Blackhole
| Blackhole
| |
|---|---|
| [[Datei:Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value)|150px]] | |
| Basisdaten
| |
| Maintainer | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Entwickler | Paunch |
| Erscheinungsjahr | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Aktuelle Version | 2.0 (geschätzt) (12. September 2012) |
| Aktuelle Vorabversion | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) (Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value)) |
| Betriebssystem | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Programmiersprache | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Kategorie | Exploit-Kits, Malware |
| Lizenz | unbekannt |
| deutschsprachig | ja |
| Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) | |
Blackhole (deutsche Übersetzung: schwarzes Loch) ist ein Exploit-Kit, das mittlerweile einen Marktanteil von knapp 30 Prozent hat.<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Kosten von Blackhole (Bild).] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 5. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> Es wird vermutlich von russischen Cyberkriminellen entwickelt, darauf lassen die Screenshots im Internet schließen.<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Screenshot von Blackhole.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 9. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref>Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Screenshot des Blackhole-Interfaces (Version 1.0.0).] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 9. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>
Die Infrastruktur von Blackhole
Blackhole ist kostenpflichtig ($ 1000 pro Halbjahr<ref>Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Kosten von Blackhole (Bild).] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 9. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>) und bietet eine (relativ komfortable) Administration per Web-Interface an. Das Besondere dabei ist, dass die Entwickler von Blackhole sehr schnell auf neue Sicherheitslücken reagieren.<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Malware Intelligence Blog: Black Hole Exploits Kit 1.1.0 Inside.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 19. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> Der im Zusammenhang mit dem Java-Crash (CVE-2012-4681)<ref>CVE-2012-4681 bei MITRE (englisch)</ref> veröffentlichte Exploit<ref>Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Java-Exploit (CVE:2012-4681).] In: pastie.org. , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 7. Juli 2022 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> wurde nach zwölf Stunden schon in Blackhole integriert.<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Java-0-Day unter der Lupe.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 9. März 2013.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Java flaws already included in Blackhole exploit kit, Oracle was informed of vulnerabilities in April (englisch).] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 19. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>
Eine genaue Beschreibung der Serverinfrastruktur von Blackhole ist nicht möglich. Täglich kommen neue Server dazu, die teilweise nach wenigen Stunden oder Tagen wieder vom Netz gehen. Dazu kommt, dass viele dieser Knoten sich innerhalb von anonymen Netzwerken befinden (beispielsweise Tor), was die Ermittlung von verantwortlichen Personen quasi unmöglich macht. Die meisten dieser Server stehen in den USA (knapp 30 %), gefolgt von Russland (≈ 17,5 %).<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Sophos Security Treath Report 2013 (englisch).] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 12. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>
| Land | Serveranteil von Blackhole (2012)<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Sophos Security Threath Report 2013 (englisch).] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 9. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> |
|---|---|
| Brasilien | 1,49 % |
| Großbritannien | 2,24 % |
| Niederlande | 2,55 % |
| Deutschland | 3,68 % |
| China | 5,22 % |
| Türkei | 5,74 % |
| Italien | 5,75 % |
| Chile | 10,77 |
| Russland | 17,88 % |
| USA | 30,81 % |
| Sonstige | 13,88 % |
Eine typische Blackhole-Infizierung
Die meisten Vorfälle einer Infizierung durch Blackhole laufen nach dem folgenden Schema ab: Zunächst wird ein Werbeserver (also ein Server im Internet, der Werbung auf anderen, unverdächtigen Webseiten einblendet) gehackt und so manipuliert, dass er im Hintergrund Skripte nachlädt, die die Besucher des Servers an eine Webseite weiterleiten, die dann den Rechner auf Schwachstellen (etwa veraltete Plugins) abklopft und diese gefundenen Lücken dann ausnutzt<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Sophos Security Threath Report 2013.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 9. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>. Wenn der Angriff auf einen Computer erfolgreich war, wird ein sog. Payload nachgeladen, also ein Programm, das weitere Aktionen durchführt, beispielsweise das Verwischen von Spuren oder das Nachladen von neuem Schadcode, der genau auf den Rechner zugeschnitten ist.
Bedienung von Blackhole
Es ist nicht genau bekannt, wie Blackhole vom „Endanwender“ bedient wird. Die wenigen Screenshots im Internet lassen auf eine Art Webinterface oder graphisches Programm schließen<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Screenshot des Blackhole-Interfaces.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 15. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Screenshot des Blackhole-Interfaces.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 19. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref>Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Screenshot des Blackhole-Interfaces (teilweise geschwärzt).] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 19. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>. Fest scheint jedoch zu stehen, dass Blackhole relativ komfortabel zu benutzen ist, also ohne langwieriges Programmieren von Exploits oder Payloads. Details hierzu sind nicht bekannt.
Payloads
| Payload | Anteil (über 2 Monate, August und September 2012)<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Diagramm: Von Blackhole verteilte Payloads.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 19. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> |
|---|---|
| Zbot | 25 % |
| Ransomware | 18 % |
| PWS | 12 % |
| Sinowal | 11 % |
| FakeAV | 11 % |
| Backdoor-Programme | 6 % |
| ZAccess | 6 % |
| Downloader | 2 % |
| andere Payloads | 9 % |
Veröffentlichung von Blackhole
Die erste Version des Exploit-Kits wurde in „Malwox“, einem russischen Hacker-Forum veröffentlicht. Das genaue Datum oder die Lizenz, unter der das Programm veröffentlicht wurde, sind unbekannt. Momentan scheint die Version 2.0 (oder höher) aktuell zu sein<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Blackhole 2.0 erzeugt Malware für ein paar Dollar.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 8. März 2013.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig New version of Blackhole exploit kit (englisch).] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 19. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>.
Gegenmaßnahmen
Blackhole fällt dadurch auf, dass es ein überdurchschnittlich gutes Management besitzt. Der oder die Entwickler (Pseudonym: Paunch) sind offensichtlich sehr erfahren, neue Schadsoftware für Programme zu finden oder selbst zu programmieren. Die IT-Sicherheitsfirma Sophos versucht laut einem Artikel<ref name="sophos">Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Anatomy of an Attack: Drive-by-Downloads und Blackhole.] In: sophos.com. , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 7. Juli 2022.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>, das Exploit-Kit zu verfolgen und Benutzer zu mehr Sicherheitsmaßnahmen (Backups, Aktualisieren von kritischen Programmen etc.) aufzurufen. Der Erfolg dieser Maßnahmen ist nicht einzuschätzen, da nicht (oder kaum) bekannt ist, wie hoch die Zahl der von Blackhole infizierten Rechner sonst wäre.
Da Blackhole verstärkt auf Zero-Day-Exploits zurückgreift<ref name="sophos" /><ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Gauner gehen in die Cloud.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 20. März 2013 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Kritische Java-Lücke wird im großen Stil ausgenutzt.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 5. Februar 2013.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>, hilft ein automatisches Aktualisieren wenig, es verhindert aber meistens eine Infizierung durch schon bekannte Exploits.
Blackhole manipuliert, wie auch andere Exploit-Kits, gehackte Webseiten, indem es ein Skript (meistens JavaScript) einfügt, das beim Aufrufen der Webseite automatisch im Hintergrund den Browser beziehungsweise das Betriebssystem analysiert und auf Sicherheitslücken abklopft. Wird es fündig, versucht es, die gefundenen Lücken auszunutzen. Hier würden Plug-ins oder Add-ons (zum Beispiel NoScript) helfen, um das Nachladen von Skripten zu verhindern<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Schadsoftware auf Webseiten der Sparkasse.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 20. März 2013.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Gauner gehen in die Cloud.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 20. März 2013.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>.
Im Oktober 2013 gelang es, den Entwickler (Pseudonym: Paunch) von Blackhole in Russland mit einigen Komplizen festzunehmen.<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Entwickler des Blackhole-Exploit-Kit verhaftet.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 10. Oktober 2013.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>
Prominente Fälle von Blackhole-Attacken
- Am 3. April 2013 wurde bekannt, dass ein neues und überdurchschnittlich gut programmiertes Schadprogramm namens Darkleech im Umlauf ist. Darkleech infiziert Apache-Webserver, wobei es bei IP-Adressen von Sicherheitsfirmen keine Angriffe auslöst<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Darkleech infiziert reihenweise Apache-Server.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 9. April 2013.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>. Es wird vermutet, dass Darkleech von den Entwicklern des Blackhole-Exploit-Kits programmiert wurde, da es Schadcode von Blackhole-Seiten nachlädt.
- Laut einem Bericht vom 8. April 2013 auf Heise Security ist derzeit ein Botnetz namens Cutwail wieder besonders aktiv. Es verbreitet neben dem Online-Banking-Trojaner auch Malware für Android. Auch hier werden Opfer auf Blackhole-Seiten umgeleitet<ref>Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Botnetz verteilt Android-Trojaner.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 9. April 2013.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>.
Siehe auch
Weblinks
- Technical Paper: Deeper inside the Blackhole exploit kit. Artikel über Blackhole (englisch)
- Inside a Black Hole: Part 2. (PDF) Genauerer Artikel über Blackhole und die Infektionsvorgänge (englisch)
Einzelnachweise
<references responsive />