Exploit setovi (ili exploit paketi) su automatizirani programi koje napadači koriste za iskorištavanje poznatih ranjivosti u sustavima ili aplikacijama. Oni mogu biti koristili za tajno pokretanje napada dok žrtve pregledavaju web, a cilj je preuzimanje i izvršavanje neke vrste zlonamjernog softvera.
Budući da eksploatacijski setovi djeluju u pozadini, može biti teško znati kada ste napadnuti. Međutim, postoje mjere koje vam mogu pomoći u zaštiti od tih napada, poput izbjegavanja nepoznatih veza i ažuriranja softvera.
U ovom članku objašnjavamo više o tome što su setovi eksploatacije, kako djeluju i kako ih koriste cyber-kriminalci. Također ćemo pružiti savjete za sprečavanje napada i rezultirajućeg opterećenja zlonamjernog softvera.
Što je kit za eksploataciju
Kit eksploata je paket koji cyber-kriminalci koriste za isporuku zlonamjernog softvera. U nastavku ćemo istražiti detalje kako se napad izvodi, ali suština je da žrtva posjećuje kompromitiranu web stranicu, a ako u softveru na računalu ima određene ranjivosti, iskorištavanje se može provesti. Kao rezultat toga, zlonamjerni softver se preuzima i izvršava na uređaju žrtve.
Softverska ranjivost je greška ili greška u kodu koji omogućuje napadaču da se na neki način upliće u aplikaciju, na primjer, u slučaju iskorištavanja, izvršavanjem neovlaštenog zadatka. Poznate ranjivosti su imenovane u referentnom popisu zajedničkih ranjivosti i izloženosti (CVE). Na primjer, CVE-[year]-8174 je visoko iskorištena ranjivost Internet Explorera.
![CVE-[year]-8174](/images/what-is-an-exploit-kit-with-examples-and-how-do-cybercriminals-use-them-2.jpg)
Uobičajeni ciljevi iskorištavanja su popularni softver s mnogim poznatim ranjivostima, kao što su Adobe Flash, Oracle Java i Internet Explorer. Što je aplikacija popularnija, to je veća šansa da napadač privuče odgovarajuću žrtvu.
Ovo je također mjesto gdje se eksploitski setovi posebno koriste za njihove korisnike. Iskoristite setove koji ciljaju više ranjivosti u isto vrijeme i sadržavaju sve ono što zločinac treba da izvrši napad. Ako jedan podvig nije prikladan, mogao bi biti drugi, povećavajući šansu cyber-kriminalca da izvede uspješan napad.
Činjenica da ove stvari dolaze kao unaprijed pripremljeni kompleti također ih čini jednostavnima za implementaciju i privlačnijima je kriminalcima s malo tehničkog znanja.
Kako se realizira kit za eksploataciju
Nekoliko je faza potrebno da bi eksploatacija bila uspješna:
- Uspostavite kontakt s okruženjem domaćina putem odredišne stranice.
- Preusmjeravanje na alternativnu odredišnu stranicu i otkrivanje ranjivosti u hostu koje se može iskoristiti.
- Izvršite iskorištavanje za širenje zlonamjernog softvera.
- Zarazite okruženje domaćina izvršavanjem zlonamjernog softvera.
Eksploatacijski komplet sadrži sav kôd potreban za izvođenje svake faze. Ako jedna faza nije uspjela, to znači kraj napada na određeni uređaj. Ovdje ćemo detaljnije pregledati ove faze i ispitati koje kriterije treba ispuniti u svakoj.
1. Uspostavite kontakt
Prva faza iskorištavanja koristi odredišnu stranicu web stranice koja je ugrožena. Žrtve se ohrabruju da posjećuju ovu stranicu, na primjer, putem veze putem e-pošte, skočnog prozora ili zlonamjernog oglašavanja (zlonamjerni oglas).
Jednom žrtva klikne na poveznicu do stranice ili unese u svoj URL preglednik, uspostavljen je početni kontakt.
U ovom trenutku možda postoje neki korisnici koji ne ispunjavaju određene kriterije, poput onih na pogrešnoj lokaciji (često se određuju na temelju IP adrese ili instaliraju jezičke provjere). Ti su korisnici filtrirani i za njih je napad završen.
2. Preusmjeravanje
Preostale žrtve preusmjeravaju se na alternativnu odredišnu stranicu koja više nije stvarna web stranica. Kôd ugrađen u ovu odredišnu stranicu zatim nastavlja kako bi utvrdio ima li žrtva uređaj ranjive aplikacije temeljene na pregledniku koje odgovaraju iskorištavanjima u kompletu.
Ako se ne otkriju ranjivosti (to jest, sve je ažurirano i sve su rupe zakrpljene), napad se zaustavlja. Ali ako se utvrdi ranjivost, tada će web stranica poslati promet na eksploataciju.
3. iskorištavati
Razlog za traženje ranjivosti je taj što kit za iskorištavanje mora pokretati zlonamjerni softver u okruženju domaćina (uređaj žrtve). Aplikacija za koju je otkriveno da je ranjiva koristi se za preuzimanje zlonamjernog softvera.
Način na koji se provodi ekspolit ovisi o prijavi. Na primjer, ako su meta sami web preglednici, iskorištavanje će biti u obliku koda ugrađenog u web stranicu. Drugi primjer je najčešće ciljana aplikacija Microsoft Silverlight, za koju se iskorištava datoteka.
Izraz exploit kit znači da postoji nekoliko podviga u jednom paketu. Ciljano će biti na više ranjivosti, čineći mu lakše izvršenje i povećanu šansu za uspjeh.
4. zaraziti
Nakon uspješne eksploatacije, zlonamjerni softver se izvršava u okruženju žrtve. Što se tiče učinka zlonamjernog softvera, postoji mnogo različitih scenarija. Paketi Exploits mogu se koristiti za širenje različitih vrsta zlonamjernog softvera, uključujući ransomware i Trojans.
Popularno korištenje setova eksploatacije je izvršavanje softvera za rudarstvo kriptovaluta. Ovo otima računalne resurse žrtve za upotrebu u rudarstvu bitcoina i drugih kripto valuta, bez odobrenja korisnika.
Primjeri setova eksploatacije
Zbog sigurnosnih zakrpa proizvođača softvera, svaki će eksploatati imati ograničeni vijek trajanja. Međutim, programeri kompleta dolaze s vlastitim ažuriranjima, tako da će nove verzije određenog kompleta iskoristiti nove ranjivosti. Kao takvi, neki se kompleti nalaze već neko vrijeme.
Adobe Flash kompleti za eksploataciju bili su izuzetno popularni u prošlosti, a navodno je obustava softvera uzrokovala nagli pad razvoja kompleta za eksploataciju. U novijim studijama vidi se pomak u Microsoftovim iskorištavanjima proizvoda. U skladu s tim, kit može ciljati više aplikacija. Može se koristiti i za širenje više vrsta zlonamjernog softvera.
Evo nekoliko primjera kit za iskorištavanje:
OPREMITI
Među najpopularnijim setovima za eksploataciju u [year]. godini, RIG koristi razne metode distribucije i rezultirajuće korisne opterećenja. Korišten je za širenje rudara novčića, bankarskih trojanaca, otkupnina i još mnogo toga.
Ovaj grafikon iz izvješća Trend Micro iz [year]. godine pokazuje razinu aktivnosti nekih uobičajenih setova eksploatacije u prvoj polovici [year]. godine.
GrandSoft
Iako je ovo prepoznato kao stariji kit, ponovno je nastupio [year]. GrandSoft je bio poznat po distribuciji ransomwarea (posebno GrandCrab), Trojana (posebno AZORult i QuantLoader) i rudara.
veličina
Magnituda cilja odabrane zemlje Azije i donosi određeni korisni teret. Dugo je postojalo, ali promijenilo je oblik. Ranije je uključivao eksploatacije za Flash Player, ali prilagođen je isključivo napadima ranjivosti Internet Explorera. Verzija EK cilja Južnu Koreju (provjerom IP adrese i jezika, između ostalog) i isporučuje poseban ransomware nazvan Magniber.
nuklearni
Iako već neko vrijeme nije u vijestima, komplet za nuklearni eksploat nekada je bio veliki zarađivač novca za svoje stvaratelje. Izvještaj sigurnosne firme Checkpoint utvrdio je da je taj komplet razvio netko u Rusiji, a tim koji je stajao iza toga je od tog pribora zarađivao oko 100.000 USD mjesečno.
Nuklearna je više bila “eksploatacija kao usluga” gdje bi kriminalci unajmili komplet. Oni bi koristite upravljačku ploču u koju mogu prenositi zlonamjerni softver i pratiti njihove rezultate.
Zašto su setovi eksploatacije uspješni?
S obzirom na to da napadači koriste poznate ranjivosti, možete se zapitati kako te slabosti ostaju izložene, omogućujući napadima da budu uspješni.
Izvješće o trendu Micro-a za [year]. godinu [PDF] osvjetljava jedan od glavnih razloga:
„Kontinuirani napad novootkrivenih ranjivosti samo otežava poslovanje preduzećima. Često, zbog količine ranjivosti i konkurentskog prioriteta održavanja mreže dostupnom, oni moraju izvršiti praktične kompromise dodijeljujući važnost određenim ranjivima i ostavljajući otvorene zakrpe za druge ranjivosti za kasnije. “
U suštini, postoji jednostavno previše da sve popravim u jednom potezu. Čak i ako su ranjivosti zakrpljene, a tvrtke poput Microsofta i Adobe izdale su ažuriranja, tvrtke ne mogu uvijek ažurirati svoje sustave.
Moraju odrediti prioritete koja se ažuriranja trebaju dogoditi prvo i nadati se da će donijeti ispravne odluke, jer cyber-kriminalci čekaju da iskoriste svaku slabost. Slično tome, za pojedince, ako netko odloži ažuriranje ili ga propusti iz nekog razloga, onda je puno veća šansa da kit za eksploataciju bude uspješan.
Nekoliko drugih čimbenika posuđuje uspjehu eksploatacijskih setova, od kojih je jedan da se inicijalni kontakt lako uspostavi, primjerice, netko klikne na lošu reklamu ili poveznicu u e-pošti. I drugo, nakon što se uspostavi početni kontakt, teško je reći da se išta događa.
Kako se zaštititi od eksplozivnih setova
Budući da je tako teško znati kada eksploatacijski setovi djeluju i činjenica da su toliko raznoliki, najbolje je da ih prvo izbjegnete. Evo nekoliko savjeta koji će vam pomoći:
- Ažurirajte softver. Jedan od najvažnijih razloga koji se softver redovito ažurira jest krpljenje sigurnosnih ranjivosti.
- Ne klikajte neželjene veze. Kao i uvijek, trebali biste izbjegavati otvaranje e-poruka od nekoga koga ne poznajete i definitivno ne klikate na sumnjive veze.
- Izbjegavajte oglase i skočne prozore. Kada je riječ o skočnim prozorima i oglasima, teško je izbjeći klikanje jer su mnogi od njih dizajnirani da vas zavedu u tome (na primjer, gumb za zatvaranje teško je pronaći ili se oglas kreće okolo). Adblocker može biti od koristi jer će se na taj način spriječiti prikazivanje oglasa i skočnih prozora.
- Koristite antivirus. Ni antivirus nije glup na bilo koji način, ali može otkriti i ukloniti mnoge poznate prijetnje, uključujući viruse i druge vrste zlonamjernog softvera koji se nađu na vašem uređaju.
Bonus slike: “Crack Wall” Michaela Krausea licenciran pod CC BY 2.0
šnu stranicu koja sadrži zlonamjerni kod. Ova stranica može biti skrivena ili maskirana kao legitimna stranica, što otežava prepoznavanje napada. Kada žrtva posjeti ovu stranicu, zlonamjerni kod se aktivira i počinje tražiti ranjivosti u softveru na računalu žrtve. 3. Iskorištavanje Ako se pronađe ranjivost, iskorištavanje se provodi kako bi se preuzela kontrola nad računalom žrtve. Ovo može uključivati izvršavanje zlonamjernog koda, preuzimanje dodatnih alata za napad ili preuzimanje osjetljivih podataka s računala žrtve. 4. Zaraziti Konačna faza je zaraziti računalo žrtve zlonamjernim softverom. Ovo može uključivati instaliranje keyloggera, koji bilježi sve što korisnik unosi na tipkovnici, ili instaliranje ransomwarea, koji zaključava računalo i traži otkupninu za otključavanje. Primjeri setova eksploatacije Postoji mnogo različitih setova eksploatacije koji se koriste u cyber-napadima. Neki od najčešćih uključuju: OPREMITI – ovaj set eksploatacije cilja na ranjivosti u softveru Adobe Flash i Internet Explorer. GrandSoft – ovaj set eksploatacije cilja na ranjivosti u softveru Microsoft Office i Internet Explorer. Veličina – ovaj set eksploatacije cilja na ranjivosti u softveru Adobe Flash i Java. Nuklearni – ovaj set eksploatacije cilja na ranjivosti u softveru Adobe Flash i Microsoft Silverlight. Zašto su setovi eksploatacije uspješni? Setovi eksploatacije su uspješni jer omogućuju napadačima da iskoriste poznate ranjivosti u softveru koji se često koristi. Ovi setovi su unaprijed pripremljeni, što znači da napadači ne moraju imati veliko tehničko znanje da bi ih koristili. Također, setovi eksploatacije ciljaju na više ranjivosti u isto vrijeme, što povećava šanse za uspješan napad. Kako se zaštititi od eksplozivnih setova Da biste se zaštitili od eksploatacijskih setova, važno je ažurirati softver na računalu i izbjegavati nepoznate veze. Također je važno koristiti antivirusni softver i firewall kako bi se spriječio pristup neovlaštenih osoba računalu. Ako primijetite bilo kakve sumnjive aktivnosti na računalu, odmah se obratite stručnjaku za sigurnost računala.