2012-09-12 - Evolution

Blackhole Exploit Kits update to v2.0





Paunch notification on Exploit.in about v2.0

Original text of the Advert ( Pastebin )  (for rough translation see at bottom - Illustration of an infection + related files in this post.)

BlackHole exploit Kit 2.0

Рады приветствовать вам совершенно новую версию связки эксплойтов. За более чем 2 года существования нашего проекта, старый движок связки изрядно заездили и затаскали, АВ компании стали очень быстро распознавать по неким критериям что это BlackHole и помечать ее как malware. В новой версии мы переписали все с нуля, причем с нуля переписана не только часть с выдачей эксплойтов, но и админ панель.


Из новшеств по выдаче:
1. Мы максимально защитили эксплойты от автоскачивания их АВ компаниями, теперь генерируется динамический УРЛ, который действителен в течении нескольких секунд, нужных лишь для одного заражения потенциально заходящего на ссылку человека.
2. Теперь так же максимально защищен и ваш ехе, АВ компания не сможет его просто так скачать, что позволит держать ваши ехе максимально долго в чистоте.
3. JAR и PDF файлы выдаются только тем версиям плагинов, которые уязвимы, если плагин не уязвим, сплойт не выдается, и не пачкается лишний раз.
4. Нам удалось отказаться от plugindetect для определения версии явы, что позволило убрать из связки много лишнего кода ускорив тем самым загрузку связки, а так же файл getJavaInfo, который запускал ява машину у всех заходящих, вне зависимости от того уязвим этот человек или нет.
5. Были убраны все старые эксплойты, дающие мизерный пробив но пугающие визуальными оповещениями и крешами браузера, такие как Flash, HCP, PDF All... Теперь в связке в админке числятся 3 эксплойта: Java Pack (atomic + byte), PDF LibTiff, MDAC (его оставили потому как он не крешит браузер, не палится аверами так как нам удалось его вычистить, и на старом ИЕ6 до сих пор работает как надо)
6. В версии 1.* ссылка на трафик к сожалению была распознаваемой для АВ компаний и для реверсеров, вид у нее был такого вида, ./main.php?varname=lgjlrewgjlrwbnvl2. В новой версии ссылку на трафик вы можете составлять сами, вот пару примеров: /news/index.php, /contacts.php и так далее, теперь за этот момент ни 1 АВ не сможет зацепиться. Причем по умолчанию имена потоков при создании потока создаются автоматически из словарика с реальными словами а не рандомными буквами.
7. Выдача теперь отдается ТОЛЬКО уникальным пользователям, что показывать при повторном заходе решать только вам, это может быть как HTML заглушка отредактированная лично вами, так и редирект на допустим ваш лендинг или любой другой сайт.
8. Теперь все урлы динамические, без постоянных имен переменных за которые можно было бы зацепиться, файла для скачивания ехе теперь просто напросто нет, или урла на JAR, теперь все пути идут непосредственно на файл на который ты пришел.
Разработано и внедрено еще очень много фишек которыми хвастаться и орать в паблике просто не резонно, дабы конкуренция и АВ компании не дремлят.


Из новшеств в админ панели:
1. Ввели captcha при авторизации, на нашей практике было достаточно не мало случаев взлома админ панелей клиентов путем брута, это должно не много притормозить неких умников.
2. Статистику по потоку теперь легко можно посмотреть выбрав его из выпадающего меню на главной странице статистики, так же станет доступна для быстрого просмотра и копирования ссылка на гостевую статистику.
3. Теперь админка не будет тормозить при достижении 1-2кк трафа, да и вообще не будет тормозить, вся нагрузка распределена на скрипты исполняющиеся по крону и группировку кучи логов в 1 запись, это позволит вообще не обнулять статистику и копить ее чуть ли не годами. По сути 2.0 версию мы писали для того, что бы объемы связка могла держать в разы больше чем старая версия, чего мы успешно добились.
4. Добавлена возможность использовать в качестве вспомогательного инструмента для производительности Memcached, причем очень удобно, его можно и не использовать для тех у кого объемы трафика не валят сервер.
5. К списку операционок добавлены Win 8 и мобильные устройства, для того что бы увидеть сколько в вашем трафике мобильного, причем мобильный трафик вы сможете редиректить на соответствующие партнерки.
6. В патоках мы так же увидим новшества, ранее было возможно оперировать двумя типами правил, эксплойты и редиректы, сейчас добавился пункт Заглушка. Заглушка служит для отображения статичной html странички. К примеру, вы можете сделать заглушку для гугл хром трафика, и там создать страничку с текстом такого рода: Эта страница работает только в Internet Explorer, Opera, Firefox.
7. Теперь появилась долгожданная фишка, отключения потока при Палеве ехе файла. Система сама проверяет палево вашего файла через указанное вами время при добавлении файла.
8. Появилась возможность использовать связку как прокладку, между источником трафа и местом ее назначения, для чего при создании потока появилась возможность указывать урл для редиректа отработанных связкой трафа. Полезно для пропускания трафа через несколько связок, либо для последующего редиректа на лэндинги.
9. При добавлении к файлу появилась возможно указывать периодичность проверки этого файла на палево АВ, а так же периодичность обновления файла с урла (если этот файл добавляется по урлу).
10. Появилось новое меню "Версии софта", там мы сможем наблюдать версии плагинов Java, Acrobat reader вашего трафика, видеть пробив каждой из версий, мониторить качество трафика путем просмотра, предоставляет ли трафер пробиваемые плагины в своем трафике. Очень полезно для оценки качества трафика и для мониторинга корректной работы сплойтах на нужных версиях плагинов.
11. Полностью обновили раздел "Безопасность", о нем можно посветить даже целый подраздел:
а) появилась возможность блокировать трафик без рефереров (рекомендуем всегда держать включенным)
б) появилась возможность банить не нужные рефереры
в) появилась возможность банить все рефереры кроме указанных вами
г) появилась возможность банить ботов по заранее подготовленной базе из 13к ипов (спасибо xshaman) (рекомендуем всегда держать включенным)
д) появилась возможность банить TOR сети, ипы которых обновляются динамически, как показала практика большинство реверсеров работают от туда (рекомендуем всегда держать включенным)
е) появился режим записи, допустим вы остановили трафик и ждать трафика вам не от куда, ставите режим записи, и все реверсеры и боты которые идут на вашу ссылку после остановки трафа прямиком идут в бан лист)
12. Так как в разделе 11 у нас появилось много возможностей для банов, то при выборе хотя бы 1 варианта бана, в меню появляется "Бан статистика", в которой можно видеть количество заблокированного трафика, и причину блокировки
13. В разделе настроек теперь мы можем указывать более детально, что мы хотим делать с статистикой рефереров (Не вести учет рефереров, Вести учет рефереров, Вести учет рефереров без отображения в гостевой стате)
14. Появилась возможность обновлять базу GeoIP одним кликом в админке
15. Всеми ожидаемая возможность возможность выключать связку при палевном домене, выглядит это примерно так: вы выбираете при каком количестве АВ домен считать не чистым (например 1), как только домен попадает в блек по 1 ав, он переключается на следующий. Так же есть возможность указывать что делать в случае если чистые домены закончатся, отключать связку полностью, либо использовать не чистый домен.
16. В связи с настройкой описанной в пункте 15 появилось новое меню "Домены", где мы можем добавлять списки доменов, видеть их палевность, управлять ими полностью, а так же возможность получить API ссылку для определенного потока, по которой можно будет видеть всегда чистую ссылку на трафик.
На самом деле версия 2.0 это не продолжение старой связки, это совершенно новая система написанная полностью с нуля учитывая просьбы клиентов собираемые на протяжении более 2 лет эксплуатации версии 1.*



Так же рады сообщить, что цены остались такими же:

Аренда на нашем сервере:
-сутки аренды - 50$ (лимит по трафику 50к хитов)
-неделя аренды - 200$ (лимит по трафику 70к хитов в сутки)
-месяц аренды - 500$ (лимит по трафику 70к хитов в сутки)
при нужде лимит трафика можно повысить за доп. плату

Лицензия на вашем сервере:
-Лицензия на 3 месяца 700$
-Лицензия на пол года 1000$
-Лицензия на год 1500$
мультидоменная версия связки - 200$ разово на весь срок лицензии (привязка не на домен а на айпи)
смена домена на стандартной версии связки - 20$
смена ip на мультидоменной версии связки - 50$
разовая чистка - 50$
авточистки на месяц - 300$ (чистки заливаются сами вам на сервер, сразу как спалится ваш криптор)


-------------------
В связи с тем что в топике версии 1.* накопилось очень много отзывов и сообщений, под версию 2.0 выделен отдельный топик, а старый топ будет закрыт как архивный, вот ссылка на него:http://exploit.in/forum/index.php?showtopic=41662


Наши контакты:

Автор и саппорт в 1 лице (время работы ненормированное):
JID: [email protected]
JID: [email protected]
JID: [email protected]
ICQ: 343002

Саппорт (время работы с 9 до 19 по будням):
JID: [email protected]
ICQ: 530082


--Google Translate-- (Pastebin )


BlackHole exploit Kit 2.0 

Are pleased to welcome you to a brand new version of the bundle of exploits. For more than 2 years of existence of our project, the old engine arrival and ligaments badly worn, AV companies have become very quick to recognize that this kind of criteria BlackHole and flag it as malware. In the new version we have rewritten from scratch, and re-written from scratch is not only part of the issuance of exploits, but also the admin panel.



Of the innovations on the issue (Translation improved by Denis Laskov ):
1.  Implemented maximum protection from Automatic systems for downloading exploits, used by AV companies: generate a dynamic URL, which is valid for a few seconds, you need only to one victim at a time.
2. Now, Your executable also protected from multiple downloads, AV company can not just download it, which will keep your exe as long as clean.
3. JAR and PDF exploits show only for   detected vulnerable versions of plug-ins  if the plug is not vulnerable,exploits not issued, and not get in detection loop.
4. We not using anymore plugindetect to determine the version of Java that will remove a lot of the bunch of extra code thus accelerating the download bundles, as well as file getJavaInfo, who ran the Java no matter of plugin version vulnerable or nor
5. Have been removed all the old exploits, giving tiny result but causing scare visual effects and browser crash, such as Flash, HCP, PDF-All ... Now the link in the admin area of ​​the number 3 Exploit: Java Pack (atomic + byte), PDF LibTiff, MDAC (he left because he did not crash the browser, still have  low-detection ratio, because we managed to clean up, and the old IE6 is still common in field)
6. In version 1. * link to malicious payload unfortunately was recognizable for AV companies and reversers, she looked this kind,. /Main.php?Varname=lgjlrewgjlrwbnvl2. The new version of the link to the malicious payload you can choose yourself, here are some examples: /news/index.php,/contacts.php and so on, now for the moment no one AV can not catch. And by default stream names when creating the flow created automatically from the dictionary with the actual words and not a random letters.
7. Issuing now given only unique users, when re-entering - its up to you to decide, what to do: it can be your HTML stub code, or redirect to your landing or any other site.
8. Now all URLs are dynamic, without permanent names for variables that could be detectable by mask, no file for exe download at all,  same to the JAR, now all that required is original path, which victim was pointed to.
Developed and implemented a lot more private tricks that author prefer not to disclose in public simply not reasonable, because competitors and the AV companies always sneak around.


Of the innovations in the admin panel:

1. Captcha entered for logging on to our practice, it was not enough to break a few cases the admin panel of clients by Brutus, it should not slow down a lot of some wise men.
2. Statistics on the flow now easy to see by selecting it from the drop down menu on the home page of statistics, will also become available for quick viewing and copying the reference to guest statistics.
3. Now the admin panel will not slow down when it reaches 1-2kn cores, and generally will not slow down, the entire load is distributed on the scripts are executed on the crown and the grouping of piles of logs in one account, it will never reset statistics and stash it almost years. Essentially version 2.0 we wrote for what amounts to a bunch of could hold many times more than the old version, which we successfully achieved.
4. Added the ability to be used as an aid to performance Memcached, and very convenient, and it can not be used for those who do not bring down the volume of traffic the server.
5. To the list of operating systems added to Win 8, and mobile devices, in order to see how much of your traffic is mobile, and mobile traffic, you can redirect to the appropriate affiliate.
6. In the molasses, we also see the innovations might have been allowed to operate with two types of rules, exploits and redirects now Add item stub. Plug is used to display a static html page. For example, you can make a plug for Google Chrome traffic, and there to create a page with the text of its kind: This page only works in Internet Explorer, Opera, Firefox.
7. Now it is a welcome feature, disable flow with fawn exe file. The system automatically checks the pale of your file through the time you specify when you add a file.
8. Now you can use a bunch as a gasket between the power cores and the place of her destination, for which to create an opportunity to select the stream URL to redirect to waste a bunch of cores. It is useful to pass a few cores ligaments, or for subsequent redirect to Landing.
9. When added to the file will be possible to specify the frequency of inspection of the file on the pale AB, as well as an update file with slashes (if the file is added to urlu).
10. There is a new menu item "Software Version", where we can watch the version of plugins Java, Acrobat reader of your traffic, see the breaking of each version, monitor the quality of traffic by looking at is whether trafer pierces the plug-ins in your traffic. It is very useful for evaluating the quality of traffic and to monitor the performance sployty on the right version of the plugin.
11. Completely updated "Security", about it can devote even a sub-section:
a) the opportunity to block traffic without referer (we recommend to always keep on)
b) the opportunity to ban unnecessary referrers
c) the opportunity to ban all referrers except those you
d) the opportunity to ban bots on a prepared base of 13k ipov (thanks xshaman) (recommend that you keep it turned on)
d) the opportunity to ban TOR network, Types which are dynamically updated as the practice most reversers work from there (it is recommended to always keep on)
e) there was a recording mode, let you stop the traffic and you do not have to wait for the traffic of which, put the record mode, and all reversers and bots that run on your link after stopping cores directly go to the ban list)
12. As in Section 11, we had many opportunities to bans, selecting at least one version of the ban, the menu, the "Ban Statistics", in which you can see the number of blocked traffic, and the reason for the lock
13. In the settings section, we can now specify in more detail what we want to do with the referrer statistics (not to record the referrer, and keep track referrers Keep track referrers without displaying the guest of the article)
14. An opportunity to update GeoIP database with one click in the admin
15. All of which had expected to able to disable a bunch of incriminating in the domain, it looks like this: when you choose how much AB domain considered not clean (eg 1) as soon as the domain gets in the black for one auto, it switches to the next. It is also possible to specify what to do if a net domains run out, turn off a bunch of completely, or use no net domain.
16. In connection with the adjustment described in paragraph 15, a new menu "Domains", where we can add lists of domains incriminating see them, manage them completely, as well as the opportunity to get API reference for a particular stream, on which you can always see a link to a clean traffic.
In fact, version 2.0 is not a continuation of the old bunch, is a completely new system written entirely from scratch, given the client is going to request for more than two years of operation, version 1. *



So glad to report that prices have remained the same:


Rent on our server:

-Day rental - $ 50 (limit traffic 50k hits)
-Week rent - $ 200 (limit traffic 70k hits a day)
-Month lease - $ 500 (limit traffic 70k hits a day)
if need traffic limit can be raised for the add. fee

The license for your server:

-License for 3 months $ 700
-The license for six months $ 1,000
License-year $ 1500
multidomain version bundle - $ 200 one-time fee for the duration of the license (not binding on the domain and the ip)
change of the domain on the standard version bundle - $ 20
change ip for multidomain version cords - $ 50
a one-time cleaning - $ 50
avtochistki a month - $ 300 (cleaning poured yourself on your server, as soon as your slept kriptor)


-------------------

Due to the fact that the topic for version 1. * Accumulated a lot of reviews and reports for version 2.0 allocated a separate topic, and the old top will be closed as a history, here is the link to it: http://exploit.in/forum/index. php? showtopic = 41662


Contacts:


Author and a support to one person (working normalized):

JID: [email protected]
JID: [email protected]
JID: [email protected]
ICQ: 343002

A support (working hours from 9 to 19 on weekdays):

JID: [email protected]
ICQ: 530082
-------------------------------------------------------


Blackhole 2.0 Login page with the Captcha
Illustration of an infection + related files in this post.

Edit 12/09/12 - 22:12 Some part of Google Translation improved Denis Laskov
Edit 13/09/12 - 02:14 Links to real case infection data.