یک کیت استثماری (با مثال) چیست و چگونه مجرمان سایبری از آنها استفاده می کنند؟

کیت استثماری (با مثال) چیست و چگونه افراد مجرمان سایبری از آنها استفاده می کنند


کیت های بهره برداری (یا بسته های سوء استفاده) برنامه های خودکار هستند که توسط مهاجمان برای سوء استفاده از آسیب پذیری های شناخته شده در سیستم ها یا برنامه ها استفاده می شوند. اونها می تونند ... باشند استفاده می شود به طور مخفیانه حملات در حالی که قربانیان در حال مرور وب هستند ، با این هدف بارگیری و اجرای برخی از بدافزارها.

از آنجا که سوءاستفاده از کیت ها در پس زمینه کار می کنند ، دانستن اینکه هنگام حمله قرار گرفته اید دشوار است. با این حال ، اقداماتی وجود دارد که می تواند به شما در محافظت در برابر این حملات مانند جلوگیری از پیوندهای ناشناخته و بروزرسانی نرم افزار کمک کند.

در این مقاله ، ما بیشتر در مورد اینکه کیت های استثمار ، نحوه کار آنها و نحوه استفاده مجرمان سایبری از آنها چیست ، بیشتر توضیح می دهیم. ما همچنین نکاتی را برای جلوگیری از حملات و بار ناشی از بدافزار حاصل خواهیم کرد.

یک کیت استثماری چیست

کیت بهره برداری ، بسته ای است که توسط مجرمان سایبری برای ارائه نرم افزارهای مخرب استفاده می شود. ما جزئیات نحوه اجرای حمله را در زیر بررسی خواهیم کرد ، اما مهم این است که یک قربانی به یک وب سایت به خطر افتاده مراجعه می کند ، و اگر آنها آسیب پذیری خاصی را در نرم افزار روی رایانه خود داشته باشند ، امکان سوء استفاده وجود دارد. در نتیجه ، بدافزارها بر روی دستگاه قربانی بارگیری و اجرا می شوند.

آسیب پذیری نرم افزار یک خطا یا اشکال در کد است که یک مهاجم را قادر می سازد تا با اجرای یک کار غیرمجاز به طریقی مثلاً در مورد سوء استفاده به برنامه حمله کند. آسیب پذیری های شناخته شده در لیست مرجع آسیب پذیری ها و قرار گرفتن در معرض مشترک (CVE) نامگذاری شده است. به عنوان مثال ، CVE-2018-8174 یک آسیب پذیری اینترنت اکسپلورر بسیار مورد سوء استفاده است.

CVE-2018-8174

اهداف مشترک برای بهره برداری ها نرم افزارهای محبوب و دارای بسیاری از آسیب پذیریهای شناخته شده مانند Adobe Flash ، Oracle Java و Internet Explorer است. هرچه کاربرد محبوب تر باشد ، شانس بالاتری برای جذب یک قربانی مناسب دارد.

این هم جایی است که کیت های سوء استفاده به خصوص برای کاربرانشان مفید است. کیت های سوء استفاده همزمان چندین آسیب پذیری را هدف قرار می دهند و همه چیزهایی را که جنایتکار برای انجام حمله نیاز دارد را شامل می شود. اگر سوء استفاده مناسب نباشد ، ممکن است مورد دیگر ، افزایش احتمال جرایم سایبری برای انجام یک حمله موفق.

این واقعیت که این موارد به عنوان کیت های از پیش ساخته ساخته می شوند همچنین باعث می شوند اجرای آنها آسان و جذاب تر برای مجرمان با دانش فنی کمی جذاب تر شود.

نحوه اجرای کیت بهره برداری

چندین مرحله لازم برای موفقیت در بهره برداری وجود دارد:

  1. از طریق صفحه فرود با محیط میزبان تماس برقرار کنید.
  2. به یک صفحه فرود جایگزین تغییر مسیر دهید و آسیب پذیری ها را در هاست که می تواند مورد سوء استفاده قرار بگیرد ، شناسایی کنید.
  3. سوء استفاده را برای گسترش بدافزار انجام دهید.
  4. با اجرای بدافزار ، محیط میزبان را آلوده کنید.

کیت بهره برداری شامل کلیه کد های لازم برای انجام هر مرحله می باشد. اگر یک مرحله ناموفق باشد ، این پایان حمله به آن وسیله خاص است. در اینجا ، این مراحل را با جزئیات بیشتری بررسی خواهیم کرد و بررسی خواهیم کرد که در هر کدام از معیارها چه معیارهایی لازم است.

1. برقراری تماس

در مرحله اول بهره برداری از صفحه فرود یک وب سایت استفاده می شود که به خطر افتاده است. به قربانیان توصیه می شود که برای بازدید از این سایت ، به عنوان مثال از طریق یک لینک ایمیل ، یک پنجره باز یا یک سوء رفتار (تبلیغات مخرب).

از وقتی که قربانی روی پیوند سایت کلیک می کند یا URL را در مرورگر خود وارد می کند, تماس اولیه برقرار شده است.

در این مرحله ، ممکن است برخی از کاربرانی باشند که معیارهای خاصی را رعایت نمی کنند ، مانند مواردی که در مکان اشتباه هستند (که اغلب براساس آدرس IP تعیین می شوند یا بررسی های زبان را نصب می کنند). این کاربران فیلتر شده اند و برای آنها ، حمله به پایان رسیده است.

2. تغییر مسیر

قربانیان باقیمانده به صفحه فرود جایگزین که دیگر وب سایت واقعی نیست هدایت می شوند. کد تعبیه شده در این صفحه فرود ، سپس مشخص می کند آیا دستگاه قربانی برنامه های مبتنی بر مرورگر آسیب پذیر دارد که مطابق با سوءاستفاده های موجود در کیت است یا خیر..

اگر هیچگونه آسیب پذیری مشاهده نشود (یعنی همه چیز به روز شده و همه سوراخ ها برطرف شده اند) ، پس از آن حمله متوقف می شود. ولی اگر آسیب پذیری پیدا شود, سپس وب سایت ترافیک را برای سوء استفاده ارسال می کند.

3. بهره برداری

دلیل نیاز به آسیب پذیری این است که کیت بهره برداری نیاز به اجرای بدافزار در محیط میزبان (دستگاه قربانی) دارد. برنامه ای که آسیب پذیر یافت می شود برای بارگیری نرم افزارهای مخرب استفاده می شود.

نحوه انجام اخراج بستگی به برنامه دارد. به عنوان مثال ، اگر مرورگرهای وب خود هدف باشند ، سوءاستفاده به صورت كدی تعبیه شده در صفحه وب خواهد بود. مثال دیگر برنامه معمولی هدفمند مایکروسافت سیلورلایت است که سوء استفاده از آن یک پرونده است.

صفحه اصلی Microsoft Silverlight.

اصطلاح کیت بهره‌برداری بدان معنی است که چندین مورد استفاده در یک بسته وجود دارد. این آسیب پذیری های متعدد را هدف قرار می دهد ، اجرای آسان تر و افزایش شانس موفقیت برای مجرمان.

4- آلوده شود

پس از بهره برداری موفق, بدافزار در محیط قربانی اجرا می شود. تا آنجا که تأثیر بدافزارها چیست ، سناریوهای مختلف زیادی وجود دارد. از کیت های بهره برداری می توان برای پخش انواع بدافزارها از جمله باج افزار و Trojans استفاده کرد.

یک کاربرد محبوب برای کیت های سوء استفاده ، اجرای نرم افزار استخراج معادن cryptocurrency است. بدون مجوز کاربر ، منابع رایانه قربانی را برای استفاده در استخراج بیت کوین و سایر ارزهای رمزنگاری شده ربوده می کند.

نمونه هایی از کیت های بهره برداری

با توجه به تکه های امنیتی توسط توسعه دهندگان نرم افزار ، هر بهره برداری طول عمر محدودی خواهد داشت. با این حال ، توسعه دهندگان کیت به روزرسانی های خود را ارائه می دهند تا نسخه های جدید یک کیت از آسیب پذیری های جدید سوء استفاده کنند. به همین ترتیب ، برخی از کیت ها مدتی بوده است.

کیت های سوءاستفاده Adobe Flash در گذشته بسیار پرطرفدار بودند ، و طبق گزارش ها ، مرحله نهایی این نرم افزار باعث کاهش شدید توسعه کیت سوء استفاده شده بود. مطالعات اخیر نشانگر تغییر در سوء استفاده از محصولات مایکروسافت است. گفته می شود ، یک کیت می تواند بیش از یک برنامه را همزمان انجام دهد. همچنین می توان از آن برای پخش بیش از یک نوع بدافزار استفاده کرد.

در اینجا چند نمونه کیت بهره برداری آورده شده است:

RIG

در میان محبوب ترین کیت های بهره برداری در سال 2018 ، RIG از روش های مختلف توزیع و بارهای حاصل از آن استفاده می کند. از آن برای پخش کارگران سکه ، تروجان های بانکی ، باج افزار و موارد دیگر استفاده شده است.

نمودار روند میکرو.این نمودار از گزارش Trend Micro 2018 میزان فعالیت برخی از کیت های بهره برداری رایج در نیمه اول سال 2018 را نشان می دهد.

GrandSoft

گرچه این به عنوان یک کیت قدیمی شناخته شده است ، در سال 2018 دوباره ظاهر شد. GrandSoft شناخته شده است که توزیع باج افزار (به طور خاص GrandCrab) ، Trojans (بطور خاص AZORult و QuantLoader) و معدنچیان توزیع می کند..

اندازه

اهداف بزرگی کشورهای آسیایی را انتخاب می کند و بار خاصی را تحویل می گیرد. مدت زمان طولانی است ، اما شکل خود را تغییر داده است. این قبلاً شامل سوء استفاده برای Flash Player بود اما فقط برای حمله به آسیب پذیری های اینترنت اکسپلورر سازگار شده است. نسخه EK بزرگی کره جنوبی کره جنوبی را هدف قرار می دهد (با بررسی آدرس IP و زبان از جمله موارد دیگر) و باج ویژه ای را به نام Magniber ارائه می دهد.

هسته ای

در حالی که مدتی در اخبار نبوده است ، جعبه استثمار هسته ای زمانی برای سرمایه گذاران بزرگ سرمایه گذار بود. در گزارشی از سوی شرکت امنیتی Checkpoint مشخص شد که این کیت توسط شخصی در روسیه ساخته شده است و تیمی که در پشت آن قرار دارد در هر ماه حدود 100000 دلار در ماه از این کیت می گرفت..

هسته ای بیشتر از خدمات "بهره برداری به عنوان یک سرویس" بود که مجرمان اجناس را اجاره می کردند. آنها از یک صفحه کنترل استفاده کنید که در آن می توانند بدافزار را بارگذاری کنند و نتایج آنها را پیگیری کنید.

چرا بهره برداری از کیت ها موفقیت آمیز هستند?

با توجه به اینکه مهاجمان از آسیب پذیریهای شناخته شده استفاده می کنند ، ممکن است تعجب کنید که چگونه این نقاط ضعف در معرض دید قرار می گیرند و باعث می شوند حملات موفقیت آمیز باشند.

گزارش Trend Micro 2018 [PDF] یکی از دلایل عمده را روشن می کند:

وی ادامه داد: "یورش مداوم آسیب پذیری های تازه کشف شده ، این را سخت تر می کند تا بنگاه های اقتصادی را تحقق بخشند. اغلب اوقات ، با توجه به حجم آسیب پذیری ها و اولویت رقیب در دسترس نگه داشتن شبکه ، آنها باید با اختصاص اهمیت به برخی از آسیب پذیری ها و ایجاد تکه های باز برای سایر آسیب پذیری ها برای برخی مواقع ، مبادلات عملی را انجام دهند. "

در اصل ، به سادگی وجود دارد بیش از حد برای تعمیر همه چیز در یک حرکت. حتی اگر آسیب پذیری ها برطرف شده و شرکت هایی مانند مایکروسافت و Adobe به روزرسانی هایی را صادر کرده اند ، شرکت ها همیشه نمی توانند سیستم های خود را فوراً بروزرسانی کنند.

آنها باید اولویت بندی کنند که کدام نسخه به روزرسانی ها ابتدا باید اتفاق بیفتند و امیدوارند که آنها تصمیمات صحیحی بگیرند ، زیرا مجرمان سایبری منتظرند تا از هر ضعف استفاده کنند. به طور مشابه ، اگر افراد به روزرسانی را به روز کنند یا آن را به دلایلی از دست ندهند ، احتمال موفقیت بیشتر یک کیت بهره برداری وجود دارد.

چند عامل دیگر موفقیت کیت های سوء استفاده را به خود اختصاص می دهند ، یکی اینکه تماس اولیه به راحتی انجام می شود ، به عنوان مثال توسط شخصی که روی یک تبلیغ سرکش یا پیوند در ایمیل کلیک می کند. و ثانیاً ، پس از برقراری تماس اولیه ، دشوار است که بگوییم هر چیزی غیرقانونی در جریان است.

چگونه می توان در برابر کیت های سوءاستفاده محافظت کرد

از آنجا که دانستن چه موقع کار کیت های سوء استفاده و واقعیتی که آنها بسیار متنوع هستند ، بسیار دشوار است ، بهتر است در وهله اول از آنها جلوگیری کنید. در اینجا چند نکته برای کمک به شما آورده شده است:

  • نرم افزار را به روز نگه دارید. یكی از مهمترین دلایلی كه نرم افزار به طور مرتب به روز می شود ، پچ كردن آسیب پذیری های امنیتی است.
  • روی پیوندهای هرزنامه کلیک نکنید. مثل همیشه ، نباید از باز کردن ایمیل از هر کسی که نمی شناسید جلوگیری کنید و به طور قطع روی پیوندهای مشکوک کلیک نکنید.
  • از تبلیغات و پنجره ها خودداری کنید. وقتی صحبت از پنجره ها و تبلیغات می شود ، جلوگیری از کلیک کردن دشوار است ، زیرا بسیاری از این موارد برای ترفند شما در انجام این کار طراحی شده اند (به عنوان مثال ، دکمه "نزدیک" یافتن آن دشوار است یا تبلیغات در اطراف حرکت می کند). یک adblocker می تواند کمک کننده باشد ، زیرا این امر در وهله اول از نمایش تبلیغات و پنجره ها جلوگیری می کند.
  • از یک آنتی ویروس استفاده کنید. آنتی ویروس به هیچ وجه ضد عفونی نیست ، اما می تواند بسیاری از تهدیدهای شناخته شده از جمله ویروس ها و انواع دیگر بدافزارهایی را که به دستگاه شما راه پیدا کرده اند ، شناسایی و از بین ببرد..

اعتبار تصویر: "دیوار ترک" توسط مایکل کراوز تحت مجوز CC BY 2.0 مجاز است

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 62 = 71