Шта је кит за експлоатацију (са примерима) и како их користи цибер-криминалац?

Шта је кит за експлоатацију (са примерима) и како их злочинци користе


Екплоит сетови (или екплоит пакети) су аутоматизовани програми које нападачи користе да би искористили познате рањивости у системима или апликацијама. Они могу бити користи се за тајно покретање напада док жртве прегледавају веб, а циљ је био преузимање и извршавање неке врсте злонамерног софтвера.

Будући да сетови за експлоатацију раде у позадини, може бити тешко знати када сте под нападом. Међутим, постоје мере које вам могу помоћи да се заштитите од ових напада, као што су избегавање непознатих веза и ажурирање софтвера.

У овом чланку објашњавамо више о томе шта су комплети за експлоатацију, како делују и како их користе цибер-криминалци. Даћемо и савете за спречавање напада и резултирајућег оптерећења злонамјерног софтвера.

Шта је кит за експлоатацију

Комплет за експлоатацију је пакет који цибер-криминалци користе за испоруку злонамјерног софтвера. Ми ћемо ући у детаље како је напад изведен у наставку, али суштина је да жртва посећује компромитовану веб локацију, а ако има одређене рањивости у оквиру софтвера на рачунару, експлоатација се може извршити. Као резултат тога, злонамерни софтвер се преузима и извршава на уређају жртве.

Софтверска рањивост је грешка или грешка у коду која омогућава нападачу да се на неки начин уплиће у апликацију, на пример, у случају експлоатације, извршавањем неовлашћеног задатка. Познате рањивости су именоване у референтној листи уобичајених рањивости и изложености (ЦВЕ). На пример, ЦВЕ-2018-8174 је високо искоришћена рањивост Интернет Екплорер-а.

ЦВЕ-2018-8174

Уобичајени циљеви за експлоатације су популарни софтвер са многим познатим рањивостима, као што су Адобе Фласх, Орацле Јава и Интернет Екплорер. Што је апликација популарнија, већа је могућност да нападач привуче одговарајућу жртву.

Овде су такође корисни сетови за експлоатацију посебно корисни за њихове кориснике. Екплоит китови циљају више рањивости у исто време и чине све што је злочину потребно да изврши напад. Ако један подвиг није погодан, можда би други могао повећати шансу цибер-криминалца да изведе успешан напад.

Чињеница да ове ствари долазе као унапред припремљени комплети такође их чини једноставним за примену и привлачнијим за криминалце са мало техничког знања.

Како се реализује кит за експлоатацију

Потребно је неколико фаза да би експлоатација била успешна:

  1. Успоставите контакт с окружењем домаћина путем одредишне странице.
  2. Преусмеравање на алтернативну одредишну страницу и откривање рањивости у хосту које се може искористити.
  3. Извршите експлоатацију за ширење злонамјерног софтвера.
  4. Заразите окружење домаћина извршавањем злонамјерног софтвера.

Комплет за експлоатацију садржи сву шифру неопходну за обављање сваке фазе. Ако једна фаза није успешна, то сигнализира крај напада на одређени уређај. Овде ћемо детаљније размотрити ове фазе и испитати које критеријуме треба испунити у свакој од њих.

1. Успоставите контакт

Прва фаза искоришћавања користи одредишну страницу веб локације која је угрожена. Жртве се охрабрују да посете ову веб локацију, на пример, путем везе за е-пошту, скочног прозора или лошег оглашавања (злонамерна реклама).

Када се жртва кликне на везу до веб локације или унесе УРЛ у прегледач, иницијални контакт је успостављен.

У овом тренутку можда постоје неки корисници који не испуњавају одређене критеријуме, попут оних на погрешној локацији (који се често одређују на основу ИП адресе или провере језичких инсталирања). Ови корисници су филтрирани и за њих је напад завршен.

2. Преусмеривање

Преостале жртве се преусмеравају на алтернативну одредишну страницу која више није стварна веб локација. Код уграђен у ову одредишну страницу затим наставља да утврди да ли уређај жртве има рањиве апликације засноване на прегледачу које одговарају експлоатацијама у комплету.

Ако се не открију рањивости (то јест, све је ажурирано и све рупе су закрпљене), напад се зауставља. Али ако се утврди рањивост, тада ће веб локација послати саобраћај на експлоатацију.

3. Екплоит

Разлог за тражење рањивости је тај што експлоит-кит треба да покрене злонамјерни софтвер у окружењу домаћина (уређај жртве). Апликација за коју је откривено да је рањива користи се за преузимање злонамјерног софтвера.

Начин на који се врши експолит зависи од пријаве. На пример, ако су мета сами претраживачи, експлоатација ће бити у облику кода уграђеног у веб страницу. Други пример је најчешће циљана апликација Мицрософт Силверлигхт, за коју је екплоит датотека.

Мицрософт Силверлигхт почетна страница.

Израз екплоит кит значи да постоји више подвига у једном пакету. Циљаће више рањивости, чинећи лакше извршење и повећану шансу за успех криминалцу.

4. Инфецт

После успешне експлоатације, злонамерни софтвер се извршава у окружењу жртве. Што се тиче ефекта злонамјерног софтвера, постоји много различитих сценарија. Китови за експлоатацију могу се користити за ширење различитих врста злонамерног софтвера, укључујући рансомваре и Тројанс.

Популарна употреба комплета за експлоатацију је извршавање софтвера за рударјење криптовалута. Ово отима рачунарске ресурсе жртве за коришћење у рударству битцоина и других крипто валута, без одобрења корисника.

Примери сетова експлоатације

Због сигурносних закрпа произвођача софтвера, сваки експлоатација имаће ограничен животни век. Међутим, програмери комплета долазе са властитим ажурирањима, тако да ће нове верзије датог комплета искористити нове рањивости. Као такви, неки сетови већ неко време постоје.

Адобе Фласх комплети за експлоатацију били су изузетно популарни у прошлости, а наводно је обустава софтвера узроковала нагли пад развоја комплета за експлоатацију. У новијим студијама се види прелазак на Мицрософт искориштавање производа. Уз то, кит може циљати више апликација одједном. Такође се може користити за ширење више врста злонамерног софтвера.

Ево неколико примера кит за експлоатацију:

РИГ

Међу најпопуларнијим сетовима за експлоатацију у 2018. години, РИГ користи различите методе дистрибуције и резултирајуће корисне оптерећења. Коришћен је за ширење рудара новчића, банкарских тројанаца, откупнина и још много тога.

Тренд Мирцо граф.Овај графикон из извештаја Тренд Мицро за 2018. годину приказује ниво активности неких уобичајених сетова експлоатације у првој половини 2018. године.

ГрандСофт

Иако је ово препознато као старији комплет, поново се појавила 2018. године. ГрандСофт је био познат да дистрибуира рансомваре (посебно ГрандЦраб), Тројане (нарочито АЗОРулт и КуантЛоадер) и рударе.

Величина

Циљни величина одабире азијске земље и испоручује одређени терет. Дуго је постојало, али је променило облик. Некада је укључивао експлоатације за Фласх Плаиер, али прилагођен је искључиво нападима рањивости Интернет Екплорер-а. Тхе Верзија ЕК циља на Јужну Кореју (провером између осталог и ИП адресе и језика) и испоручује посебан рансомваре Магнибер.

Нуклеарна

Иако већ неко време није у вестима, комплет за нуклеарни експлоат некада је био велики зарађивач новца за своје ствараоце. Извештај безбедносне фирме Цхецкпоинт утврдио је да је кит развио неко у Русији, а тим који је стајао иза њега је од тог прибора у то време зарађивао око 100.000 УСД месечно.

Нуклеарна је више била „експлоатација као услуга“ где ће криминалци изнајмити комплет. Они би користите контролну таблу у коју могу да отпремају малваре и прате њихове резултате.

Зашто су сетови експлоатације успешни?

С обзиром на то да нападачи користе познате рањивости, можете се запитати на који начин те слабости остају изложене, омогућавајући нападима да буду успешни.

Извештај о тренду за 2018. годину [ПДФ] баца мало светла на један од главних разлога:

„Непрекидни напад новооткривених рањивости само отежава предузећима достизање. Често, због количине рањивости и конкурентског приоритета одржавања мреже доступном, они морају да изврше практичне компромисе додељивањем важности одређеним рањивима и остављајући отворене закрпе за друге рањивости за касније. "

У суштини, постоји једноставно превише да све поправим у једном потезу. Чак и ако су рањивости закрпљене и компаније попут Мицрософта и Адобе-а су издале исправке, компаније не могу увек да ажурирају своје системе одмах.

Они морају да одреде приоритете која ажурирања се морају прво догодити и надају се да ће донети исправне одлуке, јер цибер-криминалци чекају да искористе сваку слабост. Слично томе, за појединце, ако неко одложи ажурирање или га пропусти из неког разлога, онда постоји много већа шанса да кит за експлоатацију буде успешан.

Неколико других фактора полаже успех комплета за експлоатацију, један од њих је да се почетни контакт лако успостави, на пример, тако што неко кликне на лошу рекламу или линк у имејлу. И друго, након што је успостављен иницијални контакт, тешко је рећи да се ишта догађа према напријед.

Како се заштитити од експлозивних сетова

Будући да је тако тешко знати када експлозивни сетови раде и чињеница да су толико разнолики, најбоље је да их прво избегнете. Ево неколико савета који ће вам помоћи:

  • Ажурирајте софтвер. Један од најважнијих разлога који се софтвер редовно ажурира је крпљење сигурносних рањивости.
  • Не кликајте нежељене везе. Као и увек, требало би да избегавате отварање мејлова било кога кога не познајете и дефинитивно не кликате на сумњиве везе.
  • Избегавајте огласе и скочне прозоре. Када су у питању скочни прозори и огласи, тешко је избећи кликање, јер су многи од њих дизајнирани да вас заведу у томе (на пример, дугме за затварање је тешко лоцирати или се оглас помера). Адблоцкер може бити од користи јер ће на тај начин спречити да се огласи и скочни прозори појављују на првом месту.
  • Користите антивирус. Ни антивирус није глуп на било који начин, али може открити и уклонити многе познате претње, укључујући вирусе и друге врсте злонамерног софтвера који се нађу на вашем уређају.

Кредитна слика: „Црацк Валл“ од Мицхаела Краусеа лиценцирана под ЦЦ БИ 2.0

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

33 − 32 =

map