Mi az a kizsákmányoló készlet (példákkal) és hogyan használják ezeket a bűnözők?

Mi az a kizsákmányoló készlet (példákkal) és hogyan használják fel azokat a számítógépes bűnözők?


A kizsákmányoló készletek (vagy a csomagok kihasználása) olyan automatikus programok, amelyeket a támadók használnak a rendszerek vagy alkalmazások ismert biztonsági réseinek kihasználására. Lehetnek támadások titkos elindításához használták amíg az áldozatok böngésznek az interneten, azzal a céllal, hogy valamilyen típusú rosszindulatú szoftvert töltsenek le és hajtsanak végre.

Mivel a kizsákmányoló készletek a háttérben működnek, nehéz lehet megtudni, mikor támadnak meg. Vannak olyan intézkedések, amelyek segítenek védelmet nyújtani e támadások ellen, például az ismeretlen hivatkozások elkerülése és a szoftver frissítése.

Ebben a cikkben többet ismertetünk arról, hogy mi a kizsákmányoló készletek, hogyan működnek, és miként használják azokat a számítógépes bűnözők. Ezenkívül tippeket is nyújtunk a támadások és az ebből eredő rosszindulatú programok hasznos teherének megelőzésére.

Mi az a kizsákmányoló készlet?

Az exploit kit olyan csomag, amelyet a számítógépes bűnözők használnak rosszindulatú programok szállítására. Az alábbiakban megvizsgáljuk a támadás végrehajtásának részleteit, de lényegünk az, hogy az áldozat egy veszélyeztetett webhelyet látogat meg, és ha a számítógépükben található szoftverben vannak bizonyos sebezhetőségek, akkor a kizsákmányolást meg lehet valósítani. Ennek eredményeként a rosszindulatú programokat letöltik és végrehajtják az áldozat eszközén.

A szoftver sebezhetősége olyan hiba vagy hiba a kódban, amely lehetővé teszi a támadó számára, hogy valamilyen módon behatoljon az alkalmazásba, például kizsákmányolás esetén, jogosulatlan feladat futtatásával. Az ismert sebezhetőségeket a Közös biztonsági rések és kitettségek (CVE) hivatkozási listájában nevezték el. A CVE-2018-8174 például egy erősen kihasznált Internet Explorer biztonsági rés.

CVE-2018-8174

A kizsákmányolás általános célpontjai a népszerű szoftverek, amelyek számos ismert biztonsági rést tartalmaznak, például az Adobe Flash, az Oracle Java és az Internet Explorer. Minél népszerűbb az alkalmazás, annál nagyobb a esélye a támadónak arra, hogy megfelelő áldozatot vonzzon.

Ez az, ahol a kizsákmányoló készletek különösen hasznosak a felhasználók számára. A kizsákmányoló készletek egyszerre több sebezhetőséget céloznak meg és mindent tartalmaz, amely a bűnözőnek szüksége van a támadás végrehajtásához. Ha az egyik kizsákmányolás nem megfelelő, egy másik lehet, ha növeli a kiberbűnöző esélyét egy sikeres támadás végrehajtására..

Az a tény, hogy ezek a dolgok előre gyártott készletekként kerülnek forgalomba, megkönnyíti azok végrehajtását és vonzóbbá teszik a bűnözők számára kevés műszaki ismeretekkel.

Hogyan hajtjuk végre a kizsákmányoló készletet

A kizsákmányolás sikerességéhez több szakaszra van szükség:

  1. Hozzon létre kapcsolatot a fogadó környezettel egy nyitóoldalon keresztül.
  2. Átirányítás egy alternatív céloldalra, és felfedezni a kihasználható biztonsági réseket a gazdagépen.
  3. Végezze el a rosszindulatú programok elterjesztését.
  4. Fertőzze be a gazdagépet a rosszindulatú programok végrehajtásával.

A kizsákmányoló készlet tartalmazza az egyes szakaszok végrehajtásához szükséges összes kódot. Ha az egyik szakasz sikertelen, akkor ez jelzi az adott eszköz támadásának végét. Itt részletesebben megvizsgáljuk ezeket a szakaszokat, és megvizsgáljuk, hogy mely kritériumoknak kell teljesülniük mindegyiknél.

1. Hozzon létre kapcsolatot

A kizsákmányolás első szakasza egy veszélyeztetett weboldal nyitóoldalát használja. Az áldozatokat arra ösztönzik, hogy látogassák el ezt a webhelyet, például e-mail link, felugró ablak vagy rosszindulatú hirdetés (rosszindulatú hirdetés) útján..

Egyszer a az áldozat rákattint a webhely linkjére, vagy beírja az URL-t böngészőjébe, a kezdeti kapcsolat létrejött.

Ezen a ponton lehetnek olyan felhasználók, akik nem felelnek meg bizonyos kritériumoknak, például a rossz helyen lévő felhasználóknak (gyakran az IP-cím alapján kerülnek meghatározásra vagy a telepítési nyelv ellenőrzésére). Ezeket a felhasználókat kiszűrjük, és számukra a támadás véget ért.

2. Átirányítás

A fennmaradó áldozatokat átirányítják egy alternatív céloldalra, amely már nem a valódi webhely. Az ebbe a céloldalba beágyazott kód ezután megvizsgálja, hogy az áldozat eszköze rendelkezik-e sebezhető böngésző alapú alkalmazásokkal, amelyek megfelelnek a készletben szereplő kihasználásoknak..

Ha semmilyen sebezhetőséget nem észlel (azaz minden naprakész és minden lyuk javítva), akkor a támadás leáll. De ha sebezhetőséget találtak, akkor a weboldal forgalmat küld a kizsákmányolásra.

3. Használja ki

A biztonsági rés megkövetelésének oka az, hogy a kizsákmányoló készletnek rosszindulatú programokat kell futtatnia a gazdagépen (az áldozat eszköze). A sérülékenynek talált alkalmazást a rosszindulatú programok letöltésére használják.

Az expolit végrehajtásának módja az alkalmazástól függ. Például, ha maguk a böngészők a cél, akkor a kizsákmányolás a weboldalba beágyazott kód formájában történik. Egy másik példa a Microsoft Silverlight általánosan célzott alkalmazás, amelynek kizsákmányolása egy fájl.

Microsoft Silverlight honlap.

Az „exploit kit” kifejezés azt jelenti, hogy egy csomagba csomagolt többféle kizsákmányolás is lehetséges. Több sérülékenységet céloz meg, megkönnyítve a végrehajtást és növelve a bűncselekmények sikerének esélyét.

4. Fertőzzön

Sikeres kizsákmányolás után, a rosszindulatú programokat az áldozat környezetében hajtják végre. Ami a rosszindulatú programok hatását illeti, sokféle forgatókönyv létezik. Az exploits készletek felhasználhatók különféle típusú rosszindulatú programok, köztük a ransomware és a trójaiak terjesztésére.

A kizsákmányoló készletek népszerû használata kripto pénznembányászati ​​szoftver végrehajtása. Ez eltéríti az áldozat számítógépes erőforrásait, a bitcoin és más kriptovaluták bányászatában történő felhasználáshoz, a felhasználó engedélye nélkül.

Példák kizsákmányoló készletekre

A szoftverfejlesztők biztonsági javításai miatt az egyes kihasználások korlátozott élettartamúak. A készletfejlesztők azonban saját frissítéseket hoznak létre, hogy egy adott készlet új verziói kihasználják az új biztonsági réseket. Mint ilyen, néhány készlet már egy ideje fennáll.

Az Adobe Flash kihasználó készletek rendkívül népszerűek voltak a múltban, mivel a szoftver fokozatos leállítása állítólag meredek visszaesést okozott a kihasználó készletek fejlesztésében. A legfrissebb tanulmányok azt mutatják, hogy a Microsoft termékfelhasználásai felé fordulnak. Ennek ellenére egy készlet egyszerre több alkalmazást is megcélozhat. Használható egynél több rosszindulatú program terjesztésére is.

Íme néhány példa a hasznosító készletre:

RIG

A 2018-ban a legnépszerűbb exploit-készletek között a RIG különféle terjesztési módszereket és az azokból származó hasznos teheröket alkalmaz. Szénabányászok, trójai bankok, ransomware stb. Terjesztésére használták.

Trend Mirco grafikon.Ez a táblázat a 2018-as Trend Micro jelentésből bemutatja néhány általános kizsákmányolókészlet aktivitásának szintjét 2018 első felében.

GrandSoft

Noha ez egy régebbi készlet, ekkor 2018-ban újbóli felújításra került. A GrandSoftról ismert, hogy forgalmazza a ransomware szoftvereket (különösen a GrandCrab-t), a trójaiakat (különösen az AZORult és a QuantLoader), valamint a bányászokat..

nagyság

A nagyságcélok az ázsiai országokat választják ki, és konkrét hasznos teherrel járnak. Ez már hosszú ideje fennáll, de megváltoztatta formáját. Régebben a Flash Player kizsákmányolásait is magában foglalta, de arra adaptálták, hogy pusztán az Internet Explorer sebezhetőségének támadására szolgáljon. Az A Magnitude EK verziója Dél-Koreát célozza meg (többek között az IP-cím és a nyelv ellenőrzésével) és szállít egy speciális ransomware szoftvert, a Magniber nevű szoftvert.

Nukleáris

Noha ez egy ideje nem volt a hírekben, a Nukleáris Hasznosító Készlet egyszerre nagy pénzszerző volt az alkotók számára. A Checkpoint biztonsági cég jelentése szerint a készletet valaki fejlesztette ki Oroszországban, mögötte álló csapat havonta mintegy 100 000 dollárt keresett a készletből.

A nukleáris politika inkább „szolgáltatásként való felhasználás” volt, ahol a bűnözők kölcsönzötték a készletet. Ők csinálnának valamit használjon egy kezelőpanelt, amelybe rosszindulatú programokat tölthetnek fel és nyomon követheti eredményeiket.

Miért sikeresek a kizsákmányoló készletek??

Tekintettel arra, hogy a támadók ismert sebezhetőségeket használnak, kíváncsi lehet, hogy ezek a gyengeségek hogyan maradnak kitéve, lehetővé téve a támadásokat.

A 2018. évi Trend Micro jelentés [PDF] rávilágít az egyik fő okra:

„Az újonnan felfedezett sebezhetőségek folyamatos támadása csak ezt teszi a vállalkozások számára a nehezen felzárkózást. Gyakran a sérülékenységek nagysága és a hálózat rendelkezésre állásának egymással versengő prioritása miatt gyakorlati kompromisszumokat kell végrehajtaniuk azáltal, hogy fontosnak ítélik meg az egyes sérülékenységeket, és a többi sérülékenységhez később hagyják nyitott javításokat. ”

Alapvetően egyszerűen van túl sok ahhoz, hogy mind egyszerre megjavítsák. Még ha a biztonsági réseket is javították, és olyan vállalatok, mint a Microsoft és az Adobe kiadtak frissítéseket, a vállalatok nem mindig tudják frissíteni a rendszereiket.

Meg kell fontolniuk, hogy mely frissítéseket kell először elvégezni, és remélniük kell, hogy helyes döntéseket hoznak, mivel a számítógépes bűnözők várják, hogy kihasználják az összes gyengeséget. Hasonlóképpen, magánszemélyek esetében, ha valaki frissítést hajt végre, vagy valamilyen okból hiányzik, akkor sokkal nagyobb esélye van arra, hogy a kizsákmányoló készlet sikeres legyen.

Néhány egyéb tényező kölcsönözhető a kizsákmányolási készletek sikerének, az egyik az, hogy az első kapcsolatfelvétel könnyen megtörténik, például ha valaki egy gazember hirdetésre vagy egy e-mail linkre kattint. Másodszor, miután megtörtént az első kapcsolatfelvétel, nehéz megmondani, hogy valami kedvezőtlen esemény zajlik.

Hogyan lehet védeni a kihasználó készletekkel szemben?

Mivel olyan nehéz tudni, hogy mikor működnek a kizsákmányoló készletek, és mivel ezek annyira változatosak, a legjobb, ha elkerüljük őket. Íme néhány tipp, amelyek segíthetnek:

  • Tartsa naprakészen a szoftvert. A szoftver rendszeres frissítése egyik legfontosabb oka a biztonsági rések javítása.
  • Ne kattintson a spam linkre. Mint mindig, kerülje az e-mailek megnyitását bárkitől, akit még nem ismer, és feltétlenül ne kattintson a gyanús linkekre.
  • Kerülje a hirdetéseket és a felbukkanó ablakokat. A felbukkanó ablakok és a hirdetések esetében nehéz lehet elkerülni a kattintásokat, mivel ezek közül sokan arra készültek, hogy megtévessze ezt (például a „bezárás” gombot nehéz megtalálni, vagy a hirdetés mozog). Az adblokkoló hasznos lehet, mivel ez megakadályozza a hirdetések és a felbukkanó ablakok megjelenését.
  • Használjon víruskeresőt. Az antivírus semmilyen módon nem biztonságos, de sok ismert fenyegetést képes felismerni és eltávolítani, ideértve a vírusokat és más típusú rosszindulatú programokat is, amelyek az eszközére vezetnek.

Kép jóváírása: Michael Krause „Crack Wall” licence, CC CC 2.0 alapján

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

9 + 1 =