Exploits: Sie sind nicht die Cyberbedrohungen deiner Mutter. Zu einem Zeitpunkt in der nicht allzu fernen Vergangenheit waren Exploits dafür verantwortlich, 80 Prozent der Malware auf die Systeme der Menschen zu übertragen. Aber Exploits scheinen heute eine Flaute zu erleben. Bedeutet das, dass sie für immer weg sind und wir alle unsere Wache im Stich lassen können? Oder ist es nur die Ruhe vor dem Sturm? Lassen Sie uns diese heimliche Bedrohung aufschlüsseln, damit Sie nicht nur Ihren Feind kennen, sondern auch angemessen vorbereitet sind, falls die Exploit-Angriffe zurückkehren.
Was ist ein Exploit?
Ein Exploit ist ein Programm oder Code, der eine Sicherheitslücke in einer Anwendung oder einem System findet und ausnutzt, damit Cyberkriminelle sie zu ihrem Vorteil nutzen, d. H. ausnutzen können.
Cyberkriminelle liefern häufig Exploits an Computer als Teil eines Kits oder einer Sammlung von Exploits, die auf Websites gehostet oder auf unsichtbaren Zielseiten versteckt sind. Wenn Sie auf einer dieser Seiten landen, das Exploit-Kit Fingerabdrücke automatisch Ihren Computer, um zu sehen, welches Betriebssystem Sie sind auf, welche Programme und Sie haben laufen, und am wichtigsten, ob eine dieser Sicherheitslücken, genannt Schwachstellen. Es ist im Grunde auf Ihrem Computer nach Schwachstellen suchen auszunutzen-nicht anders als die Trojaner mit Achillesferse tat.
Nach der Entdeckung von Schwachstellen verwendet das Exploit-Kit seinen vorgefertigten Code, um die Lücken im Wesentlichen zu öffnen und Malware zu liefern, wobei viele Sicherheitsprogramme umgangen werden.
Sind Exploits also eine Form von Malware? Technisch gesehen, nein. Exploits sind keine Malware selbst, sondern Methoden zur Bereitstellung der Malware. Ein Exploit-Kit infiziert Ihren Computer nicht. Aber es öffnet die Tür, um die Malware hereinzulassen.
Wie greifen Exploits an?
Menschen stoßen am häufigsten auf Exploit-Kits von Websites mit hohem Datenverkehr. Cyberkriminelle wählen in der Regel beliebte, seriöse Websites, um die höchste Rendite für ihre Investition zu erzielen. Dies bedeutet, dass die Nachrichtenseiten, die Sie lesen, die Website, auf der Sie Immobilien durchsuchen, oder der Online-Shop, in dem Sie Ihre Bücher kaufen, mögliche Kandidaten sind. Websites wie yahoo.com, nytimes.com, und msn.com wurden in der Vergangenheit kompromittiert.
Sie surfen also im Internet, besuchen eine Website, die Sie lieben, und die kompromittierte Website leitet Sie im Hintergrund weiter, ohne neue Browserfenster zu öffnen oder Sie auf andere Weise zu benachrichtigen, damit Sie auf Infektionstauglichkeit überprüft werden können. Auf dieser Grundlage werden Sie entweder zur Ausbeutung ausgewählt oder verworfen.
Wie wird Ihre Lieblingswebsite kompromittiert? Auf zwei Arten: 1. Ein Stück bösartiger Code ist in plain sight auf der Website versteckt (über gute altmodische Hacking) 2. Eine Werbung, die auf der Website angezeigt wird, wurde infiziert. Diese bösartigen Anzeigen, bekannt als Malvertising, sind besonders gefährlich, da Benutzer nicht einmal auf die Anzeige klicken müssen, um der Bedrohung ausgesetzt zu sein. Beide Methoden, gehackte Websites oder Malvertising, leiten Sie sofort weiter (zeigen Sie auf Ihren Webbrowser) zu einer unsichtbaren Zielseite, auf der das Exploit-Kit gehostet wird. Dort angekommen, wenn Sie Schwachstellen auf Ihrem Computer haben, ist das Spiel vorbei.
Das Exploit-Kit identifiziert Schwachstellen und startet die entsprechenden Exploits, um böswillige Nutzlasten zu löschen. Diese Nutzlasten (die Malware) kann dann ausführen und infizieren Sie Ihren Computer mit allen Arten von schlechten juju. Ransomware ist heutzutage eine besonders beliebte Nutzlast von Exploit-Kits.
Welche Software ist verwundbar?
Theoretisch ist jede Software bei ausreichender Zeit potenziell anfällig. Spezialisierte kriminelle Teams verbringen viel Zeit damit, Programme auseinander zu ziehen, um Schwachstellen zu finden. Sie konzentrieren sich jedoch in der Regel auf die Anwendungen mit der höchsten Benutzerbasis, da sie die reichsten Ziele darstellen. Wie bei allen Formen der Cyberkriminalität ist es ein Zahlenspiel. Zu den wichtigsten Anwendungszielen gehören Internet Explorer, Flash, Java, Adobe Reader und Microsoft Office.
Wie Sicherheitsleute dagegen vorgehen
Softwareunternehmen verstehen, dass die von ihnen entwickelten Programme Schwachstellen enthalten können. Da inkrementelle Updates an den Programmen vorgenommen werden, um Funktionalität, Aussehen und Erfahrung zu verbessern, werden auch Sicherheitsupdates vorgenommen, um Schwachstellen zu schließen. Diese Korrekturen werden als Patches bezeichnet und werden häufig regelmäßig veröffentlicht. Microsoft veröffentlicht beispielsweise am zweiten Dienstag eines jeden Monats einen Cluster von Patches für seine Programme, den sogenannten Patch Tuesday.
Unternehmen können auch Ad-hoc Patches für ihre Programme veröffentlichen, wenn eine kritische Sicherheitsanfälligkeit entdeckt wird. Diese Patches nähen im Wesentlichen das Loch, so dass Exploit-Kits ihren Weg nicht finden und ihre bösartigen Pakete ablegen können.
Das Problem mit Patches ist, dass sie oft nicht sofort veröffentlicht werden, nachdem eine Sicherheitsanfälligkeit entdeckt wurde, sodass Kriminelle Zeit haben, zu handeln und sie auszunutzen. Das andere Problem ist, dass sie sich darauf verlassen, dass Benutzer diese „nervigen“ Updates herunterladen, sobald sie herauskommen. Die meisten Exploit-Kits zielen auf Schwachstellen ab, die bereits seit langem gepatcht wurden, da sie wissen, dass die meisten Benutzer nicht regelmäßig aktualisieren.
Für Software-Schwachstellen, die von dem Unternehmen, das sie herstellt, noch nicht gepatcht wurden, gibt es Technologien und Programme, die von Cybersicherheitsunternehmen entwickelt wurden, die Programme und Systeme abschirmen, von denen bekannt ist, dass sie zur Ausnutzung verwendet werden. Diese Technologien wirken im Wesentlichen als Barriere gegen anfällige Programme und stoppen Exploits in mehreren Angriffsphasen, auf diese Weise haben sie nie die Chance, ihre bösartige Nutzlast abzugeben.
Arten von Exploits
Exploits können in zwei Kategorien eingeteilt werden: bekannte und unbekannte, auch Zero-Day-Exploits genannt.
Bekannte Exploits sind Exploits, die Sicherheitsforscher bereits entdeckt und dokumentiert haben. Diese Exploits nutzen die bekannten Schwachstellen in Softwareprogrammen und -systemen aus (die Benutzer möglicherweise schon lange nicht mehr aktualisiert haben). Sicherheitsexperten und Softwareentwickler haben bereits Patches für diese Schwachstellen erstellt, aber es kann schwierig sein, mit allen erforderlichen Patches für jede Software Schritt zu halten — daher sind diese bekannten Exploits immer noch so erfolgreich.
Unbekannte Exploits oder Zero-Days werden für Schwachstellen verwendet, die der Öffentlichkeit noch nicht gemeldet wurden. Dies bedeutet, dass Cyberkriminelle den Fehler entweder entdeckt haben, bevor die Entwickler ihn bemerkt haben, oder sie haben einen Exploit erstellt, bevor Entwickler die Möglichkeit haben, den Fehler zu beheben. In einigen Fällen finden Entwickler möglicherweise nicht einmal die Sicherheitsanfälligkeit in ihrem Programm, die monatelang, wenn nicht jahrelang, zu einem Exploit geführt hat! Zero-Days sind besonders gefährlich, denn selbst wenn Benutzer ihre Software vollständig aktualisiert haben, können sie immer noch ausgenutzt werden und ihre Sicherheit kann verletzt werden.
Größte Exploit-Täter
Die drei Exploit-Kits, die derzeit in freier Wildbahn am aktivsten sind, heißen RIG, Neutrino und Magnitude. RIG bleibt das beliebteste Kit und wird sowohl in Malvertising- als auch in Website-Kompromittierungskampagnen verwendet, um die Computer von Menschen mit Ransomware zu infizieren. Neutrino ist ein in Russland hergestelltes Kit, das in Malvertising-Kampagnen gegen Top-Publisher verwendet wurde und Schwachstellen in Flash und Internet Explorer ausnutzt (auch um Ransomware zu liefern). Magnitude nutzt Malvertising auch, um seine Angriffe zu starten, obwohl es sich streng auf Länder in Asien konzentriert.
Zwei weniger bekannte Exploit-Kampagnen, Pseudo-Darkleech und EITest, sind derzeit die beliebtesten Umleitungsfahrzeuge, die kompromittierte Websites verwenden. Diese Täter injizieren Code in Websites wie WordPress, Joomla oder Drupal und leiten Besucher automatisch auf eine Exploit-Kit-Zielseite um.
Wie bei allen Formen von Cyberbedrohungen entwickeln sich Exploits, ihre Bereitstellungsmethoden und die Malware, die sie ablegen, ständig weiter. Es ist eine gute Idee, den Überblick über die gängigsten Formulare zu behalten, um sicherzustellen, dass die Programme, auf die sie abzielen, auf Ihrem Computer gepatcht sind.
Aktuelle Exploit-Kit-Landschaft
Im Moment ist die Exploit-Szene ziemlich düster, was eine gute Sache für diejenigen in der Sicherheitsbranche und im Wesentlichen für jeden ist, der einen Computer benutzt. Dies liegt daran, dass im Juni 2016 Angler, ein ausgeklügeltes Exploit-Kit, das für fast 60 Prozent aller Exploit-Angriffe im Jahr zuvor verantwortlich war, heruntergefahren wurde. Es gab kein anderes Exploit-Kit, das seitdem den gleichen Marktanteil aufgebaut hat.
Bedrohungsakteure waren etwas schüchtern, als sie zurückliefen, um Kits auszunutzen, aus Angst vor einem weiteren Angler-Takedown. Nach der Demontage von Angler konzentrierten sich die Cyberkriminellen wieder auf einige traditionellere Angriffsformen, darunter Phishing und E-Mails mit schädlichen Anhängen (Malspam). Aber seien Sie versichert, sie werden zurück sein, sobald sich ein neues, zuverlässigeres Exploit-Kit auf dem Schwarzmarkt als wirksam erweist.
Schutz vor Exploits
Der Instinkt kann darin bestehen, wenig bis gar keine Maßnahmen zum Schutz vor Exploits zu ergreifen, da es derzeit nicht viele cyberkriminelle Aktivitäten im Zusammenhang mit Exploits gibt. Aber das wäre wie die Wahl, Ihre Türen nicht zu verschließen, da es in Ihrer Nachbarschaft seit einem Jahr keinen Raub mehr gegeben hat. Ein paar einfache Sicherheitspraktiken können Ihnen helfen, dem Spiel einen Schritt voraus zu sein.
Stellen Sie zunächst sicher, dass Ihre Softwareprogramme, Plugins und Betriebssysteme jederzeit aktualisiert sind. Dies geschieht, indem Sie einfach den Anweisungen folgen, wenn Sie von diesen Programmen daran erinnert werden, dass Updates bereit sind. Sie können auch die Einstellungen von Zeit zu Zeit überprüfen, um festzustellen, ob Patch-Benachrichtigungen vorhanden sind, die möglicherweise vom Radar gefallen sind.
Zweitens investieren Sie in Cybersicherheit, die vor bekannten und unbekannten Exploits schützt. Mehrere Cybersicherheitsunternehmen der nächsten Generation, darunter Malwarebytes, haben damit begonnen, Anti-Exploit-Technologie in ihre Produkte zu integrieren.
Also könnt ihr euch entweder zurücklehnen und beten, dass wir den letzten von euch gesehen haben. Oder Sie können Ihre Schutzschilde aufrechterhalten, indem Sie Ihre Programme und Betriebssysteme regelmäßig aktualisieren und erstklassige Anti-Exploit-Sicherheitsprogramme verwenden. Das intelligente Geld sagt, dass es zurück sein wird. Und wenn sie zurückkehren, haben Sie keine schwache Ferse, um sie ihnen auszusetzen.