Wendy Zamora 
Exploits: they ’s not your mama’ s cyberthreats. Jossain vaiheessa ei-niin-kaukaista menneisyyttä, hyväksikäytöt olivat vastuussa toimittamisesta 80 prosenttia haittaohjelmia ihmisten järjestelmiin. Urotyöt näyttävät kuitenkin olevan tänä päivänä hiljaiseloa. Tarkoittaako tämä, että he ovat poissa lopullisesti ja voimme kaikki laskea varomme? Vai onko tämä vain tyyntä myrskyn edellä? Let ’ s murtaa tämän salakavala uhka, jotta et voi vain tietää vihollisen, mutta myös asianmukaisesti valmis, jos hyödyntää hyökkäykset palata.
mikä on haavoittuvuus?
exploit on ohjelma tai koodinpätkä, joka löytää sovelluksen tai järjestelmän tietoturvavirheen ja hyödyntää sitä niin, että verkkorikolliset voivat käyttää sitä hyödykseen eli hyödyntää sitä.
kyberrikolliset toimittavat usein urotöitä tietokoneille osana pakettia eli urotyökokoelmaa, jota ylläpidetään verkkosivustoilla tai joka on piilotettu näkymättömille aloitussivuille. Kun laskeudut jollekin näistä sivustoista, exploit kit automaattisesti sormenjäljet tietokoneen nähdä, mikä käyttöjärjestelmä olet, mitkä ohjelmat ja sinulla on käynnissä, ja mikä tärkeintä, onko jokin näistä on tietoturva-aukkoja, kutsutaan haavoittuvuuksia. Se on pohjimmiltaan tietokoneen etsimistä heikkouksien hyödyntämiseksi-toisin kuin troijalaiset tekivät Akilleen kantapään kanssa.
löydettyään haavoittuvuuksia exploit kit käyttää valmiiksi rakennettua koodiaan lähinnä pakottaakseen aukot auki ja toimittaakseen haittaohjelmia ohittaen monet tietoturvaohjelmat.
ovatko hyväksikäytöt siis eräänlaista haittaohjelmaa? Teknisesti ottaen ei. Hyväksikäytöt eivät ole itse haittaohjelmia, vaan keinoja haittaohjelman toimittamiseen. Exploit kit ei tartuta tietokoneeseen. Mutta se avaa oven haittaohjelman päästämiseksi sisään.
miten riistot hyökkäävät?
ihmiset törmäävät useimmiten hyväksikäyttöpaketteihin ansoitetuilta paljon kaupatuilta verkkosivustoilta. Verkkorikolliset valitsevat yleensä suosittuja, hyvämaineisia sivustoja saadakseen parhaan tuoton sijoitukselleen. Tämä tarkoittaa, että lukemasi uutissivustot, verkkosivusto, jolla selaat kiinteistöjä, tai verkkokauppa, josta ostat kirjasi, ovat kaikki mahdollisia ehdokkaita. Sivustot kuten yahoo.com, nytimes.com, ja msn.com ovat vaarantuneet aiemmin.
surffaat siis netissä, pysähdyt rakastamallasi sivustolla, ja vaarantunut sivusto ohjaa sinut taustalla avaamatta uusia selainikkunoita tai varoittamatta sinua millään muulla tavalla, jotta sinut voidaan skannata sopivuuden varalta virukseen. Tämän perusteella sinut joko valitaan hyväksikäytettäväksi tai hylätään.
miten suosikkisivusi vaarantuu? Kahdella tavalla: 1. Pala haitallista koodia on piilotettu näkyville verkkosivuilla (kautta vanha kunnon hakkerointi) 2. Sivustolla näkyvä mainos on saastunut. Nämä haitalliset mainokset, jotka tunnetaan nimellä malvertising, ovat erityisen vaarallisia, koska käyttäjien ei edes tarvitse klikata mainosta altistuakseen uhalle. Molemmat menetelmät, hakkeroitu sivustoja tai malvertising, välittömästi ohjata sinut (kohta selaimesi) näkymätön aloitussivu, joka isännöi exploit kit. Kun siellä, jos sinulla on haavoittuvuuksia tietokoneen, se on peli ohi.
exploit kit tunnistaa haavoittuvuudet ja käynnistää asianmukaiset hyödyntää pudottaakseen haitallisia hyötykuormia. Nämä hyötykuormat (haittaohjelma) voivat sitten suorittaa ja saastuttaa tietokoneesi kaikenlaisilla huonoilla jujuilla. Ransomware on erityinen suosikki hyötykuorma hyödyntää sarjat näinä päivinä.
mikä ohjelmisto on haavoittuva?
teoriassa, jos aikaa on tarpeeksi, jokainen ohjelmiston osa on potentiaalisesti haavoittuvainen. Erikoistuneet rikollisryhmät käyttävät paljon aikaa ohjelmien hajottamiseen, jotta he voivat löytää haavoittuvuuksia. Ne keskittyvät kuitenkin tyypillisesti sovelluksiin, joilla on suurin käyttäjäkunta, koska ne esittävät rikkaimpia kohteita. Kuten kaikki verkkorikollisuuden muodot, se on numeropeli. Suosituimmat sovelluskohteet ovat Internet Explorer, Flash, Java, Adobe Reader ja Microsoft Office.
miten tietoturvaväki taistelee sitä vastaan
ohjelmistoyritykset ymmärtävät, että heidän kehittämänsä ohjelmat saattavat sisältää haavoittuvuuksia. Koska ohjelmiin tehdään inkrementaalisia päivityksiä toiminnallisuuden, ulkonäön ja kokemuksen parantamiseksi, niin tehdään myös tietoturvakorjauksia haavoittuvuuksien sulkemiseksi. Näitä korjauksia kutsutaan laastareiksi, ja ne julkaistaan usein säännöllisellä aikataululla. Esimerkiksi Microsoft julkaisee ohjelmilleen ryppään laastareita kunkin kuukauden toisena tiistaina, joka tunnetaan nimellä Patch Tuesday.
yritykset voivat myös julkaista ohjelmiinsa korjauspäivityksiä ad-hoc kriittisen haavoittuvuuden löytyessä. Nämä laastarit olennaisesti ommella ylös reikä niin hyödyntää sarjat eivät löydä tiensä ja pudota pois niiden haitallisia paketteja.
laastarien ongelma on se, että niitä ei useinkaan julkaista heti haavoittuvuuden löydyttyä, joten rikollisilla on aikaa toimia ja hyödyntää. Toinen ongelma on se, että he luottavat siihen, että käyttäjät lataavat ne ”ärsyttävät” päivitykset heti, kun ne tulevat ulos. Useimmat hyödyntää sarjat kohdistaa haavoittuvuuksia, jotka on jo paikattu pitkään, koska he tietävät useimmat ihmiset eivät päivittää säännöllisesti.
sellaisten ohjelmistojen haavoittuvuuksien osalta, joita ei ole vielä paikattu niiden tekijältä, on olemassa kyberturvallisuusyritysten kehittämiä teknologioita ja ohjelmia, jotka suojaavat ohjelmia ja järjestelmiä, joiden tiedetään olevan suosikkeja hyväksikäytölle. Nämä teknologiat toimivat periaatteessa esteinä haavoittuvia ohjelmia vastaan ja pysäyttävät hyväksikäytöt useissa hyökkäysvaiheissa, siten heillä ei ole koskaan mahdollisuutta pudottaa haitallista hyötykuormaa.
hyväksikäyttötyypit
Hyväksikäyttötyypit voidaan ryhmitellä kahteen luokkaan: tunnettuihin ja tuntemattomiin, joita kutsutaan myös nollapäivän hyväksikäytöiksi.
tunnetut urotyöt ovat urotöitä, jotka tietoturvatutkijat ovat jo löytäneet ja dokumentoineet. Nämä hyödyntää tunnettuja haavoittuvuuksia ohjelmistojen ja järjestelmien (että ehkä käyttäjät eivät ole päivittäneet pitkään aikaan). Tietoturva-ammattilaiset ja ohjelmistokehittäjät ovat jo luoneet laastareita näille haavoittuvuuksille, mutta voi olla vaikeaa pysyä mukana kaikissa tarvittavissa korjauksissa jokaista ohjelmiston osaa varten—siksi nämä tunnetut urotyöt ovat edelleen niin onnistuneita.
tuntemattomia hyväksikäyttöjä eli nollapäiviä käytetään haavoittuvuuksissa, joista ei ole vielä kerrottu suurelle yleisölle. Tämä tarkoittaa, että verkkorikolliset ovat joko huomanneet virheen ennen kuin Kehittäjät huomasivat sen, tai he ovat luoneet hyödyntää ennen kehittäjät saavat mahdollisuuden korjata virhe. Joissakin tapauksissa kehittäjät eivät välttämättä edes löydä ohjelmastaan haavoittuvuutta, joka johti hyväksikäyttöön kuukausia, ellei vuosia! Nollapäivät ovat erityisen vaarallisia, koska vaikka käyttäjien ohjelmisto olisi täysin päivitetty, niitä voidaan silti käyttää hyväksi, ja niiden tietoturva voidaan murtaa.
Biggest exploit rikoksentekijät
kolme riistosarjaa, jotka ovat aktiivisimpia luonnossa juuri nyt, ovat nimeltään RIG, Neutrino ja Magnitude. RIG on edelleen suosituin pakkaus, ja sitä käytetään sekä malvertoinnissa että verkkosivustojen vaarantamiskampanjoissa, joilla tartutetaan ihmisten koneita ransomware-ohjelmalla. Neutrino on venäläisvalmisteinen pakkaus, jota on käytetty mainoskampanjoissa huippujulkaisijoita vastaan, ja se saalistaa Flash-ja Internet Explorer-haavoittuvuuksia (myös ransomware-viruksen toimittamiseen). Magnitude käyttää myös malvertisingia hyökkäystensä käynnistämiseen, vaikka se on tiukasti keskittynyt Aasian maihin.
kaksi vähemmän tunnettua hyväksikäyttökampanjaa, Pseudo-Darkleech ja EITest, ovat tällä hetkellä suosituimpia uudelleenohjausajoneuvoja, jotka käyttävät vaarantuneita verkkosivustoja. Nämä rikoksentekijät pistää koodi sivustoja WordPress, Joomla, tai Drupal, ja automaattisesti ohjata kävijöitä hyödyntää kit aloitussivu.
kuten kaikki kybertuhot, hyväksikäytöt, niiden toimitustavat ja niiden pudottamat haittaohjelmat kehittyvät jatkuvasti. Se on hyvä idea pysyä päällä yleisimpiä lomakkeita varmista, että ohjelmat niiden kohteena on paikattu tietokoneeseen.
Current exploit kit landscape
juuri nyt, exploit scene on melko synkkä, mikä on hyvä asia tietoturva-alalla työskenteleville ja pohjimmiltaan kaikille tietokonetta käyttäville. Tämä johtuu siitä, että kesäkuussa 2016 Angler, hienostunut exploit kit, joka oli vastuussa lähes 60 prosenttia kaikista hyödyntää hyökkäyksiä vuotta aiemmin, suljettiin. Ei ole ollut mitään muuta hyödyntää kit, joka on rakennettu samalla tasolla markkinaosuus vuodesta.
Uhkausnäyttelijät ovat hieman arastelleet juoksemista takaisin hyväksikäyttämään sarjoja, peläten uutta Onkijataklausta. Kun Angler purettiin, verkkorikolliset käänsivät painopisteensä takaisin joihinkin perinteisempiin hyökkäysmuotoihin, kuten tietojenkalasteluun ja sähköposteihin, joissa oli haitallisia liitetiedostoja (malspam). Mutta voit olla varma, he tulevat takaisin, kun uusi, luotettavampi hyödyntää kit osoittautuu tehokkaaksi mustassa pörssissä.
miten suojautua hyväksikäytöiltä
vaisto voi olla tehdä vähän tai ei mitään suojautuakseen hyväksikäytöiltä, koska hyväksikäyttöön liittyvää verkkorikollista toimintaa ei juuri nyt ole. Mutta se olisi sama kuin päättäisi olla lukitsematta oviaan, koska naapurustossasi ei ole tapahtunut ryöstöä vuoteen. Pari yksinkertaista tietoturvakäytäntöä voi auttaa sinua pysymään pelin edellä.
varmista ensin, että pidät ohjelmasi, lisäosasi ja käyttöjärjestelmäsi aina ajan tasalla. Tämä tapahtuu yksinkertaisesti noudattamalla ohjeita, kun ne ohjelmat muistuttavat, että päivitykset ovat valmiita. Voit myös tarkistaa asetukset aika ajoin, onko patch-ilmoituksia, jotka ovat saattaneet pudota tutkasta.
toiseksi sijoittakaa kyberturvallisuuteen, joka suojaa sekä tunnetuilta että tuntemattomilta hyväksikäytöiltä. Useat seuraavan sukupolven kyberturvallisuusyritykset, mukaan lukien Malwarebytes, ovat alkaneet integroida Anti-exploit-teknologiaa tuotteisiinsa.
joten voit joko rentoutua ja rukoilla, että olemme nähneet viimeiset urotyöt. Tai, voit pitää suojat ylös jatkuvasti päivittää ohjelmia ja käyttöjärjestelmiä, ja käyttämällä huippuluokan Anti-exploit tietoturvaohjelmat. Älyrahan mukaan urotyöt palaavat. Ja kun he palaavat, sinulla ei ole heikkoa korkoa, joka paljastaisi heille.