Trusele de exploatare (sau exploatarea pachetelor) sunt programe automatizate utilizate de atacatori pentru a exploata vulnerabilitățile cunoscute în sisteme sau aplicații. Ei pot fi folosit pentru a lansa în secret atacuri în timp ce victimele navighează pe web, cu scopul de a descărca și executa un tip de malware.
Deoarece kiturile de exploatare funcționează în fundal, poate fi dificil să știi când ești atacat. Cu toate acestea, există măsuri care vă pot ajuta să vă protejați împotriva acestor atacuri, cum ar fi evitarea legăturilor necunoscute și menținerea software-ului la zi.
În acest articol, vă explicăm mai multe despre ce sunt kiturile de exploatare, modul în care funcționează și modul în care le folosesc ciberneticii. Vom oferi, de asemenea, sfaturi pentru prevenirea atacurilor și încărcarea utilă malware rezultată.
Ce este un kit de exploatare
Un kit de exploatare este un pachet folosit de cibernetici pentru a furniza malware. Vom intra în detaliile modului în care un atac este executat mai jos, dar ideea este că o victimă vizitează un site web compromis, iar dacă au anumite vulnerabilități din software-ul de pe computerul lor, exploatarea poate fi efectuată. Drept urmare, malware-ul este descărcat și executat pe dispozitivul victimei.
O vulnerabilitate a software-ului este o eroare sau o eroare a codului care permite unui atacator să pătrundă în aplicație într-un fel, de exemplu, în cazul exploitărilor, executând o sarcină neautorizată. Vulnerabilitățile cunoscute sunt numite într-o listă de referință a vulnerabilităților și expunerilor comune (CVE). De exemplu, CVE-[year]-8174 este o vulnerabilitate extrem de exploatată de Internet Explorer.
![CVE-[year]-8174](/images/what-is-an-exploit-kit-with-examples-and-how-do-cybercriminals-use-them-2.jpg)
Obiectivele comune pentru exploatări sunt software-ul popular cu numeroase vulnerabilități cunoscute, precum Adobe Flash, Oracle Java și Internet Explorer. Cu cât cererea este mai populară, cu atât are o șansă mai mare de atacare a unei victime.
Aceasta este, de asemenea, în cazul în care kiturile de exploatare sunt deosebit de utile pentru utilizatorii lor. Seturile de exploatare vizează mai multe vulnerabilități în același timp și cuprinde tot ceea ce are nevoie criminalul pentru a efectua atacul. Dacă o exploatare nu este potrivită, ar putea fi o alta, sporind șansa cibercriminalului de a executa un atac de succes.
Faptul că aceste lucruri vin ca kituri pre-construite le face de asemenea ușor de implementat și mai atractive pentru infractorii cu puține cunoștințe tehnice.
Cum este implementat un kit de exploatare
Există mai multe etape necesare pentru ca un exploat să aibă succes:
- Stabiliți contactul cu mediul gazdă printr-o pagină de destinație.
- Redirecționați către o pagină de destinație alternativă și detectați vulnerabilitățile din gazdă care pot fi exploatate.
- Efectuați exploit-ul pentru a răspândi malware.
- Infecționați mediul gazdă executând programele malware.
Kitul de exploatare conține tot codul necesar pentru realizarea fiecărei etape. Dacă o etapă nu reușește, aceasta semnalează sfârșitul atacului asupra acelui dispozitiv special. Aici, vom analiza mai detaliat aceste etape și vom examina ce criterii trebuie îndeplinite la fiecare.
1. Stabiliți contactul
Prima etapă a exploatării utilizează o pagină de destinație a unui site web care a fost compromisă. Victimele sunt încurajate să viziteze acest site, de exemplu, printr-un link de e-mail, o fereastră de tip pop-up sau un mesaj publicitar (reclame dăunătoare).
Odata ce victima face clic pe linkul către site sau introduce URL-ul în browserul lor, s-a stabilit contactul inițial.
În acest moment, pot exista unii utilizatori care nu îndeplinesc anumite criterii, cum ar fi cei aflați într-o locație greșită (adesea determinați pe baza adresei IP sau a verificărilor de limbă instalate). Acești utilizatori sunt filtrați și pentru ei, atacul s-a încheiat.
2. Redirecționare
Victimele rămase sunt redirecționate către o pagină de destinație alternativă care nu mai este site-ul real. Codul încorporat în această pagină de destinație continuă apoi pentru a determina dacă dispozitivul victimei are vreo aplicație vulnerabilă bazată pe browser care corespunde exploatării din kit.
Dacă nu sunt detectate vulnerabilități (adică totul este actualizat și toate găurile sunt patchate), atunci atacul se oprește. Dar dacă se găsește o vulnerabilitate, atunci site-ul va trimite trafic către exploat.
3. Exploatare
Motivul pentru care necesită o vulnerabilitate este că kitul de exploatare trebuie să ruleze malware pe mediul gazdă (dispozitivul victimei). Aplicația despre care s-a descoperit că este vulnerabilă este utilizată pentru a descărca malware.
Modul în care se realizează expolit depinde de cerere. De exemplu, dacă browserele web în sine sunt ținta, exploitarea va fi sub formă de cod încorporat în pagina web. Un alt exemplu este aplicația care vizează în mod obișnuit Microsoft Silverlight, pentru care exploit-ul este un fișier.
Termenul kit de exploatare înseamnă că există mai multe exploatări încorporate într-un singur pachet. Acesta va viza multiple vulnerabilități, făcând o executare mai ușoară și o șansă crescută de succes pentru infractor.
4. Infect
După exploatarea de succes, programele malware sunt executate în mediul victimei. În ceea ce privește efectul malware-ului, există multe scenarii diferite. Trusele de exploatare pot fi utilizate pentru a răspândi diferite tipuri de malware, inclusiv ransomware și troieni.
O utilizare populară pentru truse de exploatare este de a executa software de minerit cryptocurrency. Aceasta deturnează resursele informatice ale victimei pentru a fi utilizate în minerit bitcoin și alte criptomonede, fără permisiunea utilizatorului.
Exemple de kituri de exploatare
Datorită corecțiilor de securitate ale dezvoltatorilor de software, fiecare exploatare va avea o durată de viață limitată. Cu toate acestea, dezvoltatorii de kituri oferă actualizări proprii, astfel încât noile versiuni ale unui kit dat să exploateze noi vulnerabilități. Ca atare, unele kituri sunt de ceva vreme.
Kit-urile de exploatare Adobe Flash au fost extrem de populare în trecut, rezultatele procesului software fiind cauzate de o scădere accentuată a dezvoltării kitului de exploatare. Studii mai recente văd o schimbare către exploatările de produse Microsoft. Acestea fiind spuse, un kit poate viza mai multe aplicații simultan. De asemenea, poate fi folosit pentru a răspândi mai multe tipuri de malware.
Iată câteva exemple de kit de exploatare:
RIG
Printre cele mai populare kituri de exploatare din [year], RIG folosește o varietate de metode de distribuție și sarcini utile rezultate. Acesta a fost folosit pentru a răspândi mineri de monede, troieni bancare, ransomware și multe altele.
Acest grafic dintr-un raport Trend Micro din [year] arată nivelul de activitate al unor kituri de exploatare comune în prima jumătate a anului [year].
GrandSoft
Deși acest lucru este recunoscut ca un kit mai vechi, acesta a reapărut în [year]. GrandSoft a fost cunoscut că distribuie ransomware (în special GrandCrab), troieni (în special AZORult și QuantLoader) și mineri..
mărime
Obiectivele de mărime selectează țările asiatice și oferă o sarcină utilă specifică. A fost în jur de mult timp, dar și-a schimbat forma. Acesta includea exploatări pentru Flash Player, dar a fost adaptat pentru a ataca doar vulnerabilitățile Internet Explorer. Versiunea EK de magnitudine vizează Coreea de Sud (verificând adresa IP și limbajul, printre altele) și livrează un ransomware special numit Magniber.
Nuclear
Deși nu a mai fost în știri de ceva vreme, kitul de exploatare nucleară a fost cândva un mare producător de bani pentru creatorii săi. Un raport al companiei de securitate Checkpoint a descoperit că kitul a fost dezvoltat de cineva din Rusia, iar echipa din spatele său câștiga aproximativ 100.000 USD pe lună din kit..
Nuclearul era mai mult un „exploit-as-a-service” unde infractorii ar închiria trusa. Ei ar utilizați un panou de control în care ar putea încărca malware și urmăriți rezultatele acestora.
De ce au succes truse de exploatare?
Având în vedere că atacatorii folosesc vulnerabilități cunoscute, vă puteți întreba cum aceste puncte slabe rămân expuse, permițând atacurilor să aibă succes.
Un raport Trend Micro din [year] [PDF] aruncă o lumină asupra unuia dintre motivele principale:
„Atacul continuu al vulnerabilităților descoperite recent face doar atât mai dificil pentru întreprinderi. De multe ori, datorită volumului vulnerabilităților și priorității concurențiale de a menține rețeaua disponibilă, ei trebuie să facă compromisuri practice, alocând importanță anumitor vulnerabilități și lăsând patch-uri deschise altor vulnerabilități mai târziu. “
În esență, există pur și simplu prea mult pentru a remedia totul dintr-o singură dată. Chiar dacă vulnerabilitățile au fost corecte și companii precum Microsoft și Adobe au emis actualizări, companiile nu își pot actualiza întotdeauna sistemele imediat.
Ei trebuie să acorde prioritate ce actualizări trebuie să se întâmple mai întâi și speră că iau deciziile corecte, întrucât ciberneticii așteaptă să profite de fiecare slăbiciune. În mod similar, pentru persoanele fizice, dacă cineva pune la dispoziție o actualizare sau îi lipsește din anumite motive, există șanse mult mai mari ca un kit de exploatare să aibă succes.
Câțiva alți factori acordă succesul kiturilor de exploatare, unul fiind acela că contactul inițial se face cu ușurință, de exemplu, de cineva care face clic pe o reclamă necinstită sau un link dintr-un e-mail. Și în al doilea rând, după ce s-a stabilit contactul inițial, este dificil de spus că se întâmplă orice informație neobișnuită.
Cum să vă protejați împotriva kiturilor de exploatare
Deoarece este atât de dificil de știut când funcționează kiturile de exploatare și faptul că sunt atât de variate, cel mai bine este să le evităm în primul rând. Iată câteva sfaturi care vă pot ajuta:
- Țineți software-ul la zi. Unul dintre cele mai importante motive pentru care software-ul este actualizat în mod regulat este să corecteze vulnerabilitățile de securitate.
- Nu faceți clic pe linkurile spam. Ca întotdeauna, ar trebui să evitați deschiderea de e-mailuri de la oricine nu știți și, cu siguranță, nu faceți clic pe link-uri suspecte.
- Evitați reclamele și ferestrele. Când vine vorba de ferestre de tip pop-up și reclame, poate fi dificil să evitați să faceți clic, deoarece multe dintre acestea sunt concepute pentru a vă păcăli să faceți acest lucru (de exemplu, butonul „închide” este dificil de localizat sau anunțul se mișcă). Un adblocker poate fi util, deoarece acest lucru va împiedica publicitățile și pop-urile să apară în primul rând.
- Folosiți un antivirus. Un antivirus nu este sigur în niciun fel, dar poate detecta și elimina multe amenințări cunoscute, inclusiv viruși și alte tipuri de malware care își găsesc calea pe dispozitiv..
Credit imagine: „Crack Wall” de Michael Krause licențiat sub CC BY 2.0
meu, kitul de exploatare începe să funcționeze.
2. Redirecționare
După ce victima ajunge pe site-ul compromis, kitul de exploatare încearcă să o redirecționeze către o altă pagină de destinație. Această pagină poate fi găzduită pe un server controlat de atacator sau poate fi o altă pagină compromisă. Scopul acestei etape este de a detecta vulnerabilitățile din software-ul de pe dispozitivul victimei.
3. Exploatare
După ce vulnerabilitățile sunt detectate, kitul de exploatare încearcă să le exploateze. Acest lucru se face prin trimiterea unui cod malicios către dispozitivul victimei, care poate fi executat fără permisiunea acesteia.
4. Infect
Dacă exploatarea este reușită, kitul de exploatare descarcă și instalează malware-ul pe dispozitivul victimei. Acest malware poate fi folosit pentru a prelua controlul asupra dispozitivului, pentru a fura date sau pentru a lansa alte atacuri.
Exemple de kituri de exploatare
Există mai multe kituri de exploatare disponibile pe piață, fiecare cu propriile lor caracteristici și funcționalități. Iată câteva exemple:
RIG
RIG este un kit de exploatare popular care a fost folosit în mai multe campanii de atac. Acesta utilizează o varietate de vulnerabilități pentru a infecta dispozitivele victimelor și poate fi personalizat pentru a se potrivi nevoilor atacatorului.
GrandSoft
GrandSoft este un alt kit de exploatare popular care a fost folosit în mai multe campanii de atac. Acesta utilizează o varietate de tehnici pentru a evita detectarea și poate fi personalizat pentru a se potrivi nevoilor atacatorului.
Nuclear
Nuclear este un kit de exploatare care a fost folosit în mai multe campanii de atac. Acesta utilizează o varietate de vulnerabilități pentru a infecta dispozitivele victimelor și poate fi personalizat pentru a se potrivi nevoilor atacatorului.
De ce au succes trusele de exploatare?
Trusele de exploatare au succes din mai multe motive. În primul rând, acestea sunt ușor de utilizat și pot fi personalizate pentru a se potrivi nevoilor atacatorului. În al doilea rând, acestea utilizează vulnerabilități cunoscute, ceea ce înseamnă că atacatorii nu trebuie să descopere noi vulnerabilități pentru a lansa un atac. În cele din urmă, acestea pot fi utilizate pentru a infecta un număr mare de dispozitive într-un timp scurt.
Cum să vă protejați împotriva kiturilor de exploatare
Există mai multe măsuri pe care le puteți lua pentru a vă proteja împotriva kiturilor de exploatare. Iată câteva sfaturi:
– Evitați să faceți clic pe link-uri necunoscute sau suspecte.
– Mențineți software-ul la zi și instalați actualizările de securitate cât mai curând posibil.
– Utilizați un software de securitate de încredere și actualizați-l regulat.
– Evitați să descărcați software sau fișiere de pe site-uri necunoscute sau suspecte.
– Fiți atenți la semnele de avertizare ale unui atac, cum ar fi întârzieri neobișnuite sau erori de sistem.
În concluzie, kiturile de exploatare sunt o amenințare serioasă pentru utilizatorii de internet. Cu toate acestea, există măsuri pe care le puteți lua pentru a vă proteja împotriva acestora. Fiți atenți la link-uri suspecte și mențineți software-ul la zi pentru a vă proteja împotriva vulnerabilit