Exploit: non sono le minacce informatiche di tua madre. A un certo punto del passato non così lontano, gli exploit erano responsabili della distribuzione dell ‘ 80% del malware ai sistemi delle persone. Ma exploit sembrano essere vivendo una pausa oggi. Significa che se ne sono andati per sempre e che possiamo abbassare la guardia? O è semplicemente la calma prima della tempesta? Abbattiamo questa minaccia furtiva in modo da poter non solo conoscere il tuo nemico, ma anche essere adeguatamente preparati in caso di ritorno degli attacchi exploit.
Che cos’è un exploit?
Un exploit è un programma o un pezzo di codice che trova e sfrutta una falla di sicurezza in un’applicazione o un sistema in modo che i criminali informatici possano usarlo a loro vantaggio, cioè sfruttarlo.
I criminali informatici forniscono spesso exploit ai computer come parte di un kit o di una raccolta di exploit ospitati su siti Web o nascosti su pagine di destinazione invisibili. Quando si atterra su uno di questi siti, il kit exploit impronte digitali automaticamente il computer per vedere quale sistema operativo si è in, quali programmi e avete in esecuzione, e, soprattutto, se uno di questi hanno falle di sicurezza, chiamate vulnerabilità. E ‘ fondamentalmente guardando il computer per le debolezze da sfruttare-non diversamente dai Trojan ha fatto con il tallone d’Achille.
Dopo aver scoperto le vulnerabilità, l’exploit kit utilizza il suo codice pre-costruito per forzare essenzialmente le lacune aperte e fornire malware, bypassando molti programmi di sicurezza.
Quindi gli exploit sono una forma di malware? Tecnicamente, no. Gli exploit non sono malware stessi, ma piuttosto metodi per fornire il malware. Un kit di exploit non infetta il computer. Ma apre la porta per far entrare il malware.
Come attaccano gli exploit?
Le persone più spesso si imbattono in kit di exploit da siti Web ad alto traffico. I criminali informatici in genere scelgono popolari, siti affidabili al fine di raccogliere il più alto ritorno sul loro investimento. Ciò significa che i siti di notizie che leggi, il sito Web che usi per navigare nel settore immobiliare o il negozio online in cui acquisti i tuoi libri sono tutti possibili candidati. Siti come yahoo.com, nytimes.com, e msn.com sono stati compromessi in passato.
Quindi stai navigando sul web, fermandoti da un sito Web che ami, e il sito compromesso ti reindirizza in background, senza aprire nuove finestre del browser o avvisarti in qualsiasi altro modo in modo che tu possa essere scansionato per l’idoneità all’infezione. In base a ciò, si è selezionati per lo sfruttamento o scartati.
Come viene compromesso il tuo sito web preferito? In uno dei due modi: 1. Un pezzo di codice dannoso è nascosto in bella vista sul sito web (tramite il buon hacking vecchio stile) 2. Un annuncio che viene visualizzato sul sito web è stato infettato. Questi annunci dannosi, noti come malvertising, sono particolarmente pericolosi, come gli utenti non hanno nemmeno bisogno di cliccare sull’annuncio per essere esposti alla minaccia. Entrambi i metodi, siti hacked o malvertising, immediatamente reindirizzare (puntare il browser web) ad una pagina di destinazione invisibile che ospita il kit exploit. Una volta lì, se si dispone di vulnerabilità sul computer, è game over.
Il kit exploit identifica le vulnerabilità e lancia gli exploit appropriati al fine di eliminare payload dannosi. Questi payload (il malware) possono quindi eseguire e infettare il computer con tutti i tipi di cattivo juju. Ransomware è un particolare payload preferito di exploit kit in questi giorni.
Quale software è vulnerabile?
In teoria, dato abbastanza tempo, ogni pezzo di software è potenzialmente vulnerabile. Le squadre criminali specializzate trascorrono molto tempo a separare i programmi in modo da poter trovare le vulnerabilità. Tuttavia, in genere si concentrano sulle applicazioni con la più alta base di utenti, in quanto presentano gli obiettivi più ricchi. Come con tutte le forme di criminalità informatica, è un gioco di numeri. I principali obiettivi delle applicazioni includono Internet Explorer, Flash, Java, Adobe Reader e Microsoft Office.
Come la gente di sicurezza lo combatte
Le aziende di software capiscono che i programmi che sviluppano possono contenere vulnerabilità. Come aggiornamenti incrementali sono fatti per i programmi al fine di migliorare la funzionalità, aspetto, e l’esperienza, così anche sono correzioni di sicurezza fatte per chiudere le vulnerabilità. Queste correzioni sono chiamati patch, e sono spesso rilasciati su un programma regolare. Ad esempio, Microsoft rilascia un cluster di patch per i propri programmi il secondo martedì di ogni mese, noto come Patch Tuesday.
Le aziende possono anche rilasciare patch per i loro programmi ad-hoc quando viene scoperta una vulnerabilità critica. Queste patch essenzialmente cuciono il buco in modo da sfruttare i kit non riescono a trovare la loro strada e rilasciare i loro pacchetti dannosi.
Il problema delle patch è che spesso non vengono rilasciate immediatamente dopo la scoperta di una vulnerabilità, quindi i criminali hanno il tempo di agire e sfruttare. L’altro problema è che si affidano agli utenti che scaricano quegli aggiornamenti “fastidiosi” non appena escono. La maggior parte dei kit di exploit si rivolge alle vulnerabilità che sono già state patchate per molto tempo perché sanno che la maggior parte delle persone non si aggiorna regolarmente.
Per le vulnerabilità del software che non sono ancora state patchate dalla società che le produce, ci sono tecnologie e programmi sviluppati da società di sicurezza informatica che proteggono programmi e sistemi noti per essere preferiti per lo sfruttamento. Queste tecnologie agiscono essenzialmente come barriere contro i programmi vulnerabili e fermano gli exploit in più fasi di attacco, in questo modo, non hanno mai la possibilità di abbandonare il loro payload dannoso.
Tipi di exploit
Gli exploit possono essere raggruppati in due categorie: noti e sconosciuti, chiamati anche exploit zero-day.
Gli exploit noti sono exploit che i ricercatori di sicurezza hanno già scoperto e documentato. Questi exploit sfruttano le vulnerabilità note nei programmi e nei sistemi software (che forse gli utenti non hanno aggiornato da molto tempo). I professionisti della sicurezza e gli sviluppatori di software hanno già creato patch per queste vulnerabilità, ma può essere difficile tenere il passo con tutte le patch necessarie per ogni pezzo di software—da qui il motivo per cui questi exploit noti sono ancora così tanto successo.
Exploit sconosciuti, o zero-days, vengono utilizzati su vulnerabilità che non sono ancora state segnalate al pubblico in generale. Ciò significa che i criminali informatici hanno individuato il difetto prima che gli sviluppatori lo notassero, o hanno creato un exploit prima che gli sviluppatori abbiano la possibilità di correggere il difetto. In alcuni casi, gli sviluppatori potrebbero anche non trovare la vulnerabilità nel loro programma che ha portato a un exploit per mesi, se non anni! I giorni zero sono particolarmente pericolosi perché anche se gli utenti hanno il loro software completamente aggiornato, possono ancora essere sfruttati e la loro sicurezza può essere violata.
I più grandi sfruttatori
I tre kit di exploit più attivi in natura in questo momento si chiamano RIG, Neutrino e Magnitude. RIG rimane il kit più popolare, ed è utilizzato in entrambe le campagne malvertising e siti web compromettenti per infettare le macchine delle persone con ransomware. Neutrino è un kit di fabbricazione russa che è stato utilizzato in campagne malvertising contro i migliori editori, e prede su Flash e Internet Explorer vulnerabilità (anche per fornire ransomware). Magnitude sta usando malvertising per lanciare i suoi attacchi, anche se è strettamente focalizzata sui paesi in Asia.
Due campagne exploit meno noti, Pseudo-Darkleech e EITest, sono attualmente i veicoli di reindirizzamento più popolari che utilizzano siti Web compromessi. Questi trasgressori iniettano codice in siti come WordPress, Joomla o Drupal e reindirizzano automaticamente i visitatori a una pagina di destinazione del kit di exploit.
Come con tutte le forme di minacce informatiche, exploit, i loro metodi di consegna, e il malware che cadono sono in continua evoluzione. E ‘ una buona idea per rimanere in cima alle forme più comuni per assicurarsi che i programmi di destinazione sono patchati sul computer.
Corrente exploit kit paesaggio
In questo momento, la scena exploit è piuttosto desolante, che è una buona cosa per quelli nel settore della sicurezza e, in sostanza, per chiunque utilizzi un computer. Questo perché nel mese di giugno 2016, Angler, un sofisticato kit di exploit che è stato responsabile di quasi 60 per cento di tutti gli attacchi exploit l’anno prima, è stato chiuso. Non c’è stato nessun altro kit di exploit che ha costruito lo stesso livello di quota di mercato da allora.
Gli attori delle minacce sono stati un po ‘ timidi nel correre indietro per sfruttare i kit, per paura di un altro takedown da pescatore. Una volta che Angler è stato smantellato, i criminali informatici si sono concentrati su alcune forme di attacco più tradizionali, tra cui phishing ed e-mail con allegati dannosi (malspam). Ma state tranquilli, torneranno una volta che un nuovo kit di exploit più affidabile si dimostrerà efficace nel mercato nero.
Come proteggersi dagli exploit
L’istinto potrebbe essere quello di prendere poca o nessuna azione per proteggersi dagli exploit, dal momento che non c’è molta attività criminale informatica legata agli exploit in questo momento. Ma sarebbe come scegliere di non chiudere a chiave le porte dal momento che non c’è stata una rapina nel tuo quartiere in un anno. Un paio di semplici pratiche di sicurezza può aiutare a rimanere davanti al gioco.
In primo luogo, assicurarsi di mantenere i programmi software, plugin e sistemi operativi aggiornati in ogni momento. Questo viene fatto semplicemente seguendo le istruzioni quando ricordato da quei programmi che gli aggiornamenti sono pronti. Puoi anche controllare le impostazioni di volta in volta per vedere se ci sono notifiche di patch che potrebbero essere cadute dal tuo radar.
In secondo luogo, investire in sicurezza informatica che protegge contro exploit noti e sconosciuti. Diverse società di sicurezza informatica di nuova generazione, tra cui Malwarebytes, hanno iniziato a integrare la tecnologia anti-exploit nei loro prodotti.
Quindi puoi rilassarti e pregare che abbiamo visto l’ultimo degli exploit. In alternativa, è possibile mantenere gli scudi aggiornando costantemente i programmi e i sistemi operativi e utilizzando programmi di sicurezza anti-exploit di prim’ordine. I soldi intelligenti dicono che gli exploit torneranno. E quando torneranno, non avrai un tacco debole da esporre a loro.