Какво е комплект за експлоатация (с примери) и как ги използват киберпрестъпниците?

Какво е комплект за експлоатация (с примери) и как ги използват киберпрестъпниците

Exploit комплекти (или експлоатационни пакети) са автоматизирани програми, използвани от нападателите за използване на известни уязвимости в системи или приложения. Те могат да бъдат използван за тайно стартиране на атаки докато жертвите сърфират в мрежата, като целта е да се изтегли и изпълни някакъв вид злонамерен софтуер.

Тъй като експлоатационните комплекти работят във фонов режим, може да е трудно да разберете кога сте атакуван. Съществуват обаче мерки, които могат да ви помогнат да се предпазите от тези атаки, като например избягване на неизвестни връзки и актуализиране на софтуера.

В тази статия обясняваме повече за това какво представляват комплектите за експлоатация, как работят и как ги използват киберпрестъпниците. Ще предоставим и съвети за предотвратяване на атаки и произтичащия от това полезен товар от злонамерен софтуер.

Какво е комплект за експлоатация

Експлоатационният комплект е пакет, използван от киберпрестъпници за доставяне на зловреден софтуер. Ще разгледаме подробностите за това как се изпълнява атака по-долу, но същността е, че жертвата посещава компрометиран уебсайт и ако има определени уязвимости в рамките на софтуера на компютъра си, експлоатацията може да бъде извършена. В резултат на това злонамерен софтуер се изтегля и изпълнява на устройството на жертвата.

Софтуерната уязвимост е грешка или грешка в кода, която позволява на атакуващия да се натрапва по приложението по някакъв начин, например в случай на експлоатации, като пуска неразрешена задача. Известните уязвимости са посочени в референтен списък на общи уязвимости и експозиции (CVE). Например, CVE-2018-8174 е силно експлоатирана уязвимост на Internet Explorer.

CVE-2018-8174

Общи цели за експлоатации са популярният софтуер с много известни уязвимости, като Adobe Flash, Oracle Java и Internet Explorer. Колкото по-популярно е приложението, толкова по-голям е шансът на нападателя да привлече подходяща жертва.

Това е мястото, където експлоатационните комплекти са особено удобни за техните потребители. Използвайте комплектите, насочени към няколко уязвимости едновременно и съдържа всичко, което е необходимо на престъпника за извършване на нападението. Ако един подвиг не е подходящ, друг може да бъде, увеличавайки шанса на киберпрестъпника да извърши успешна атака.

Фактът, че тези неща идват като предварително изградени комплекти, ги прави лесни за изпълнение и по-привлекателни за престъпници с малко технически познания.

Как се реализира комплект за експлоатация

Има няколко етапа, необходими за успеха на експлоатацията:

  1. Установете контакт с хост средата чрез целева страница.
  2. Пренасочване към алтернативна целева страница и откриване на уязвимости в хоста, които могат да бъдат използвани.
  3. Изпълнете експлоатацията за разпространение на зловреден софтуер.
  4. Инфекцирайте хост средата, като изпълните злонамерен софтуер.

Експлоатационният комплект съдържа целия код, необходим за извършване на всеки етап. Ако един етап не е успешен, това сигнализира за края на атаката върху това конкретно устройство. Тук ще разгледаме тези етапи по-подробно и ще разгледаме какви критерии трябва да бъдат изпълнени на всеки.

1. Установете контакт

Първият етап от експлоатацията използва целева страница на уебсайт, който е компрометиран. Жертвите се насърчават да посещават този сайт, например чрез имейл връзка, изскачащо меню или злонамерена реклама (злонамерена реклама).

Веднъж жертвата кликва върху връзката към сайта или въвежда URL адреса в браузъра им, първоначалният контакт е установен.

На този етап може да има някои потребители, които не отговарят на определени критерии, като например тези, които са на грешно местоположение (често се определят въз основа на IP адрес или проверка на езика за инсталиране). Тези потребители са филтрирани и за тях атаката приключва.

2. Пренасочване

Останалите жертви се пренасочват към алтернативна целева страница, която вече не е истинският уебсайт. Кодът, вграден в тази целева страница, след това продължава да установи дали устройството на жертвата има уязвими приложения, базирани на браузъра, които съответстват на подвизите в комплекта.

Ако не бъдат открити уязвимости (тоест всичко е актуално и всички дупки са залепени), тогава атаката спира. Но ако се намери уязвимост, тогава уебсайтът ще изпрати трафик към експлоата.

3. Експлоатация

Причината за изискване на уязвимост е, че експлоатационният комплект трябва да стартира злонамерен софтуер в хост средата (устройството на жертвата). Приложението, за което беше установено, че е уязвимо, се използва за изтегляне на зловреден софтуер.

Начинът, по който се осъществява expolit, зависи от приложението. Например, ако самите уеб браузъри са целта, експлоатацията ще бъде под формата на код, вграден в уеб страницата. Друг пример е често насоченото приложение Microsoft Silverlight, за което експлоатацията е файл.

Начална страница на Microsoft Silverlight

Терминът експлоит комплект означава, че има няколко подвизи, свързани в един пакет. Тя ще бъде насочена към множество уязвимости, като улеснява изпълнението и увеличава шанса за успех на престъпника.

4. Инфекция

След успешна експлоатация, злонамерен софтуер се изпълнява в средата на жертвата. Що се отнася до ефекта от злонамерения софтуер, има много различни сценарии. Комплектите Exploits могат да се използват за разпространение на различни видове злонамерен софтуер, включително ransomware и Trojans.

Популярна употреба за експлоатационни комплекти е за изпълнение на софтуер за добив на криптовалута. Това отвлича компютърните ресурси на жертвата за използване в добив на биткойн и други криптовалути, без разрешението на потребителя.

Примери за експлоатационни комплекти

Поради пачове за сигурност от разработчиците на софтуер, всеки експлоатация ще има ограничен живот. Въпреки това, разработчиците на китове предлагат свои собствени актуализации, така че новите версии на даден комплект ще използват нови уязвимости. Като такива, някои комплекти съществуват от известно време.

Комплектите за експлоатация на Adobe Flash бяха изключително популярни в миналото, тъй като съобщенията за прекратяване на софтуера причиняват рязък спад в разработването на експлоатационния комплект. По-новите проучвания показват промяна в експлоатацията на продукти на Microsoft. Като се има предвид, комплектът може да е насочен към повече от едно приложение наведнъж. Може да се използва и за разпространение на повече от един вид злонамерен софтуер.

Ето няколко примера от комплекта за експлоатация:

RIG

Сред най-популярните комплекти за експлоатация през 2018 г., RIG използва различни методи за разпространение и произтичащи полезни натоварвания. Той е използван за разпространение на монети миньори, банкови троянски коне, откуп и други.

Trend Mirco графика.Тази диаграма от доклад за Trend Micro за 2018 г. показва нивото на активност на някои обичайни комплекти за експлоатация през първата половина на 2018 г..

GrandSoft

Въпреки че това е разпознато като по-стар комплект, той изплува на бял свят през 2018 г. Известно е, че GrandSoft разпространява софтуер за откупуване (по-специално GrandCrab), троянци (в частност AZORult и QuantLoader) и миньори.

величина

Целите на величината избират азиатските страни и доставят конкретен полезен товар. Има го отдавна, но промени формата си. Той използва за включване на експлоатации за Flash Player, но е пригоден да атакува единствено уязвимостите на Internet Explorer. Най- Версията EK с величина е насочена към Южна Корея (чрез проверка на IP адрес и език, наред с други неща) и доставя специален софтуер за откуп, наречен Magniber.

ядрен

Въпреки че от известно време не е в новините, комплектът за ядрена експлоатация някога е бил голям производител на пари за своите създатели. Доклад на охранителна фирма Checkpoint установява, че комплектът е разработен от някой в ​​Русия, а екипът зад него печели около 100 000 долара на месец от комплекта по това време.

Ядрената е по-скоро „експлоатация като услуга“, където престъпниците ще наемат комплекта. Те биха използвайте контролен панел, в който могат да качват злонамерен софтуер и проследяване на техните резултати.

Защо експлоатационните комплекти са успешни?

Имайки предвид, че атакуващите използват известни уязвимости, може да се чудите как тези слабости остават изложени, което позволява атаките да бъдат успешни.

Доклад от Trend Micro за 2018 г. [PDF] хвърля малко светлина върху една от основните причини:

„Непрекъснатият натиск на новооткритите уязвимости само затруднява предприятията много по-трудно. Често, поради обема на уязвимостите и конкуриращия се приоритет за поддържане на мрежата на разположение, те трябва да направят практически компромиси, като придават значение на определени уязвимости и оставят отворени кръпки на други уязвимости в по-късен период. “

По същество има просто твърде много, за да оправите всичко в един замах. Дори ако уязвимостите са коригирани и компании като Microsoft и Adobe са издали актуализации, компаниите не винаги могат да актуализират своите системи веднага.

Те трябва да дадат приоритет кои актуализации трябва да се случат първо и се надяват, че ще вземат правилните решения, тъй като киберпрестъпниците чакат да се възползват от всяка слабост. По същия начин, за хората, ако някой отложи актуализация или го пропусне по някаква причина, тогава има много по-голям шанс експлоатационният комплект да бъде успешен.

Няколко други фактора заемат успеха на комплектите за експлоатация, като единият е, че първоначалният контакт се осъществява лесно, например от някой, който кликне върху измамна реклама или линк в имейл. И второ, след като е установен първоначален контакт, е трудно да се каже, че се случва нещо неблагоприятно.

Как да се предпазите от експлоатационни комплекти

Тъй като е толкова трудно да се разбере кога работят експлоатационните комплекти и фактът, че са толкова разнообразни, най-добре е да ги избягвате на първо място. Ето няколко съвета, които да ви помогнат:

  • Поддържайте актуалност на софтуера. Една от най-важните причини, поради която софтуерът се актуализира редовно, е да коригира уязвимостите в сигурността.
  • Не кликнете върху спам връзки. Както винаги, трябва да избягвате да отваряте имейли от всеки, когото не познавате и определено не кликвате на подозрителни връзки.
  • Избягвайте реклами и изскачащи прозорци. Когато става въпрос за изскачащи прозорци и реклами, може да е трудно да избегнете щракването, тъй като много от тях са предназначени да ви подведат да направите това (например, бутонът „затвори“ е трудно да се намери или рекламата се движи наоколо). Adblocker може да бъде полезен, тъй като това ще предотврати появата на реклами и изскачащи менюта на първо място.
  • Използвайте антивирус. Антивирусът не е надежден по никакъв начин, но може да открие и премахне много известни заплахи, включително вируси и други видове злонамерен софтуер, които се намират на вашето устройство.

Кредит за изображение: „Crack Wall” от Майкъл Крауз, лицензиран под CC BY 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

4 + = 5

Adblock
detector