Experții în securitate menționează deseori exploatările drept una dintre cele mai grave probleme, deși nu este întotdeauna clar de ce exploatările sunt atât de speciale și înfricoșătoare. Vom încerca să explicăm aici.

înfricoșătoare

Experții în securitate menționează deseori exploatările drept una dintre cele mai grave probleme cu sistemele de date și siguranță; deși nu este întotdeauna clar care este diferența dintre exploit-uri și malware-ul în general. Vom încerca să explicăm aici.

Ce este un exploit?

Exploit-urile sunt un subset de programe malware. Aceste programe malware conțin date sau cod executabil, care poate profita de una sau mai multe vulnerabilități în software-ul care rulează pe un computer local sau la distanță.

Pune simplu: Aveți un browser și există o vulnerabilitate care permite rularea „unui cod arbitrar” (adică instalarea și lansarea unui program rău intenționat) pe sistemul dvs. fără știrea dvs. Cel mai adesea primul pas pentru atacatori este să permită escaladarea privilegiilor, astfel încât să poată face orice în cadrul sistemului atacat.

Browserele, împreună cu Flash, Java și Microsoft Office, se numără printre cele mai vizate categorii de software. Fiind omniprezente, acestea sunt explorate în mod activ de către experți în securitate și hackeri, iar dezvoltatorii trebuie să lanseze în mod regulat patch-uri pentru a remedia vulnerabilitățile. Cel mai bine este dacă aceste patch-uri sunt aplicate simultan, dar, din păcate, nu este întotdeauna cazul. De exemplu, ar trebui să închideți toate filele sau documentele browserului pentru a efectua o actualizare.

O altă problemă este exploatarea vulnerabilităților încă necunoscute, descoperite și abuzate de blackhats: așa-numitele zero zile sau 0 zile. Poate dura ceva timp până când vânzătorii să știe că au o problemă și să o rezolve.

Căile de infecție

Infractorii cibernetici preferă deseori exploatările în comparație cu alte metode de infecție, cum ar fi ingineria socială - care poate fi lovită sau ratată - utilizarea vulnerabilităților continuă să producă rezultatele dorite.

Există două moduri în care utilizatorii pot fi „hrăniți” exploate. Mai întâi, vizitând un site care conține cod de exploatare rău intenționat. În al doilea rând, prin deschiderea unui fișier aparent legitim cu cod rău intenționat ascuns. După cum se poate ghici cu ușurință, este cel mai probabil spam sau un e-mail de phishing care va aduce exploatarea.

După cum sa menționat în Securelist, exploit-urile sunt concepute pentru a atinge versiuni specifice de software care conțin vulnerabilități. Dacă utilizatorul are acea versiune a software-ului pentru a deschide obiectul rău intenționat sau dacă un site web folosește acel software pentru a opera, exploatarea este declanșată.

Odată ce obține acces prin vulnerabilitate, exploatarea încarcă apoi malware suplimentar de pe serverul infractorilor care efectuează activități dăunătoare, cum ar fi furtul de date personale, utilizarea computerului ca parte a unei rețele botnet pentru a distribui spam sau a efectua atacuri DDoS sau oricare ar fi vinovații în spatele ei intenționează să facă.

Exploit-urile reprezintă o amenințare chiar și pentru utilizatorii conștienți și harnici care își păstrează software-ul actualizat. Motivul este un decalaj de timp între descoperirea vulnerabilității și lansarea patch-ului pentru remedierea acesteia. În acest timp, exploit-urile pot funcționa liber și amenință securitatea aproape tuturor utilizatorilor de internet - cu excepția cazului în care există instrumente automate pentru a preveni atacurile de exploatare instalate.

Și nu uitați de „sindromul filelor deschise” menționat mai sus: există un preț care trebuie plătit pentru actualizare și nu fiecare utilizator este gata să îl plătească imediat când este disponibil un patch.

Exploatările rulează în pachete

Exploitele sunt adesea împachetate, astfel încât un sistem atacat să fie comparat cu o gamă largă de vulnerabilități; odată detectate una sau mai multe, intră exploatările corespunzătoare. Kituri de exploatare folosesc, de asemenea, pe scară largă obfuscarea codului pentru a evita detectarea și criptarea căilor URL pentru a împiedica cercetătorii să le dezrooteze.

Printre cele mai cunoscute sunt:

Pescar - unul dintre cele mai sofisticate kituri de pe piața subterană. Acesta a schimbat jocul după ce a cerut detectarea antivirusului și a mașinilor virtuale (utilizate adesea de cercetătorii în securitate ca melodii) și a implementării fișierelor cu picături criptate. Este unul dintre cele mai rapide kituri care încorporează noile zile zero lansate și malware-ul său rulează din memorie, fără a fi nevoie să scrie pe hard disk-urile victimelor sale. Descrierea tehnică a pachetului este disponibilă aici.

Kit de exploatare Angler Exploatarea unei noi vulnerabilități Adobe, eliminarea Cryptowall 3.0 - http://t.co/DFGhwiDeEa pic.twitter.com/IirQnTqxEO

- Kaspersky Lab (@kaspersky) 30 mai 2015

Pachet nuclear - își lovește victimele cu exploatările Java și Adobe PDF, precum și cu renunțarea la Caphaw - un troian bancar notoriu. Puteți citi mai multe aici.

Neutrino - un kit fabricat în Rusia, care conținea câteva exploatări Java, a apărut în titluri anul trecut datorită faptului că proprietarul său l-a pus în vânzare la un preț foarte modest - 34.000 USD. Cel mai probabil a fost făcut după arestarea unui anumit Paunch, creatorul următorului kit de exploatare despre care vom vorbi.

Trusa Blackhole - cea mai răspândită amenințare web din 2012, vizează vulnerabilitățile din versiunile vechi ale browserelor precum Firefox, Chrome, Internet Explorer și Safari, precum și multe pluginuri populare precum Adobe Flash, Adobe Acrobat și Java. După ce o victimă este ademenită sau redirecționată către o pagină de destinație, kitul determină ce se află pe computerele victimei și încarcă toate exploatările la care acest computer este vulnerabil.

Arestul „Punch” îi pune pe hackerii Blackhole pe dieta de date, Kaspersky's @K_Sec cântărește. http://t.co/uao2eINlkZ prin @TechNewsWorld

- Kaspersky Lab (@kaspersky) 15 octombrie 2013

Blackhole, spre deosebire de majoritatea celorlalte kituri, are o intrare dedicată în Wikipedia, deși după arestarea lui Paunch, kit-ul în sine aproape a dispărut.

Concluzie

Exploitele nu sunt întotdeauna detectabile de software-ul de securitate. Pentru a detecta cu succes exploatarea software-ului de securitate ar trebui să se utilizeze analiza comportamentului - este singura modalitate bună de a bate exploitele. Programele malware pot fi abundente și variate, dar majoritatea au modele comportamentale similare.

Ce sunt exploatele și de ce sunt atât de înfricoșătoare?

Tweet

Kaspersky Internet Security, precum și alte produse emblematice ale Kaspersky Lab utilizează o tehnologie numită Prevenirea automată a exploatării și folosește informațiile despre cel mai tipic comportament al exploitelor cunoscute. Comportamentul caracteristic al unor astfel de programe dăunătoare ajută la prevenirea infecției chiar și în cazul unui exploatare a vulnerabilității zero-day necunoscută anterior.

Mai multe informații despre tehnologia de prevenire automată a exploatării sunt disponibile aici.