Das Exploit-Toolkit “Neosploit” ist einer der bekannteren Angriffsbaukästen, mit denen Online-Kriminelle versuchen Malware in die Rechner von Web-Nutzern einzuschleusen. Im Juli hatten Forscher der RSA FraudAction Research Labs gemeldet . die Macher von Neosploit hätten das kommerziell vertriebene Toolkit vom Markt genommen. Ian Amit, Direktor der Sicherheitsforschung bei Aladdin Knowledge Systems , widerspricht nun diesem anscheinend verfrühten Abgesang.
Amit meint, Neosploit sei nicht nur wieder im Geschäft, es sei auch mitverantwortlich für die beobachtete starke Zunahme der Angriffe mit PDF-Exploits . Die Neosploit-Programmierer hätten lediglich starken Gegenwind verspürt und ihr Toolkit aus der Schusslinie der Ermittler nehmen wollen.
Neosploit gilt als Nachfolger von Toolkits wie “MPack” und “WebAttacker”. Angriffsbaukästen wie diese werden in präparierten Web-Seiten eingesetzt, um Malware zu verbreiten. Sie erkennen mit Hilfe von Javascript technische Details wie die Versionsnummern des benutzten Browsers und der installierten Plug-ins. Entsprechende Verzweigungen im Angriffs-Code nutzen dann passende Exploits für bekannte Sicherheitslücken.
In der Vergangenheit waren dies vorwiegend Schwachstellen im Internet Explorer, etwa anfällige ActiveX-Komponenten, oder in Plug-ins wie Flash und Quicktime. Inzwischen konzentrieren sich verschiedene Angriffsbaukästen auf PDF-Exploits, da diese offenbar recht erfolgreich sind.
Ian Amit und seine Mitarbeiter haben einen Server in Argentinien unter Beobachtung, der von einem altbekannten Kunden des Neosploit-Toolkits betrieben wird. Auf diesem Server mehren sich die Hinweise darauf, dass mit Neosploit 3.1 wieder eine neue Version auf dem Markt ist, die ebenfalls stark auf PDF-Exploits setzt.
Allein auf diesem Server tummeln sich 20 bis 30 Neosploit-Nutzer, die etwa 200 bis 300 Websites kompromittiert und mit dem Neosploit-Kit präpariert haben. Etwa eine Viertelmillion PCs sollen damit bereits erfolgreich angegriffen worden sein. Dies schließt Amit aus den auf dem Server gespeicherten Daten.
Die Macher von Neosploit haben auch Verbesserungen an ihrem Lizenzmodell vorgenommen, um den Schutz vor Raubkopierern zu verbessern. So soll eine kostenpflichtige Lizenz fest an eine IP-Adresse gekoppelt sein. Frühere Versionen wurden offenbar teilweise von Trittbrettfahrern genutzt, die nicht bereit waren für das Toolkit zu bezahlen.
Neosploit ist also weiterhin im Geschäft. Solange es eine Nachfrage nach solchen Angriffs-Toolkits gibt, werden die Machen solcher Baukästen auch liefern.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.