgt von [[Russland]] (≈&nbsp;17,5 %).<ref>{{cite web|url=https://www.sophos.com/de-de/medialibrary/PDFs/other/sophossecuritythreatreport2013.pdf?id=ee65b697-1d30-4971-b240-ce96b5e529aa&amp;dl=true|title=Sophos Security Treath Report 2013 (englisch)|author=Sophos|accessdate=2013-03-12| language=en}}</ref><br />
{| class="wikitable"<br />
|-<br />
! Land !! Serveranteil von Blackhole (2012)<ref>{{cite web|url=http://www.sophos.com/en-us/medialibrary/PDFs/other/sophossecuritythreatreport2013.pdf?id=ee65b697-1d30-4971-b240-ce96b5e529aa&dl=true|title=Sophos Security Threath Report 2013 (englisch)|author=Sophos|accessdate=2013-03-09| language=en}}</ref><br />
|-<br />
| [[Brasilien]] || 1,49 %<br />
|-<br />
| [[Vereinigtes Königreich|Großbritannien]] || 2,24 %<br />
|-<br />
| [[Niederlande]] || 2,55 %<br />
|-<br />
| [[Deutschland]] || 3,68 %<br />
|-<br />
| [[Volksrepublik China|China]] || 5,22 %<br />
|-<br />
| [[Türkei]] || 5,74 %<br />
|-<br />
| [[Italien]] || 5,75 %<br />
|-<br />
| [[Chile]] || 10,77<br />
|-<br />
| [[Russland]] || 17,88 %<br />
|-<br />
| [[Vereinigte Staaten|USA]] || 30,81 %<br />
|-<br />
| Sonstige || 13,88 %<br />
|}<br />
<br />
=== Eine typische Blackhole-Infizierung ===<br />
Die meisten Vorfälle einer Infizierung durch Blackhole laufen nach dem folgenden Schema ab: Zunächst wird ein Werbeserver (also ein [[Server]] im Internet, der [[Werbung]] auf anderen, unverdächtigen Webseiten einblendet) gehackt und so manipuliert, dass er im Hintergrund Skripte nachlädt, die die Besucher des Servers an eine Webseite weiterleiten, die dann den Rechner auf Schwachstellen (etwa veraltete Plugins) abklopft und diese gefundenen Lücken dann ausnutzt<ref>{{cite web|url=http://www.sophos.com/en-us/medialibrary/PDFs/other/sophossecuritythreatreport2013.pdf?id=ee65b697-1d30-4971-b240-ce96b5e529aa&dl=true|title=Sophos Security Threath Report 2013 | language=en|author=Sophos|accessdate=2013-03-09}}</ref>. Wenn der Angriff auf einen Computer erfolgreich war, wird ein sog. ''Payload'' nachgeladen, also ein Programm, das weitere Aktionen durchführt, beispielsweise das Verwischen von Spuren oder das Nachladen von neuem Schadcode, der genau auf den Rechner zugeschnitten ist.<br />
<br />
=== Bedienung von Blackhole ===<br />
Es ist nicht genau bekannt, wie Blackhole vom „Endanwender“ bedient wird. Die wenigen [[Screenshots]] im Internet lassen auf eine Art [[Webinterface]] oder graphisches [[Computerprogramm|Programm]] schließen<ref>{{cite web|url=http://community.websense.com/cfs-filesystemfile.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/5287.statistics.png|title=Screenshot des Blackhole-Interfaces|author=community.websense.com|accessdate=2013-03-15|offline=0| language=en}}</ref><ref>{{cite web|url=http://labs.m86security.com/wp-content/uploads/2011/12/blackhole12.png|title=Screenshot des Blackhole-Interfaces|author=M86 Security Labs|accessdate=2013-03-19| language=en}}</ref><ref>{{cite web|url=https://lh3.ggpht.com/-tug2Y-jdNEg/UF9OTp6PVHI/AAAAAAAABMA/PB4s6C_-pQU/s1600/screenshot_35_okbis.png|title=Screenshot des Blackhole-Interfaces (teilweise geschwärzt)|accessdate=2013-03-19| language=en}}</ref>. Fest scheint jedoch zu stehen, dass Blackhole relativ komfortabel zu benutzen ist, also ohne langwieriges Programmieren von [[Exploits]] oder ''Payloads''. Details hierzu sind nicht bekannt.<br />
<br />
=== ''Payloads'' ===<br />
{| class="wikitable"<br />
|-<br />
! ''Payload'' !! Anteil (über 2 Monate, August und September 2012)<ref>{{cite web|url=https://sophosnews.files.wordpress.com/2013/01/blackhole-payload-breakdown.jpg?w=640|title=Diagramm: Von Blackhole verteilte ''Payloads'' |author=Sophos|accessdate=2013-03-19| language=en}}</ref><br />
|-<br />
| [[Zeus (Trojanisches Pferd)|Zbot]] || 25 %<br />
|-<br />
| [[Ransomware]] || 18 %<br />
|-<br />
| PWS || 12 %<br />
|-<br />
| [[Torpig|Sinowal]] || 11 %<br />
|-<br />
| FakeAV || 11 %<br />
|-<br />
| [[Backdoor]]-[[Computerprogramm|Programme]] || 6 %<br />
|-<br />
| ZAccess || 6 %<br />
|-<br />
| Downloader || 2 %<br />
|-<br />
| andere ''Payloads'' || 9 %<br />
|}<br />
<br />
== Veröffentlichung von Blackhole ==<br />
Die erste Version des Exploit-Kits wurde in „Malwox“, einem russischen Hacker-Forum veröffentlicht. Das genaue Datum oder die [[Lizenz]], unter der das Programm veröffentlicht wurde, sind unbekannt.<br />
Momentan scheint die Version 2.0 (oder höher) aktuell zu sein<ref>{{cite web|url=http://www.com-magazin.de/sicherheit/news/detail/artikel/blackhole-kit-20-erzeugt-malware-fuer-ein-paar-dollar.html#tx-timtab-content|title=Blackhole 2.0 erzeugt Malware für ein paar Dollar|author=com-magazin|accessdate=2013-03-08}}</ref><ref>{{cite web|url=http://nakedsecurity.sophos.com/2012/09/13/new-version-of-blackhole-exploit-kit/|title=New version of Blackhole exploit kit (englisch)|author=Sophos|accessdate=2013-03-19| language=en}}</ref>.<br />
<br />
== Gegenmaßnahmen ==<br />
Blackhole fällt dadurch auf, dass es ein überdurchschnittlich gutes Management besitzt. Der oder die Entwickler (Pseudonym: ''Paunch'') sind offensichtlich sehr erfahren, neue Schadsoftware für Programme zu finden oder selbst zu programmieren. Die IT-Sicherheitsfirma [[Sophos]] versucht laut einem Artikel<ref name="sophos">{{cite web|url=http://www.sophos.com/de-de/security-news-trends/reports/security-threat-report/html-09.aspx|title=Anatomy of an Attack: Drive-by-Downloads und Blackhole |work=sophos.com |accessdate=2022-07-07 |archiveurl=https://web.archive.org/web/20130327140246/http://www.sophos.com/de-de/security-news-trends/reports/security-threat-report/html-09.aspx|archivedate=2013-03-27|offline= | language=de}}</ref>, das Exploit-Kit zu verfolgen und Benutzer zu mehr Sicherheitsmaßnahmen ([[Backup]]s, Aktualisieren von kritischen Programmen etc.) aufzurufen. Der Erfolg dieser Maßnahmen ist nicht einzuschätzen, da nicht (oder kaum) bekannt ist, wie hoch die Zahl der von Blackhole infizierten Rechner sonst wäre.<br />
<br />
Da Blackhole verstärkt auf ''[[Exploit#Zero-Day-Exploit|Zero-Day-Exploits]]'' zurückgreift<ref name="sophos" /><ref>{{cite web|url=https://www.heise.de/security/meldung/Gauner-gehen-in-die-Cloud-1705409.html|title=Gauner gehen in die Cloud|author=Heise Security|accessdate=2013-03-20| language=en}}</ref><ref>{{cite web|url=https://www.heise.de/security/meldung/Kritische-Java-Luecke-wird-im-grossen-Stil-ausgenutzt-1485195.html|title=Kritische Java-Lücke wird im großen Stil ausgenutzt|author=Heise Security|accessdate=2013-02-05}}</ref>, hilft ein automatisches Aktualisieren wenig, es verhindert aber meistens eine Infizierung durch schon bekannte [[Exploit]]s.<br />
<br />
Blackhole manipuliert, wie auch andere ''Exploit-Kits'', gehackte Webseiten, indem es ein [[Skriptsprache|Skript]] (meistens [[JavaScript]]) einfügt, das beim Aufrufen der [[Webseite]] automatisch im Hintergrund den [[Browser]] beziehungsweise das [[Betriebssystem]] analysiert und auf Sicherheitslücken abklopft. Wird es fündig, versucht es, die gefundenen Lücken auszunutzen. Hier würden [[Plug-in]]s oder [[Add-on]]s (zum Beispiel [[NoScript]]) helfen, um das Nachladen von Skripten zu verhindern<ref>{{cite web|url=https://www.heise.de/security/meldung/Schadsoftware-auf-Webseiten-der-Sparkasse-3-Update-1806480.html|title=Schadsoftware auf Webseiten der Sparkasse|author=Heise Security|accessdate=2013-03-20}}</ref><ref>{{cite web|url=https://www.heise.de/security/meldung/Gauner-gehen-in-die-Cloud-1705409.html|title=Gauner gehen in die Cloud|author=Heise Security|accessdate=2013-03-20}}</ref>.<br />
<br />
Im Oktober 2013 gelang es, den Entwickler (Pseudonym: ''Paunch'') von Blackhole in Russland mit einigen Komplizen festzunehmen.<ref>{{cite web|url=https://www.heise.de/security/meldung/Entwickler-des-Blackhole-Exploit-Kit-verhaftet-1975230.html|title=Entwickler des Blackhole-Exploit-Kit verhaftet|author=Heise Security|accessdate=2013-10-10}}</ref><br />
<br />
== Prominente Fälle von Blackhole-Attacken ==<br />
* Am 3. April 2013 wurde bekannt, dass ein neues und überdurchschnittlich gut programmiertes [[Schadprogramm]] namens ''Darkleech'' im Umlauf ist. ''Darkleech'' infiziert [[Apache HTTP Server|Apache]]-[[Webserver]], wobei es bei [[IP-Adresse]]n von Sicherheitsfirmen keine Angriffe auslöst<ref>{{cite web|url=https://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html|title=Darkleech infiziert reihenweise Apache-Server|author=Heise Security|accessdate=2013-04-09}}</ref>. Es wird vermutet, dass ''Darkleech'' von den Entwicklern des ''Blackhole''-Exploit-Kits programmiert wurde, da es [[Schadcode]] von Blackhole-Seiten nachlädt.<br />
* Laut einem Bericht vom 8. April 2013 auf [[Heise Security]] ist derzeit ein [[Botnetz]] namens ''[[Cutwail]]'' wieder besonders aktiv. Es verbreitet neben dem Online-Banking-[[Trojanisches Pferd (Computerprogramm)|Trojaner]] auch [[Malware]] für [[Android (Betriebssystem)|Android]]. Auch hier werden Opfer auf ''Blackhole''-Seiten umgeleitet<ref>{{cite web|url=https://www.heise.de/security/meldung/Botnetz-verteilt-Android-Trojaner-1836854.html|title= Botnetz verteilt Android-Trojaner|author=Heise Security|accessdate=2013-04-09}}</ref>.<br />
<br />
== Siehe auch ==<br />
* [[Hacker]]<br />
* [[Malware]]<br />
* [[Exploit]]<br />
* [[Computersicherheit]]<br />
<br />
== Weblinks ==<br />
* [http://nakedsecurity.sophos.com/2013/01/16/technical-paper-black-hole-2/ Technical Paper: Deeper inside the Blackhole exploit kit.] Artikel über Blackhole (englisch)<br />
* [http://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophosinsideablackholepart2tpna.pdf?dl=true Inside a Black Hole: Part 2.] (PDF) Genauerer Artikel über Blackhole und die Infektionsvorgänge (englisch)<br />
<br />
== Einzelnachweise ==<br />
<references responsive /><br />
<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Schadprogramm]]<br />
[[Kategorie:Hackerwerkzeug (Computersicherheit)]]</div>imported>Eriosw