2013-02-04 - Connect the dots

Briefly wave WhiteHole Exploit Kit hello...



WhiteHole...

After Nice Pack, Cool EK,  Blackhole, Red Dot, Sweet Orange... Anyone, show me where is the Exploit Kit name generator (WhiteRabbit would have been a better name no ? )

I spotted it for the first time around the 16/01/2013. It's a CVE-2013-0422 son.

WhiteHole as spotted on 16/01/2013
Exploit Success, but infection fail
Didn't noticed that "whole" parameter at that time.

I knew it was a work in progress seeing that somewhere:

Связка работает в тестово-релизном режиме. Проценты считаются, явадетект работает, файлы обновляются. После появления возможности редактирования можно будет релизить.

that  nezlooy translate as :

The bunch of exploits works in a test-release mode. Percent is considered, java-detect worked, the files are updated. After the appearance of editing features we'll create a release.

Advertised by "frostalex" since 29/01/2013

------------------------------------------

Основные особенности:

- Возможность работы за $ или за % от трафа (скоро будет внедрено);
- 2 режима работы (С защитой от АВ источников трафа и без)
- Защита ваших ресурсов от попадания в основные АВ: KIS, Avast. (TrendMicro в процессе обхода);
- Защита от Google Safebrowsing;
- Кластерное масштабируемое решение, держит большие объёмы;
- Возможность грузить 2 файла одновременно (теоретически можно хоть 20, но будет страдать пробив);
- Работа только с файлами, доступнми для скачивания через внешний урл. (возможности загрузить файл руками нет и не будет). Время апдейта раз в 15 минут;
- В статистику попадает весь траф, который имеет реф, а не только тот, который WinXP-8, сделано для того, чтобы реально оценивать качество трафа;
- Автоматическая замена апплетов при палеве (в резерве 5-6 обфусцированных версий апплетов, при палеве текущего, он заменяется на следующий по списку).


Тест связки: 50$, объём вприпципе не ограничен, но после 10-20к трафа сапорт может попросить вас определиться с дальнейшими действиями. Думаю этот объём достаточен для того, чтобы понять устраивает ли вас работа связки.

Аренда:
- до 200к в сутки: $200/неделя, $600/месяц
- до 500к в сутки: $400/неделя, $1200/месяц
- свыше 500к: $600/неделя, $1800/месяц
(ценовая политика может измениться)

При перебоях с работой делаем рефанд, пропорционально отработанному времени.

Нововведения, которые ожидаются в ближайшем будущем:
- Пробив через лоадер с детектированием АВ, установленных на машине пользователя (уменьшает пробив, но повышает конверт, посредством увеличения времени работы вашего софта и отсутствия необходимости часто криптовать софт);
- Добавление встроенной TDS с большими функциональными возможностями;
------------------------------------------
Translated by google and improved by nezlooy as :  (feedback welcome as usual)
------------------------------------------


Key features:

- Possibility to work for $ or% of the traffic (soon to be implemented);
- 2 modes (Secure traffic sources from AV, and no protection);
- Protect your resources from falling into the main AV: KIS, Avast. (TrendMicro in a process of traversal);
- Protection from Google Safebrowsing;
- Cluster scalable, holds large amounts;
- Possibility to load two files at once (theoretically be at least 20, but will suffer penetration);
- Work only with files available for downloading through the external URL. (possibility to download the file by hand never will be.) Time update every 15 minutes;
- The statistics gets all the traffic that has a ref, not just the one that WinXP-8, done in order to truly assess the quality of the traffic;
- Automatic replacement of applets upon detection (in a reserve 5-6 obfuscated version of the applet, upon detection of the current applet, it is replaced by the next in the list).

Test of bunch of exploits: $50, in theory, volume is not limited but after 10-20k traffic, support may ask you to decide on further action. I think this volume is sufficient to understand whether you are satisfied with the work of the bunch.

Rent:
- Up to 200k per day: $200 a week, $600 a month
- Up to 500k per day: $400 a week, $1,200 a month
- Over 500k: $600 a week, $1,800 a month
(pricing policy may change)

When malfunctions we'll make refunds in proportion to the time worked.

New features that are expected in the near future:
- Penetration through the loader with detection AV, which are installed on the user's machine (it reduces the penetration, but increases conversion by increasing the lifetime of your software and the need for frequent crypting);
- Adding a built-in TDS with more features;

------------------------------------------

Screenshot from WhiteHole statistics page for one thread (815648)
from Official Topic
Lot of love for java here
We'll do one unique pass.

Landing :
WhiteHole landing. Straightforward

Will do something like :

CVE-2013-0422 (jre17u10 vuln) positive Path
Two payload drop
I guess most of us are thinking the exact same thing, but do not want to help him sorting that mess.

CVE-2012-5076 - java 5 :

Java5 featuring CVE-2012-5076


CVE-2011-3544 - java44 :
java44 featuring CVE-2011-3544


CVE-2012-4681 - java6 :

java6 featuring CVE-2012-4681


CVE-2012-1723 CVE-2013-0422 - java :
CVE-2013-0422 in java.jar



GET http://emlchzt.changeip .name/temp/newyear/3540b1d/?cmp=98
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/a4e0b/?java=98
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/Java.jar?java=98
200 OK (application/java-archive) 66309bba9240a469b77aa64110706e2b

GET http://emlchzt.changeip .name/temp/newyear/Java6.jar?java=98
200 OK (application/java-archive) abbbd4e44ca4f455d7d0a1f62201334f

GET http://emlchzt.changeip .name/temp/newyear/Java44.jar?java=98
200 OK (application/java-archive) 5af82f9e4a2c76cae1e85cfcd231fa99

GET http://emlchzt.changeip .name/temp/newyear/Java5.jar?java=98
200 OK (application/java-archive) 74da082a186ea8c0e9d61e6df477fab5

GET http://emlchzt.changeip .name/temp/newyear/1813491619/?whole=98
302 Found to http://emlchzt.changeip .name/temp/softl98.exe


GET http://emlchzt.changeip .name/temp/newyear/3540b1d/org.class
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/1813491619/?whole=9802
302 Found to http://emlchzt.changeip.name/temp/pod.exe

GET http://emlchzt.changeip .name/temp/pod.exe
200 OK (application/x-msdos-program) c63877355c46858edfeaa974f0d735f7
Zaccess (other days got : a8b1cdcf5aebb56acb4c13f2a4516a9e and 67eb1d32b95a9bf0c685af9b6b3fa443 )

GET http://emlchzt.changeip .name/temp/newyear/3540b1d/com.class
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/3540b1d/edu.class
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/3540b1d/net.class
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/1183133538/?whole=98
302 Found to http://emlchzt.changeip.name/temp/softl98.exe

GET http://emlchzt.changeip .name/temp/newyear/1813491619/?whole=9803
302 Found to http://emlchzt.changeip.name

GET http://emlchzt.changeip .name/temp/softl98.exe
200 OK (application/x-msdos-program) 82735d21324a9e838782257e4602a4e4
Urausy Ransomware. (other days got : fb593979b04f82c9578434b3908c7fe4 & b654247b3d3af59169a6d90433e14584 )

GET http://emlchzt.changeip .name/
200 This buggy server did not return headers ()

GET http://emlchzt.changeip .name/temp/newyear/1183133538/?whole=9802
302 Found to http://emlchzt.changeip.name/temp/pod.exe

GET http://emlchzt.changeip .name/temp/pod.exe
200 OK (application/x-msdos-program)

GET http://emlchzt.changeip .name/temp/newyear/1183133538/?whole=9803
302 Found to http://emlchzt.changeip.name

GET http://emlchzt.changeip .name/
200 This buggy server did not return headers ()

<edit1 2013-04-26>
Integration of CVE-2013-1493 see : http://malware.dontneedcoffee.com/2013/03/cve-2013-1493-jre17u15-jre16u41.html
</edit1>
<edit2 2013-05-05>
Integration of CVE-2013-2423 see : http://malware.dontneedcoffee.com/2013/04/cve-2013-2423-integrating-exploit-kits.html
</edit2>

Files : (fiddler/payload/jar - public Password)
http://goo.gl/nYe67 (OwnCloud)