Exploits: ezek nem az anyád kiberfenyegetései. A nem túl távoli múlt egy pontján a kizsákmányolások voltak felelősek a rosszindulatú programok 80% – ának az emberek rendszereibe történő eljuttatásáért. De úgy tűnik, hogy a kizsákmányolások ma elcsendesednek. Ez azt jelenti, hogy örökre elmentek, és mi mind lerázhatjuk a figyelmünket? Vagy ez csak a vihar előtti nyugalom? Bontsuk le ezt a lopakodó fenyegetést, hogy ne csak ismerd meg ellenségedet, hanem megfelelően felkészülj arra is, ha a kizsákmányoló támadások visszatérnek.
mi az exploit?
az exploit olyan program vagy kódrészlet, amely megtalálja és kihasználja az alkalmazás vagy rendszer biztonsági hibáját, hogy a kiberbűnözők a saját javukra használhassák, azaz kihasználhassák.
a kiberbűnözők gyakran juttatnak el exploitokat a számítógépekre egy készlet részeként, vagy olyan exploitok gyűjteményeként, amelyeket weboldalakon tárolnak vagy láthatatlan céloldalakon rejtenek el. Amikor ezen webhelyek egyikére érkezik, az exploit kit automatikusan ujjlenyomatot vesz a számítógépéről, hogy megnézze, melyik operációs rendszert használja, mely programokat futtatja, és ami a legfontosabb, hogy ezek közül bármelyiknek vannak-e biztonsági hibái, úgynevezett sebezhetőségek. Ez alapvetően nézi a számítógép gyengeségeit kihasználni-nem ellentétben a trójaiak tette Achilles-sarka.
a sebezhetőségek felfedezése után az exploit kit az előre elkészített kódját használja, hogy lényegében kikényszerítse a réseket, és rosszindulatú programokat szállítson, megkerülve számos biztonsági programot.
tehát a kizsákmányolás a rosszindulatú programok egyik formája? Gyakorlatilag nem. A kihasználások nem maguk a rosszindulatú programok, hanem a rosszindulatú programok kézbesítésének módszerei. Az exploit kit nem fertőzi meg a számítógépet. De kinyitja az ajtót, hogy beengedje a rosszindulatú programot.
hogyan támadnak a kizsákmányolások?
az emberek leggyakrabban találkoznak exploit készletek a rejtett csapdába nagy forgalmú honlapok. A kiberbűnözők általában népszerű, jó hírű webhelyeket választanak annak érdekében, hogy befektetésük a legmagasabb megtérülést érje el. Ez azt jelenti, hogy az olvasott híroldalak, az ingatlan böngészéséhez használt webhely vagy az online áruház, ahol könyveket vásárol, mind lehetséges jelölt. Olyan webhelyek, mint yahoo.com, nytimes.com, és msn.com a múltban kompromittáltak.
tehát te szörfözés az interneten, megállás egy website szeretsz, és a veszélyeztetett webhely átirányítja a háttérben, anélkül, hogy új böngésző ablakok megnyitása, vagy figyelmezteti Önt bármilyen más módon, hogy lehet beolvasni alkalmasságát fertőzés. Ennek alapján vagy kiválasztják a kizsákmányolásra, vagy eldobják.
hogyan sérül a kedvenc webhelye? Kétféle módon: 1. Egy darab rosszindulatú kód rejtve van a weboldalon (jó régimódi hackeléssel) 2. A weboldalon megjelenő hirdetés megfertőződött. Ezek a rosszindulatú hirdetések, az úgynevezett malvertising, különösen veszélyesek, mivel a felhasználóknak nem is kell kattintaniuk a hirdetésre, hogy ki legyenek téve a fenyegetésnek. Mindkét módszer, a feltört webhelyek vagy a rosszindulatú hirdetések azonnal átirányítják Önt (irányítsa a böngészőt) egy láthatatlan céloldalra, amely az exploit kit-et tárolja. Ha egyszer ott van, ha biztonsági rései vannak a számítógépén, akkor vége a játéknak.
az exploit kit azonosítja a biztonsági réseket, és elindítja a megfelelő exploitokat a rosszindulatú hasznos terhelések csökkentése érdekében. Ezek a hasznos terhelések (a malware) akkor végre, és megfertőzi a számítógépet mindenféle rossz juju. Ransomware egy különösen kedvenc hasznos teher exploit készletek ezekben a napokban.
melyik szoftver sebezhető?
elméletileg, ha elegendő idő áll rendelkezésre, minden szoftver potenciálisan sebezhető. A speciális bűnözői csapatok sok időt töltenek a programok szétszedésével, hogy megtalálják a sebezhetőségeket. Általában azonban a legmagasabb felhasználói bázissal rendelkező alkalmazásokra összpontosítanak, mivel a leggazdagabb célokat mutatják be. Mint a számítógépes bűnözés minden formája, ez is egy számjáték. A legfontosabb alkalmazási célok közé tartozik az Internet Explorer, a Flash, A Java, az Adobe Reader és a Microsoft Office.
hogyan küzdenek a biztonsági emberek?
a szoftvercégek megértik, hogy az általuk fejlesztett programok sebezhetőségeket tartalmazhatnak. Mivel a programok a funkcionalitás, a megjelenés és a tapasztalat javítása érdekében növekményes frissítéseket hajtanak végre, a biztonsági rések megszüntetésére is készülnek biztonsági javítások. Ezeket a javításokat javításoknak nevezzük, és gyakran rendszeres időközönként kerülnek kiadásra. Például a Microsoft minden hónap második keddjén, Patch Tuesday néven kiad egy foltgyűjteményt programjaikhoz.
a vállalatok ad-hoc módon is kiadhatnak javításokat programjaikhoz, ha kritikus biztonsági rést fedeznek fel. Ezek a javítások lényegében varrni a lyukat, így kihasználni készletek nem találja az utat, majd dobja le a rosszindulatú csomagok.
a javításokkal az a probléma, hogy gyakran nem jelennek meg azonnal a biztonsági rés felfedezése után, így a bűnözőknek van idejük cselekedni és kihasználni. A másik probléma az, hogy támaszkodnak a felhasználókra, akik letöltik ezeket a “bosszantó” frissítéseket, amint megjelennek. A legtöbb kizsákmányoló készlet olyan sebezhetőségeket céloz meg, amelyeket már régóta javítottak, mert tudják, hogy a legtöbb ember nem frissít rendszeresen.
a szoftveres sebezhetőségeket, amelyeket még nem javított ki a gyártó cég, vannak olyan technológiák és programok, amelyeket a kiberbiztonsági vállalatok fejlesztettek ki, amelyek megvédik azokat a programokat és rendszereket, amelyekről ismert, hogy a kizsákmányolás kedvencei. Ezek a technológiák lényegében akadályként szolgálnak a sebezhető programok ellen, és megakadályozzák a támadások több szakaszában történő kihasználást, így soha nem lesz esélyük a rosszindulatú hasznos teher leadására.
az exploitok típusai
az Exploitok két kategóriába sorolhatók: ismert és ismeretlen, más néven nulla napos exploitok.
az ismert kihasználások olyan kihasználások, amelyeket a biztonsági kutatók már felfedeztek és dokumentáltak. Ezek a kihasználások kihasználják a szoftverprogramok és rendszerek ismert sebezhetőségeit (amelyeket a felhasználók talán hosszú ideje nem frissítettek). A biztonsági szakemberek és a szoftverfejlesztők már készítettek javításokat ezekre a sebezhetőségekre, de nehéz lehet lépést tartani az összes szükséges javítással minden szoftverhez—ezért ezek az ismert kihasználások még mindig olyan sikeresek.
ismeretlen kihasználásokat vagy nulla napokat használnak olyan sebezhetőségekre, amelyekről még nem számoltak be a nagyközönségnek. Ez azt jelenti, hogy a számítógépes bűnözők vagy észrevették a hibát, mielőtt a fejlesztők észrevették volna, vagy létrehoztak egy kihasználást, mielőtt a fejlesztők esélyt kapnának a hiba kijavítására. Bizonyos esetekben előfordulhat, hogy a fejlesztők nem is találják meg a programjuk sebezhetőségét, amely hónapokig, ha nem évekig kizsákmányoláshoz vezetett! A nulladik napok különösen veszélyesek, mert még akkor is, ha a felhasználók teljesen frissítik a szoftverüket, akkor is kihasználhatók, és biztonságuk megsérthető.
legnagyobb exploit elkövetők
a három exploit készletek legaktívabb a vadonban jelenleg elemzi RIG, Neutrino, magnitúdó. A RIG továbbra is a legnépszerűbb készlet, és mind a rosszindulatú, mind a weboldal kompromittáló kampányaiban használják az emberek gépeit ransomware-ekkel. A Neutrino egy orosz gyártmányú készlet, amelyet a legjobb kiadók elleni rosszindulatú kampányokban használtak, és a Flash és az Internet Explorer sebezhetőségeit is kihasználja (a ransomware-ek szállítására is). Magnitúdó használ malvertising, hogy indítson a támadások is, bár ez szigorúan összpontosított ázsiai országok.
két kevésbé ismert exploit kampány, a Pseudo-Darkleech és az EITest jelenleg a legnépszerűbb átirányítási eszközök, amelyek kompromittált weboldalakat használnak. Ezek az elkövetők kódot fecskendeznek be olyan webhelyekbe, mint a WordPress, a Joomla vagy a Drupal, és automatikusan átirányítják a látogatókat egy exploit kit céloldalra.
mint a kiberfenyegetések minden formája, az exploitok, a szállítási módszereik és az általuk eldobott rosszindulatú programok folyamatosan fejlődnek. Célszerű a leggyakoribb űrlapok tetején maradni, hogy megbizonyosodjon arról, hogy az általuk megcélzott programok javításra kerülnek-e a számítógépen.
Current exploit kit landscape
jelenleg az exploit jelenet elég sivár, ami jó dolog a biztonsági iparban dolgozók számára, és lényegében mindenki számára, aki számítógépet használ. Ennek oka az, hogy 2016 júniusában az Angler, egy kifinomult exploit készlet, amely az előző évben az összes exploit támadás közel 60% – áért volt felelős, leállt. Azóta nem volt más exploit készlet, amely ugyanolyan szintű piaci részesedést épített volna fel.
fenyegetés szereplők már egy kicsit fegyvert félénk fut vissza kihasználni készletek, a félelem egy másik horgász eltávolítási. Az Angler felszámolása után a kiberbűnözők a támadás néhány hagyományosabb formájára összpontosítottak, beleértve az adathalászatot és a rosszindulatú mellékleteket tartalmazó e-maileket (malspam). De biztos lehet benne, hogy visszatérnek, ha egy új, megbízhatóbb kizsákmányoló készlet hatékonynak bizonyul a fekete piacon.
How to protect against exploits
az ösztön az lehet, hogy kevés vagy semmilyen intézkedést nem teszünk a exploitok elleni védelem érdekében, mivel jelenleg nincs sok exploithoz kapcsolódó kiberbűnözői tevékenység. De ez olyan lenne, mintha úgy döntene, hogy nem zárja be az ajtóit, mivel egy éve nem volt rablás a környéken. Néhány egyszerű biztonsági gyakorlat segíthet a játék előtt maradni.
először is győződjön meg róla, hogy a szoftverprogramokat, bővítményeket és operációs rendszereket mindig frissíti. Ez úgy történik, hogy egyszerűen követi az utasításokat, amikor azok a programok emlékeztetik, hogy a frissítések készen állnak. Időről időre ellenőrizheti a beállításokat is, hogy vannak-e olyan javítási értesítések, amelyek esetleg leestek a radarról.
másodszor, fektessen be a kiberbiztonságba, amely védelmet nyújt mind az ismert, mind az ismeretlen kihasználások ellen. Számos következő generációs kiberbiztonsági vállalat, köztük a Malwarebytes, elkezdte integrálni az exploit elleni technológiát termékeikbe.
tehát vagy hátradőlhet, és imádkozhat, hogy láttuk az utolsó hőstetteket. Vagy fenntarthatja a pajzsokat a programok és operációs rendszerek folyamatos frissítésével, valamint a csúcsminőségű kihasználás elleni biztonsági programok használatával. Az Okos pénz azt mondja hasznosítja vissza. És amikor visszatérnek, nem lesz gyenge Sarkad, hogy leleplezd őket.