ชุดการใช้ประโยชน์ (หรือการใช้ประโยชน์จากแพ็ค) เป็นโปรแกรมอัตโนมัติที่ผู้โจมตีใช้เพื่อหาช่องโหว่ที่รู้จักในระบบหรือแอพพลิเคชั่น พวกเขาสามารถเป็น ใช้เพื่อเปิดการโจมตีอย่างลับๆ ในขณะที่ผู้ที่ตกเป็นเหยื่อกำลังเรียกดูเว็บโดยมีเป้าหมายเพื่อดาวน์โหลดและเรียกใช้มัลแวร์บางประเภท.
เนื่องจากชุดเครื่องมือหาประโยชน์ใช้งานในพื้นหลังจึงเป็นเรื่องยากที่จะทราบเมื่อคุณถูกโจมตี อย่างไรก็ตามมีมาตรการที่สามารถช่วยคุณป้องกันการโจมตีเหล่านี้ได้เช่นการหลีกเลี่ยงลิงก์ที่ไม่รู้จักและการปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอ.
ในบทความนี้เราจะอธิบายเพิ่มเติมเกี่ยวกับชุดการหาประโยชน์คือวิธีการทำงานและวิธีที่อาชญากรไซเบอร์ใช้ นอกจากนี้เรายังจะให้คำแนะนำในการป้องกันการโจมตีและปริมาณมัลแวร์ที่เกิดขึ้น.
ชุดการหาประโยชน์คืออะไร
ชุดการหาประโยชน์เป็นชุดที่อาชญากรไซเบอร์ใช้ในการส่งมัลแวร์ เราจะเข้าไปดูรายละเอียดว่ามีการโจมตีอย่างไรด้านล่าง แต่ส่วนสำคัญคือเหยื่อเข้าเยี่ยมชมเว็บไซต์ที่ถูกบุกรุกและหากพวกเขามีช่องโหว่บางอย่างภายในซอฟต์แวร์บนคอมพิวเตอร์ของพวกเขาการหาประโยชน์สามารถทำได้ ดังนั้นมัลแวร์จะถูกดาวน์โหลดและดำเนินการบนอุปกรณ์ของเหยื่อ.
ช่องโหว่ของซอฟต์แวร์เป็นข้อผิดพลาดหรือข้อบกพร่องในรหัสที่ทำให้ผู้โจมตีสามารถบุกรุกแอปพลิเคชั่นในบางกรณีเช่นในกรณีของการหาประโยชน์โดยการทำงานที่ไม่ได้รับอนุญาต ช่องโหว่ที่ทราบนั้นมีชื่ออยู่ในรายการอ้างอิงของ Common Vulnerabilities and Exposures (CVE) ตัวอย่างเช่น CVE-[year]-8174 เป็นช่องโหว่ของ Internet Explorer ที่มีช่องโหว่.
![CVE-[year]-8174](/images/what-is-an-exploit-kit-with-examples-and-how-do-cybercriminals-use-them-2.jpg)
เป้าหมายทั่วไปสำหรับการหาช่องโหว่เป็นซอฟต์แวร์ที่ได้รับความนิยมและมีช่องโหว่จำนวนมากเช่น Adobe Flash, Oracle Java และ Internet Explorer แอปพลิเคชันที่ได้รับความนิยมมากขึ้นคือโอกาสที่ผู้โจมตีจะดึงดูดเหยื่อที่เหมาะสมมากขึ้น.
นี่คือจุดที่ชุดเครื่องมือหาประโยชน์มีประโยชน์อย่างยิ่งสำหรับผู้ใช้. Exploit Kits กำหนดเป้าหมายหลายช่องโหว่ในเวลาเดียวกัน และประกอบด้วยทุกสิ่งที่อาชญากรต้องการเพื่อดำเนินการโจมตี หากการใช้ประโยชน์อย่างใดอย่างหนึ่งไม่เหมาะสมอาจเป็นการเพิ่มโอกาสของอาชญากรไซเบอร์ในการดำเนินการโจมตีที่ประสบความสำเร็จ.
ความจริงที่ว่าสิ่งเหล่านี้มาในรูปแบบชุดสำเร็จรูปที่สร้างขึ้นทำให้ง่ายต่อการใช้งานและน่าสนใจยิ่งขึ้นสำหรับอาชญากรที่มีความรู้ด้านเทคนิคเพียงเล็กน้อย.
วิธีใช้ชุดการหาประโยชน์
มีหลายขั้นตอนที่จำเป็นสำหรับการหาช่องโหว่ที่จะประสบความสำเร็จ:
- สร้างการติดต่อกับสภาพแวดล้อมโฮสต์ผ่านหน้า Landing Page.
- เปลี่ยนเส้นทางไปยังหน้า Landing Page สำรองและตรวจพบช่องโหว่ในโฮสต์ที่สามารถถูกโจมตีได้.
- ดำเนินการหาประโยชน์เพื่อแพร่กระจายมัลแวร์.
- แพร่กระจายสภาพแวดล้อมโฮสต์โดยดำเนินการมัลแวร์.
ชุดการหาประโยชน์มีรหัสทั้งหมดที่จำเป็นสำหรับการดำเนินการในแต่ละขั้นตอน หากสเตจหนึ่งไม่ประสบความสำเร็จนั่นเป็นสัญญาณการสิ้นสุดของการโจมตีบนอุปกรณ์นั้น ๆ ที่นี่เราจะดูขั้นตอนเหล่านี้อย่างละเอียดและตรวจสอบว่าต้องปฏิบัติตามเกณฑ์ใดบ้าง.
1. สร้างการติดต่อ
ขั้นตอนแรกของการหาประโยชน์ใช้หน้า Landing Page ของเว็บไซต์ที่ถูกบุกรุก ขอแนะนำให้ผู้ที่ตกเป็นเหยื่อเข้าเยี่ยมชมเว็บไซต์นี้เช่นผ่านลิงก์อีเมลป๊อปอัพหรือโฆษณาที่ไม่เหมาะสม (โฆษณาที่เป็นอันตราย).
เมื่อครั้ง ผู้ที่ตกเป็นเหยื่อคลิกลิงค์ไปยังเว็บไซต์หรือป้อน URL ในเบราว์เซอร์ของพวกเขา, มีการสร้างที่ติดต่อเริ่มต้น.
ณ จุดนี้อาจมีผู้ใช้บางคนที่ไม่ตรงตามเกณฑ์บางอย่างเช่นผู้ที่อยู่ในตำแหน่งที่ไม่ถูกต้อง (มักพิจารณาจากที่อยู่ IP หรือติดตั้งการตรวจสอบภาษา) ผู้ใช้เหล่านี้ถูกกรองออกและสำหรับพวกเขาการโจมตีสิ้นสุดลง.
2. เปลี่ยนเส้นทาง
ผู้ที่ตกเป็นเหยื่อที่เหลืออยู่จะถูกเปลี่ยนเส้นทางไปยังหน้า Landing Page สำรองซึ่งไม่ใช่เว็บไซต์จริงอีกต่อไป รหัสที่ฝังอยู่ในหน้า Landing Page นี้จะดำเนินการเพื่อตรวจสอบว่าอุปกรณ์ของผู้ที่ตกเป็นเหยื่อมีแอปพลิเคชันที่ใช้เบราว์เซอร์ที่มีช่องโหว่ที่สอดคล้องกับการหาประโยชน์ในชุด.
หากไม่มีการตรวจพบช่องโหว่ (กล่าวคือทุกอย่างเป็นปัจจุบันและมีการแก้ไขรูทั้งหมด) จากนั้นการโจมตีจะหยุดลง แต่ หากพบช่องโหว่, จากนั้นเว็บไซต์จะส่งปริมาณข้อมูลไปยังช่องโหว่.
3. ใช้ประโยชน์
สาเหตุของการต้องมีช่องโหว่คือชุดเครื่องมือหาประโยชน์ต้องใช้มัลแวร์ในสภาพแวดล้อมโฮสต์ (อุปกรณ์ของเหยื่อ) แอปพลิเคชันที่พบว่ามีช่องโหว่นั้นใช้เพื่อดาวน์โหลดมัลแวร์.
วิธีดำเนินการ expolit ขึ้นอยู่กับแอปพลิเคชัน. ตัวอย่างเช่นหากเว็บเบราว์เซอร์เป็นเป้าหมายการหาประโยชน์จะอยู่ในรูปแบบของโค้ดที่ฝังอยู่ภายในหน้าเว็บ อีกตัวอย่างหนึ่งคือแอปพลิเคชันที่มีการกำหนดเป้าหมายโดยทั่วไป Microsoft Silverlight ซึ่งการหาประโยชน์ดังกล่าวเป็นไฟล์.
ชุดคำว่า exploit หมายความว่ามีการหาประโยชน์หลายอย่างที่รวมอยู่ในแพ็คเกจเดียว มันจะกำหนดเป้าหมายช่องโหว่หลายช่องทางทำให้การดำเนินการง่ายขึ้นและโอกาสในการประสบความสำเร็จทางอาญาที่เพิ่มขึ้น.
4. การติดเชื้อ
หลังจากประสบความสำเร็จในการใช้ประโยชน์, มัลแวร์ถูกดำเนินการในสภาพแวดล้อมของเหยื่อ. เท่าที่ผลกระทบของมัลแวร์คือมีสถานการณ์ที่แตกต่างกันมากมาย ชุด Exploits สามารถใช้แพร่กระจายมัลแวร์ประเภทต่าง ๆ รวมถึง ransomware และ Trojans.
การใช้งานที่นิยมสำหรับชุดการหาประโยชน์จากการโจมตีคือการเรียกใช้ซอฟต์แวร์การขุด cryptocurrency นี่เป็นการแย่งชิงทรัพยากรคอมพิวเตอร์ของเหยื่อเพื่อใช้ในการขุด bitcoin และ cryptocurrencies อื่น ๆ โดยไม่ได้รับอนุญาตจากผู้ใช้.
ตัวอย่างของชุดการหาประโยชน์
เนื่องจากโปรแกรมแก้ไขความปลอดภัยโดยผู้พัฒนาซอฟต์แวร์การใช้ประโยชน์แต่ละครั้งจะมีอายุการใช้งานที่ จำกัด อย่างไรก็ตามผู้พัฒนาชุดอุปกรณ์นั้นมาพร้อมกับการอัปเดตของตนเองเพื่อให้ชุดรุ่นใหม่ที่ได้รับจะใช้ช่องโหว่ใหม่ได้ ด้วยเหตุนี้ชุดคิทบางตัวจึงใช้งานได้ระยะหนึ่ง.
ชุดเครื่องมือการใช้ประโยชน์จาก Adobe Flash เป็นที่นิยมอย่างมากในอดีตโดยมีรายงานว่าการหยุดทำงานของซอฟต์แวร์ทำให้การพัฒนาชุดเครื่องมือหาประโยชน์ลดลงอย่างมาก การศึกษาล่าสุดพบว่าการเปลี่ยนไปใช้การหาประโยชน์จากผลิตภัณฑ์ของ Microsoft ดังที่กล่าวไปแล้วชุดสามารถกำหนดเป้าหมายได้มากกว่าหนึ่งแอปพลิเคชันในแต่ละครั้ง นอกจากนี้ยังสามารถใช้แพร่กระจายมัลแวร์ได้มากกว่าหนึ่งประเภท.
นี่คือตัวอย่างของการใช้ประโยชน์จากชุดเครื่องมือ:
RIG
ในบรรดาชุดการหาช่องโหว่ที่ได้รับความนิยมมากที่สุดในปี 2561 RIG ใช้วิธีการกระจายที่หลากหลาย มันถูกใช้ในการแพร่กระจายคนงานเหมืองเหรียญโทรจันธนาคาร ransomware และอื่น ๆ.
แผนภูมินี้จากรายงาน [year] Trend Micro แสดงระดับของกิจกรรมของชุดการหาประโยชน์ทั่วไปในครึ่งแรกของปี 2561.
GrandSoft
ในขณะที่สิ่งนี้ได้รับการยอมรับว่าเป็นชุดที่เก่ากว่ามันปรากฏขึ้นใหม่ในปี [year] GrandSoft เป็นที่รู้จักกันในการแจกจ่าย ransomware (โดยเฉพาะ GrandCrab), โทรจัน (โดยเฉพาะ AZORult และ QuantLoader) และคนงานเหมือง.
ขนาด
เป้าหมายขนาดเลือกประเทศในเอเชียและส่งมอบเฉพาะอัตรา มันมีมานานแล้ว แต่ได้เปลี่ยนรูปแบบ มันเคยรวมถึงการหาประโยชน์สำหรับ Flash Player แต่ได้รับการดัดแปลงเพื่อโจมตีช่องโหว่ของ Internet Explorer แต่เพียงผู้เดียว รุ่น Magnitude EK ตั้งเป้าที่เกาหลีใต้ (โดยการตรวจสอบที่อยู่ IP และภาษาเหนือสิ่งอื่นใด) และส่งมอบค่าไถ่พิเศษที่เรียกว่า Magniber.
นิวเคลียร์
แม้ว่าจะไม่ได้รับข่าวมาระยะหนึ่งชุดการหาประโยชน์จากนิวเคลียร์เคยเป็นผู้ผลิตรายใหญ่สำหรับผู้สร้าง รายงานโดย Checkpoint บริษัท รักษาความปลอดภัยพบว่าชุดนี้ได้รับการพัฒนาโดยคนในรัสเซียและทีมงานด้านหลังสร้างรายได้ประมาณ $ 100,000 ต่อเดือนจากชุดอุปกรณ์ในเวลานั้น.
นิวเคลียร์เป็นมากกว่า “การเอารัดเอาเปรียบ -as-a-service” ซึ่งอาชญากรจะเช่าชุด พวกเขาจะ ใช้แผงควบคุมที่พวกเขาสามารถอัปโหลดมัลแวร์ และติดตามผลลัพธ์ของพวกเขา.
ทำไมการใช้ประโยชน์จากชุดอุปกรณ์จึงประสบความสำเร็จ?
เมื่อพิจารณาถึงผู้โจมตีที่กำลังใช้ช่องโหว่ที่รู้จักกันคุณอาจสงสัยว่าจุดอ่อนเหล่านี้ยังคงปรากฏอยู่อย่างไรทำให้การโจมตีประสบความสำเร็จ.
รายงาน [year] Trend Micro [PDF] ให้ความกระจ่างบางประการด้วยเหตุผลสำคัญ:
“ การโจมตีช่องโหว่ที่ค้นพบใหม่อย่างต่อเนื่องทำให้องค์กรธุรกิจไม่สามารถติดต่อได้ บ่อยครั้งเนื่องจากช่องโหว่จำนวนหนึ่งและลำดับความสำคัญในการแข่งขันของการรักษาเครือข่ายให้พร้อมใช้งานพวกเขาจำเป็นต้องทำการแลกเปลี่ยนในทางปฏิบัติโดยให้ความสำคัญกับช่องโหว่บางอย่างและปล่อยให้ช่องโหว่ที่เปิดอยู่ไปยังช่องโหว่อื่น ๆ ในภายหลัง”
เป็นหลักมีเพียง มากเกินไปที่จะแก้ไขทั้งหมดในครั้งเดียว. แม้ว่าช่องโหว่จะได้รับการติดตั้งและ บริษัท เช่น Microsoft และ Adobe ได้ออกการอัปเดต แต่ บริษัท ก็ไม่สามารถอัปเดตระบบได้ทันที.
พวกเขาต้องจัดลำดับความสำคัญของการอัพเดตที่จะต้องเกิดขึ้นก่อนและหวังว่าพวกเขาจะทำการตัดสินใจที่ถูกต้องเนื่องจากอาชญากรไซเบอร์รอที่จะใช้ประโยชน์จากจุดอ่อนทุกอย่าง ในทำนองเดียวกันสำหรับบุคคลทั่วไปหากมีคนทำการอัปเดตหรือพลาดไปด้วยเหตุผลบางอย่างนั่นเป็นโอกาสที่ยิ่งใหญ่กว่าของชุดการหาประโยชน์ที่ประสบความสำเร็จ.
ปัจจัยอื่น ๆ อีกสองอย่างที่นำไปสู่ความสำเร็จในการใช้ประโยชน์จากชุดอุปกรณ์ที่ใช้ในการติดต่อครั้งแรกนั้นทำได้ง่ายเช่นโดยคนที่คลิกโฆษณาอันธพาลหรือลิงก์ในอีเมล และประการที่สองเมื่อมีการติดต่อครั้งแรกมันก็ยากที่จะบอกได้ว่ามีอะไรไม่ดีเกิดขึ้น.
วิธีการป้องกันการใช้ประโยชน์จากชุด
เนื่องจากเป็นเรื่องยากที่จะรู้ว่าเมื่อมีการใช้ประโยชน์จากชุดอุปกรณ์ที่ใช้งานได้และความจริงที่ว่าพวกเขากำลังแตกต่างกันมากดังนั้นจึงควรหลีกเลี่ยงพวกเขาตั้งแต่แรก นี่คือเคล็ดลับที่จะช่วย:
- ปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอ. หนึ่งในเหตุผลที่สำคัญที่สุดของซอฟต์แวร์ที่ได้รับการอัพเดตอยู่เสมอคือการแก้ไขช่องโหว่ด้านความปลอดภัย.
- อย่าคลิกลิงก์สแปม. เช่นเคยคุณควรหลีกเลี่ยงการเปิดอีเมลจากใครก็ตามที่คุณไม่รู้จักและไม่ควรคลิกลิงก์ที่น่าสงสัย.
- หลีกเลี่ยงโฆษณาและป๊อปอัป. เมื่อพูดถึงป๊อปอัปและโฆษณาอาจเป็นเรื่องยากที่จะหลีกเลี่ยงการคลิกเนื่องจากสิ่งเหล่านี้ได้รับการออกแบบมาเพื่อหลอกให้คุณทำเช่นนั้น (ตัวอย่างเช่นปุ่ม “ปิด” ยากที่จะระบุตำแหน่งหรือโฆษณาเคลื่อนไหว) adblocker มีประโยชน์เพราะจะช่วยป้องกันไม่ให้โฆษณาและป๊อปอัปปรากฏขึ้นตั้งแต่แรก.
- ใช้โปรแกรมป้องกันไวรัส. โปรแกรมป้องกันไวรัสไม่สามารถป้องกันได้ด้วยวิธีการใด ๆ แต่สามารถตรวจจับและกำจัดภัยคุกคามที่เป็นที่รู้จักจำนวนมากรวมถึงไวรัสและมัลแวร์ประเภทอื่น ๆ ที่ค้นหาเส้นทางสู่อุปกรณ์ของคุณ.
เครดิตรูปภาพ:“ Crack Wall” โดย Michael Krause ได้รับอนุญาตภายใต้ CC BY 2.0
