BlackHole exploit kit и псевдослучайная генерация доменных имён

BlackHole exploit kit и псевдослучайная генерация доменных имён

 Специалистам компании Sophos удалось "разгадать" схему работы одного из скриптов, используемых в наборе эксплойтов BlackHole для перенаправления траффика на сайты, контролируемые злоумышленниками. По словам представителей Sophos, уникальность данного скрипта в том, что он способен атаковать большое количество сайтов одновременно, а после внедрения в JavaScript сайта, генерирует случайную строку, содержимое которой затем добавляется к доменному имени сайта.

Исследования показали, что встроенный скрипт обфусцируется, внедряясь в легитимные библиотеки JavaScript, установленные на инфицируемых сайтах. Также в ходе исследований обнаружилось, что одной из причин заражения может стать уязвимость в программном обеспечении для администрирования серверов. В частности, сообщается, что уязвимость, ставшая причиной заражения, найдена в программном пакете Plesk.

 

Проведя деобфускацию заражённого JavaScript(а) (простейший процесс, выполняемый стандартными методами), специалисты Sophos обнаружили, что для перенаправления используется iframe-редирект. Однако их особенно заинтересовал тот факт, что для генерации случайной строки используется простейший алгоритм с привязкой к дате.

 

Вредоносный скрипт генерирует случайную строку с привязкой к текущей дате, изменяя её каждые 12 часов.

 Тэг <iframe>, добавляемый вредоносным скриптом на страницу заражённого сайта, перенаправляет браузер пользователя, попавшего на такой сайт, на TDS сервер, контролируемый злоумышленниками. Ранее скрипт часто генерировал случайную строку, содержащую запись вида: 'Runforestrun'.

 

Новейшие модификации скрипта генерируют псевдослучайные строки разного цвета и с различным текстовым наполнением. К тому же замечено, что они научились использовать динамические системы доменных имен (приём который Blackhole применяет весьма активно).

 

Попадая на заражённый сайт, пользователь перенаправляется на сайт контролируемый злоумышленниками, где с помощью обычных эксплойтов, использующих уязвимости Java, Flash PDF и т.д., и происходит заражение компьютера.

 

Эксперты Sophos отметили ещё одну особенность описываемого вредоносного скрипта: Как показали исследования, компьютеры пользователей, попадающих на заражённый сайт, поражают абсолютно разные вредоносные програмы, начиная с бэкдоров и троянцев семейства Trojan-Spy.Win32.Zbot и заканчивая программами требующими выкуп (программа блокирует инфицированный комьютер и выдаёт сообщения с требованием заплатить злоумышленникам за его разблокировку).

По словам представителей Sophos, впервые вышеописанный вредоносный скрипт был обнаружен в начале июня текущего года, в ходе анализа интернет сайтов инфицированных вредоносной программой Mal/Iframe-AF.

 

BI.ZONE решила подвинуть Kaspersky и Positive Technologies на рынке ESP

Судя по презентации на BI.ZONE Days, компания намерена к 2027 году не просто выйти в лобовую конкуренцию с «Лабораторией Касперского», Dr.Web и Positive Technologies на рынке защиты конечных точек, но и параллельно собрать собственный полноценный стек под XDR.

План у BI.ZONE такой: свой сетевой контур, свой NGFW, свой NSP, и всё это в итоге должно сложиться в полноценную XDR-платформу.

Ключевой опорой для этого курса стала покупка Nano Security летом 2025 года. Именно этот актив, судя по логике представленных дорожных карт, теперь должен помочь BI.ZONE построить не просто очередной EDR, а полноценную Endpoint Security Platform. Причём такую, которая позволит компании попытаться подвинуть лидеров рынка: Kaspersky, Dr.Web и Positive Technologies.

На слайдах BI.ZONE рисует красивую эволюцию «от EDR к ESP». В платформу уже включены или запланированы EDR, HIPS, Host Compliance, Deception, ZTNA Client, Vulnerability Assessment, Forensics, AV Basic, AV Advanced, Host Discovery и Security Controls.

 

Отдельно компания объясняет, зачем ей вообще понадобился антивирус: без него не построить фундамент защиты конечных точек, не получить сигнатурный движок и не собрать единую платформу защиты конечных точек на базе одного агента.

 

Но и это не всё. По сетевому направлению компания строит BI.ZONE Network Security Platform — фактически свою платформу сетевой безопасности, в которую уже входят SD-WAN, криптошлюз, User Identity и ZTNA-шлюз, а к 2026–2027 годам должны добавиться High Performance Firewall, IDPS + L7 FW, TLS Inspection, AV + Sandbox и NDR.

 

Отдельный аттракцион — заход в B2C. BI.ZONE, судя по дорожной карте, к 2026 году планирует выпустить BI.ZONE Antivirus Lite для обычных пользователей, а к 2027 — уже полноценный антивирус как самостоятельный продукт.

 

Смело. Особенно с учётом того, что рынок потребительских антивирусов — это постоянная гонка за качеством детекта, ложными срабатываниями и доверием пользователей. Но план есть план.

План, конечно, дерзкий. Удачи. :)

RSS: Новости на портале Anti-Malware.ru