6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Эксплоиты для Windows: как весь мир стал беззащитной жертвой перед зверем, сбежавшим из АНБ

14 апреля 2017г для ИТ мира стал страшным днем. В этот день хакерская группировка shadow brokers выложила в сеть очередной дамп эксплоитов, предположительно украденных у Equation Group, которые в свою очередь пишут эксплоиты для АНБ (опять же предположительно).

На этот раз большая часть инструментов была для Windows систем. Содержала в себе в том числе и 0day уязвимости (любая система беззащитна перед этой уязвимостью, патча еще не выпущено).

Один из эксплойтов сразу взяли на свое вооружение группировки хакеров. Самый популярный эксплойт носит название Doublepulsar.

Как заявили исследователи, он попадает на компьютер через 445 порт, ходит по запущенным процессам в поисках подходящего и внедряется в их dll.

Непосредственно атаки начались уже на следующий день после публикации.

Введение

Magnitude — один из старейших эксплойт-паков. Его предлагали на подпольных форумах с 2013 года, а позднее ушел в частные руки. Со сменой оператора эксплойт-пак был переориентирован на доставку программ-вымогателей пользователям из отдельных стран Азиатско-Тихоокеанского региона (АТР) с помощью вредоносной рекламы.

Активные атаки с использованием эксплойт-пака Magnitude в 2019 году по данным Kaspersky Security Network (KSN) (скачать)

Активные атаки с использованием эксплойт-пака Magnitude в 2020 году по данным Kaspersky Security Network (KSN) (скачать)

Наша статистика показывает, что страны АТР остаются мишенью до сих пор, и в течение упомянутого года эксплойт-пак Magnitude всегда использовал программы-вымогатели собственной разработки в качестве полезной нагрузки.

Вектор заражения

Как и большинство существующих эксплойт-паков, Magnitude в 2019 году использовал уязвимость CVE-2018-8174. Однако злоумышленники, стоящие за Magnitude, одними из первых перешли на более свежую уязвимость CVE-2019-1367 и с 11 февраля 2020 года используют эксплойт к ней в качестве основного. Как и в случае с CVE-2018-8174, они не разрабатывали свой собственный эксплойт для CVE-2019-1367, а вместо этого взяли за основу оригинальный эксплойт нулевого дня и модифицировали его, добавив собственный шелл-код и обфускацию.

CVE-2019-1367 является уязвимостью типа Use-After-Free, возникающей из-за того, что в устаревшем движке JavaScript jscript.dll сборщик мусора не отслеживает не привязанное значение. По умолчанию Internet Explorer 11 использует Jscript9.dll, однако в нем есть возможность выполнить скрипт с помощью устаревшего движка, включив режим совместимости с Internet Explorer 7/8. Это можно сделать с помощью следующих атрибутов скрипта:

Оригинальный эксплойт использует JScript.Compact — специальный профиль для встраиваемых устройств . Но JScript.Encode гораздо интереснее, поскольку он был разработан Microsoft для защиты скриптов и предотвращения копирования исходного кода. Этот атрибут позволяет выполнять скрипты, закодированные с помощью Microsoft Script Encoder (screnc.exe), а также отключает отладку скриптов. По сути, это своего рода DRM для JavaScript. Авторы Magnitude изменили первоначальный эксплойт, чтобы в полной мере воспользоваться этой функцией.

Эксплойт, упакованный с применением JScript.Encode

Распакованный эксплойт; шелл-код, имена и некоторые строки обфусцированы

Создаются эксплойты киберпреступниками высокой квалификации, которые продают их на черном рынке другим злоумышленникам. В качестве элементов кибероружия они разрабатываются и используются спецслужбами.

Также эксплойты могут быть результатом работы специалистов по информационной безопасности, желающих показать, каким образом может эксплуатироваться обнаруженная ими уязвимость. В этом случае производители ПО оповещаются об уязвимостях до публикации эксплойта в открытом доступе.

Наконец, эксплойты иногда разрабатываются студентами и начинающими программистами для совершенствования своих умений.

Что такое эксплойты и почему их все так боятся?

Разработчики защитных решений часто упоминают эксплойты как одну из самых серьёзных проблем безопасности данных и систем, хотя и не всегда ясно, почему. Попробуем разобраться в этом вопросе

Разработчики защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьезных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в целом. Попробуем разобраться с этим вопросом.

Что такое эксплойт?

Эксплойты — это подвид вредоносных программ. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.

Например, у вас есть браузер, и есть уязвимость в нем, которая позволяет исполнить «произвольный код», то есть установить и запустить некую вредоносную программу на вашей системе без вашего ведома или спровоцировать какое-либо иное не ожидаемое вами поведение системы. Чаще всего первым шагом злоумышленников становится повышение привилегий, позволяющее делать в атакуемой системе все, что в голову взбредет.

Microsoft закрыла уязвимость нулевого дня в Windows и аж 41 дырку в Internet Explorer, но бреши еще остались: http://t.co/RzSNpPd3oH

Браузеры наряду с Flash, Java и Microsoft Office являются одними из самых подверженных атакам категорий программного обеспечения. Из-за их повсеместности их активно исследуют как эксперты по безопасности, так и хакеры, а разработчики браузеров вынуждены регулярно выпускать патчи для исправления уязвимостей. Лучше всего эти патчи устанавливать сразу, но, к сожалению, так происходит далеко не всегда — ведь при этом придется закрывать все вкладки.

Особую проблему, конечно, представляют собой эксплойты неизвестных уязвимостей, обнаруженных и использованных преступниками, — так называемые уязвимости нулевого дня. Может пройти много времени, прежде чем производители узнают о наличии проблемы и устранят ее.

Как происходит заражение

Следующая часть вполне техническая, так что не стесняйтесь проматывать, если только вам не в самом деле интересно, как это работает. Имейте в виду при этом, что киберпреступники часто предпочитают эксплойты прочим методам заражения, так как, в отличие от социальной инженерии, в которой все делается наудачу, эксплуатация уязвимостей неизменно дает желаемый результат.

Есть два способа «скормить» пользователям эксплойты. Во-первых, при посещении ими сайта, содержащего вредоносный код эксплойта. Во-вторых, при открытии пользователем безобидного на вид файла со скрытым вредоносным кодом. Как легко догадаться, во втором случае для доставки эксплойта, как правило, пользуются спамом или фишинговым письмом.

Почему фишинг получил такое распространение и как от него уберечься: http://t.co/sezy73TbSb

Как поясняется в статье Securelist, эксплойты предназначены для атаки конкретных версий программного обеспечения, содержащего уязвимости. Таким образом, если у пользователя нужная версия программного обеспечения при открытии вредоносного объекта или если веб-сайт использует это программное обеспечение для работы, то запускается эксплойт.

Читать еще:  7 Причин Почему Нельзя Зайти На Свою Страницу ВКонтакте

После того как он получает доступ посредством уязвимости, эксплойт загружает дополнительные вредоносные программы с сервера преступников, осуществляющие подрывную деятельность, такую как кража личных данных, использование компьютера в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак и так далее.

Эксплойты представляют угрозу даже для осторожных и добросовестных пользователей, которые регулярно обновляют свое программное обеспечение. Причина кроется во временном зазоре между открытием уязвимости и выходом патча для ее исправления.

В этом интервале эксплойты могут свободно функционировать и угрожать безопасности почти всех интернет-пользователей при отсутствии установленных в системе автоматических средств предотвращения атак эксплойтов. Опять же, не будем забывать про синдром открытых вкладок — своевременное обновление программ зачастую требует от пользователя некоторых жертв, на которые не все готовы пойти сразу в момент выхода заплатки.

Эксплойты ходят стаями

Эксплойты часто упакованы вместе — так, чтобы проверить систему-мишень на широкий спектр уязвимостей. Как только выявляются одна или несколько, в дело вступают соответствующие эксплойты. Наборы эксплойтов также широко используют специальные методы запутывания кода (специалисты называют это умным словом «обфускация»), чтобы избежать обнаружения и замести интернет-адреса с целью помешать исследователям их вычислить.

Перечислим несколько наиболее известных наборов эксплойтов, или, как еще их называют, эксплойт-китов:

Angler — один из самых сложных наборов на черном рынке. Этот набор эксплойтов своим появлением изменил правила игры, после того как начал обнаруживать антивирусы и виртуальные машины (часто используемые экспертами по безопасности как приманки) и задействовать шифрованные файлы для затруднения исследования. Это один из тех наборов эксплойтов, которые быстрее всего включают в свой арсенал недавно открытые уязвимости нулевого дня, а его вредоносные программы работают в памяти, без записи на жестких дисках жертв. С техническим описанием пакета можно ознакомиться здесь.

Nuclear Pack — поражает жертв эксплойтами Java и Adobe PDF, а также подсаживает Caphaw — печально известный банковский троян. Подробнее читайте здесь.

Neutrino — набор от русскоязычных разработчиков, содержащий несколько эксплойтов Java. Neutrino прославился в прошлом году в связи с тем, что владелец выставил его на продажу по очень скромной цене — $34 тыс. Скорее всего, это было сделано после ареста некоего Paunch, создателя следующего набора, о котором мы хотим поговорить.

Blackhole Kit — наиболее распространенная веб-угроза в 2012 году, нацеленная на уязвимости в старых версиях браузеров Firefox, Chrome, Internet Explorer и Safari, а также многих популярных плагинов, таких как Adobe Flash, Adobe Acrobat и Java. После того как жертву заманили или перенаправили на страницу подсадки, запутанный JavaScript определяет содержимое машины жертвы и загружает те эксплойты, для которых данный компьютер уязвим.

Blackhole, в отличие от большинства других эксплойт-китов, даже удостоился отдельной статьи в «Википедии», хотя после ареста вышеупомянутого Paunch сам набор практически вышел в тираж.

Вывод

Как сказано выше, эксплойты — подвид вредоносных программ, но они обнаруживаются не всеми защитными программами. Для успешного обнаружения необходимо, чтобы защитное решение использовало поведенческий анализ — это единственный надежный метод борьбы с эксплойтами. Вредоносные программы могут быть многочисленными и разнообразными, но большинство из них имеют похожие черты поведения.

Что такое эксплойты и почему их все так боятся?

Подобный метод используется в Kaspersky Internet Security и других продуктах «Лаборатории Касперского» — соответствующая часть наших защитных решений называется «Автоматическая защита от эксплойтов» (или AEP — Automatic Exploit Prevention). Характерное поведение эксплойтов помогает предотвратить заражение даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.

Более подробную информацию о технологии Automatic Exploit Prevention можно найти здесь.

Обзор BlueBorne

Вектор атаки BlueBorne состоит из нескольких этапов. Во-первых, злоумышленник обнаруживает активные соединения Bluetooth вокруг. Устройства могут быть идентифицированы, даже не находясь в режиме «обнаружения». Затем злоумышленник получает MAC-адреса уязвимых устройств. «Прощупав» устройство, злоумышленник определяет, какую операционную систему использует его жертва, и настраивает соответствующим образом эксплойт. Затем используя уязвимость в реализации протокола Bluetooth на соответствующей платформе, злоумышленник получает доступ, необходимый для достижения его злонамеренной цели. На этом этапе хакер может выбрать атаку «Man-in-The-Middle», «прослушивать» устройство или получить полный контроль с целью использования его в широком круге кибер-атак, таких как ботнет WireX.

Атака BlueBorne на Android

Как только злоумышленник определил, что его цель использует операционную систему Android, он может использовать четыре уязвимости, обнаруженные для этих устройств, или атаку Man-in-The-Middle.

Ниже приведена краткая демонстрация того, как с помощью BlueBorne злоумышленник может взять под свой контроль Android-устройство:

Уязвимость в Android, которая может привести к утечке информации (CVE-2017-0785

Первая уязвимость в Android раскрывает ценную информацию, которая помогает злоумышленнику использовать одну из уязвимостей удаленного выполнения кода, описанную далее. Уязвимость обнаружена в реализации SDP (Service Discovery Protocol), который позволяет устройству идентифицировать другие Bluetooth-девайсы вокруг него. Недостаток позволяет злоумышленнику отправлять набор запросов на сервер, заставляя его раскрывать бит памяти в ответ. Эта информация впоследствии может использоваться злоумышленником для преодоления мер безопасности и захвата контроля над устройством. Это также позволяет злоумышленнику получить ключи шифрования с целевого устройства и подслушивать Bluetooth-сообщения.

Уязвимость удаленного выполнения кода №1 (CVE-2017-0781)

Эта уязвимость находится в службе Bluetooth Network Encapsulation Protocol (BNEP). BNEP позволяет использовать Интернет через Bluetooth, превращая мобильный телефон с модемом в маршрутизатор, точку доступа в Интернет. Из-за недостатка в службе BNEP хакер может вызвать нарушение целостности информации в памяти, что позволит ему запускать код на устройстве. Из-за отсутствия надлежащей проверки авторизации запуск этой уязвимости не требует какого-либо взаимодействия с пользователем, поэтому он не узнает об атаке.

Уязвимость удаленного выполнения кода №2 (CVE-2017-0782)

Эта уязвимость похожа на предыдущую, но находится на более высоком уровне службы BNEP — профиле персональной сети (Personal Area Networking, PAN), который отвечает за установление сетевого соединения на основе IP между двумя устройствами. При этой атаке нарушение целостности информации в памяти также может быть использовано злоумышленником для получения полного контроля над зараженным устройством.

Man-in-The-Middle (CVE-2017-0783)

Атаки Man-in-The-Middle (MiTM) позволяют злоумышленнику перехватывать и изменять данные, поступающие на целевое устройство или с него. Чтобы реализовать атаку MiTM с использованием Wi-Fi, злоумышленнику потребуется специальное оборудование и запрос соединения целевого устройства с открытой WiFi-сетью. Уязвимость существует в PAN-профиле Bluetooth-стека и позволяет злоумышленнику создавать вредоносный сетевой интерфейс на устройстве жертвы, перенастраивать IP-маршрутизацию и принудительно передавать все сообщения через вредоносный сетевой интерфейс. Атака в очередной раз не требует взаимодействия с пользователем или какой-либо аутентификации, что делает её практически незаметной.

Читать еще:  Когда был первый мобильный телефон. История изобретения первого стационарного, мобильного и сенсорного телефона. Телефонные аппараты Куприяновича

Атака BlueBorne на Windows

Мы обнаружили уязвимость в Windows, которая позволяет злоумышленнику провести атаку Man-in-The-Middle. Ниже краткая демонстрация этого:

Man-in-The-Middle №2 (CVE-2017-8628)

Эта уязвимость идентична той, которая обнаружена в операционной системе Android, и влияет на обе системы, поскольку они используют одни и те же принципы в реализации некоторых протоколов Bluetooth.

Атака BlueBorne на Linux

Armis раскрыла две уязвимости в операционной системе Linux, которые позволяют злоумышленникам полностью контролировать зараженные устройства. Первая из них — утечка информации, которая может помочь злоумышленнику определить точную версию, используемую целевым устройством, и соответствующим образом настроить его эксплойт. Вторая — переполнение стека, которое может привести к полному контролю над устройством.

Вот краткое описание того, как с помощью BlueBorne хакер может взять под контроль Linux-устройство:

Утечка информации (CVE-2017-1000250)

Подобно уязвимости утечки информации в Android, эта уязвимость находится на сервере SDP, который отвечает за одну из важнейших особенностей Bluetooth — автоматическое подключение Bluetooth-устройств к службам, предоставляемым другими устройствами. Недостаток в SDP позволяет злоумышленнику отправлять набор запросов на сервер, заставляя его раскрывать бит памяти в ответ. Это может использоваться злоумышленником для получения конфиденциальных данных из процедур Bluetooth, которые могут содержать ключи шифрования.

Переполнение стека в BlueZ (CVE-2017-1000251)

Эта уязвимость была обнаружена в стеке Bluetooth Linux-ядра. Внутренний дефект в L2CAP (Logical link control and adaptation protocol), который используется для соединения между двумя устройствами, вызывает повреждение памяти, позволяющее выполнить код атакующего.

Атака BlueBorne на iOS

Armis раскрыл Apple сведения об этой атаке. Эксплойт был устранён в версии IOS 10 и версии Apple TV выше 7.2.2, однако эта уязвимость по-прежнему представляет большой риск для любого iOS-устройства до версии 10. Уязвимость может быть использована злоумышленником для выполнения кода с повышенными привилегиями.

Удаленное выполнение кода с помощью протокола Apple Low Energy Audio

Эта уязвимость была обнаружена в новом протоколе LEAP (Low energy audio protocol), разработанном Apple и работающим поверх Bluetooth. Протокол предназначен для потоковой передачи звука на периферийные устройства, например, гарнитуры или Siri Remote. Поскольку аудио-команды, отправленные с помощью LEAP, проверены не должным образом, злоумышленник может использовать повреждение памяти, чтобы получить полный контроль над устройством.

Как защититься от атаки

На момент публикации материала существовало два действенных способа снижения до нуля вероятности стать жертвой хакера, воспользовавшегося именно уязвимостью CVE-2020-1350. Первый и самый очевидный – это установка патча, закрывающего ее.

Пакет обновлений KB4569509 в настоящее время доступен для скачивания и установки. Он подходит для интеграции в состав всех версий Windows Server, начиная с 2008 Service Pack 1. Устанавливать патч необходимо на сервер, использующийся в качестве DNS-сервиса.

Второй способ, рекомендованный Check Point, пригодится в качестве экстренной меры, если требуется защитить сервер, но установка патча по тем или иным причинам не представляется возможной. Для этого нужно уменьшить максимальную длину DNS сообщений, что исключить переполнение буфера путем выполнения двух команд (без кавычек):

1. «reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f»

2 net stop DNS && net start DNS.

Добавим, что на момент публикации материала не было зафиксировано ни одного случая взлома Windows-серверов путем эксплуатации SigRed. Однако Microsoft обратилась к Check Point с просьбой о временном удалении из их отчета технической информации об этой бреши, чтобы дополнительно снизить вероятность ее использования, пока большинство копий Windows Server не будут пропатчены.

Exploit Pack — IDE для разработки эксплойта

Exploit Pack является полным IDE для разработки эксплойта и пентеста с базовым рабочим пространством и расширяемой модульной системой. Он написан в основном на JAVA, но его модули используют Python как движок и они могут использоваться для разработки пакетов или инструментов, которые могут быть запущены внутри GUI. Выпущенный под GPLv3, Exploit Pack является бесплатным устройством с открытым исходным кодом, работающим на Windows, GNU/Linux, FreeBSD и MacOSX.

Существует много коммерческих инструментов с открытым исходным кодом с такой же самой функциональностью (например, Core Impact, Metasploit, Immunity Canvas) и некоторые из них будут требовать покупку довольно дорогой лицензии для получения доступа к дополнительным опциям. Вам следует придерживаться той версии, которая больше всего вам подходит. Тем не менее, Exploit Pack пытается затронуть некоторые из общих проблем, связанных с пентестированием, путем использования GPLv3 и дружественного пользовательского интерфейса.

Вам не нужно быть разработчиком эксплойтов для того, чтобы использовать встроенные особенности и свойства Exploit Pack (такие как управление пользователем и модулями, протоколирование пентеста и разработка скрипта). Эксплойт, разработанный с помощью Exploit Pack, может быть введен в действие как автономный скрипт, но он также будет плавно запущен в Exploit Pack.

Exploit pack v7.0 Released

Exploit Pack

Более 37000+ Эксплойтов

Разработка программного обеспечения для отслеживания сети и профессиональной компьютерной защитной метрики.

Exploit Pack использует дополнительный программно-определенный интерфейс, который поддерживает быструю перенастройку для адаптации кода эксплойта к постоянно развивающейся окружающей среде угрозы. Это позволяет вам быстро проверять и защищаться против враждебных удаленных целей.

Обнаружение инсайдерской угрозы

Определение, анализ и исправление

Объективно оценивать угрозы, уязвимости, воздействия и риски, связанные с конкретными инцидентами кибер-безопасности, путем быстрого реагирования на интеграции как наступательной, так и оборонительной безопасности, является жизненно важным для достижения высокого уровня безопасности, чтобы соответствовать требованиям и успешно достигать поставленных целей.

Синхронизация во времени и пространстве обеспечения всех объектов информационной среды является основой этой силы, и exploit pack предоставляет пользователям оперативные эксплойты и инструменты безопасности, чтобы предотвратить несчастье и соблюсти все меры безопасности и уменьшить активные риски.

Высокопроизводительное отслеживание безопасности

Обнаружение угроз и наступательная безопасность

Exploit Pack был разработан опытной командой разработчиков эксплойтов и программного обеспечения, чтобы автоматизировать процессы таким образом, чтобы проводящий пентестирование мог сконцентрироваться на действительно важных вещах. Угроза. Эта смесь программных инженеров и экспертов по конкретным вопросам предоставила нам уникальное преимущество путем комбинирования технического ноу-хау вместе с пониманием сути проблемы, что в результате дает более эффективные решения для контроля за кибер-безопасностью.

Создаются эксплойты киберпреступниками высокой квалификации, которые продают их на черном рынке другим злоумышленникам. В качестве элементов кибероружия они разрабатываются и используются спецслужбами.

Также эксплойты могут быть результатом работы специалистов по информационной безопасности, желающих показать, каким образом может эксплуатироваться обнаруженная ими уязвимость. В этом случае производители ПО оповещаются об уязвимостях до публикации эксплойта в открытом доступе.

Читать еще:  Билайн про 2 оперативная память. Управление и программы

Наконец, эксплойты иногда разрабатываются студентами и начинающими программистами для совершенствования своих умений.

Что такое эксплойты и почему их все так боятся?

Разработчики защитных решений часто упоминают эксплойты как одну из самых серьёзных проблем безопасности данных и систем, хотя и не всегда ясно, почему. Попробуем разобраться в этом вопросе

Разработчики защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьезных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в целом. Попробуем разобраться с этим вопросом.

Что такое эксплойт?

Эксплойты — это подвид вредоносных программ. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.

Например, у вас есть браузер, и есть уязвимость в нем, которая позволяет исполнить «произвольный код», то есть установить и запустить некую вредоносную программу на вашей системе без вашего ведома или спровоцировать какое-либо иное не ожидаемое вами поведение системы. Чаще всего первым шагом злоумышленников становится повышение привилегий, позволяющее делать в атакуемой системе все, что в голову взбредет.

Microsoft закрыла уязвимость нулевого дня в Windows и аж 41 дырку в Internet Explorer, но бреши еще остались: http://t.co/RzSNpPd3oH

Браузеры наряду с Flash, Java и Microsoft Office являются одними из самых подверженных атакам категорий программного обеспечения. Из-за их повсеместности их активно исследуют как эксперты по безопасности, так и хакеры, а разработчики браузеров вынуждены регулярно выпускать патчи для исправления уязвимостей. Лучше всего эти патчи устанавливать сразу, но, к сожалению, так происходит далеко не всегда — ведь при этом придется закрывать все вкладки.

Особую проблему, конечно, представляют собой эксплойты неизвестных уязвимостей, обнаруженных и использованных преступниками, — так называемые уязвимости нулевого дня. Может пройти много времени, прежде чем производители узнают о наличии проблемы и устранят ее.

Как происходит заражение

Следующая часть вполне техническая, так что не стесняйтесь проматывать, если только вам не в самом деле интересно, как это работает. Имейте в виду при этом, что киберпреступники часто предпочитают эксплойты прочим методам заражения, так как, в отличие от социальной инженерии, в которой все делается наудачу, эксплуатация уязвимостей неизменно дает желаемый результат.

Есть два способа «скормить» пользователям эксплойты. Во-первых, при посещении ими сайта, содержащего вредоносный код эксплойта. Во-вторых, при открытии пользователем безобидного на вид файла со скрытым вредоносным кодом. Как легко догадаться, во втором случае для доставки эксплойта, как правило, пользуются спамом или фишинговым письмом.

Почему фишинг получил такое распространение и как от него уберечься: http://t.co/sezy73TbSb

Как поясняется в статье Securelist, эксплойты предназначены для атаки конкретных версий программного обеспечения, содержащего уязвимости. Таким образом, если у пользователя нужная версия программного обеспечения при открытии вредоносного объекта или если веб-сайт использует это программное обеспечение для работы, то запускается эксплойт.

После того как он получает доступ посредством уязвимости, эксплойт загружает дополнительные вредоносные программы с сервера преступников, осуществляющие подрывную деятельность, такую как кража личных данных, использование компьютера в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак и так далее.

Эксплойты представляют угрозу даже для осторожных и добросовестных пользователей, которые регулярно обновляют свое программное обеспечение. Причина кроется во временном зазоре между открытием уязвимости и выходом патча для ее исправления.

В этом интервале эксплойты могут свободно функционировать и угрожать безопасности почти всех интернет-пользователей при отсутствии установленных в системе автоматических средств предотвращения атак эксплойтов. Опять же, не будем забывать про синдром открытых вкладок — своевременное обновление программ зачастую требует от пользователя некоторых жертв, на которые не все готовы пойти сразу в момент выхода заплатки.

Эксплойты ходят стаями

Эксплойты часто упакованы вместе — так, чтобы проверить систему-мишень на широкий спектр уязвимостей. Как только выявляются одна или несколько, в дело вступают соответствующие эксплойты. Наборы эксплойтов также широко используют специальные методы запутывания кода (специалисты называют это умным словом «обфускация»), чтобы избежать обнаружения и замести интернет-адреса с целью помешать исследователям их вычислить.

Перечислим несколько наиболее известных наборов эксплойтов, или, как еще их называют, эксплойт-китов:

Angler — один из самых сложных наборов на черном рынке. Этот набор эксплойтов своим появлением изменил правила игры, после того как начал обнаруживать антивирусы и виртуальные машины (часто используемые экспертами по безопасности как приманки) и задействовать шифрованные файлы для затруднения исследования. Это один из тех наборов эксплойтов, которые быстрее всего включают в свой арсенал недавно открытые уязвимости нулевого дня, а его вредоносные программы работают в памяти, без записи на жестких дисках жертв. С техническим описанием пакета можно ознакомиться здесь.

Nuclear Pack — поражает жертв эксплойтами Java и Adobe PDF, а также подсаживает Caphaw — печально известный банковский троян. Подробнее читайте здесь.

Neutrino — набор от русскоязычных разработчиков, содержащий несколько эксплойтов Java. Neutrino прославился в прошлом году в связи с тем, что владелец выставил его на продажу по очень скромной цене — $34 тыс. Скорее всего, это было сделано после ареста некоего Paunch, создателя следующего набора, о котором мы хотим поговорить.

Blackhole Kit — наиболее распространенная веб-угроза в 2012 году, нацеленная на уязвимости в старых версиях браузеров Firefox, Chrome, Internet Explorer и Safari, а также многих популярных плагинов, таких как Adobe Flash, Adobe Acrobat и Java. После того как жертву заманили или перенаправили на страницу подсадки, запутанный JavaScript определяет содержимое машины жертвы и загружает те эксплойты, для которых данный компьютер уязвим.

Blackhole, в отличие от большинства других эксплойт-китов, даже удостоился отдельной статьи в «Википедии», хотя после ареста вышеупомянутого Paunch сам набор практически вышел в тираж.

Вывод

Как сказано выше, эксплойты — подвид вредоносных программ, но они обнаруживаются не всеми защитными программами. Для успешного обнаружения необходимо, чтобы защитное решение использовало поведенческий анализ — это единственный надежный метод борьбы с эксплойтами. Вредоносные программы могут быть многочисленными и разнообразными, но большинство из них имеют похожие черты поведения.

Что такое эксплойты и почему их все так боятся?

Подобный метод используется в Kaspersky Internet Security и других продуктах «Лаборатории Касперского» — соответствующая часть наших защитных решений называется «Автоматическая защита от эксплойтов» (или AEP — Automatic Exploit Prevention). Характерное поведение эксплойтов помогает предотвратить заражение даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.

Более подробную информацию о технологии Automatic Exploit Prevention можно найти здесь.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector