Exploits: de er ikke din mors cyberthreats. På et tidspunkt i den ikke så fjerne fortiden var utnyttelser ansvarlige for å levere 80 prosent av skadelig programvare til folks systemer. Men utnytter ser ut til å oppleve en lull i dag. Betyr dette at de er borte for godt, og vi kan alle la ned vår vakt? Eller er det bare stille før stormen? La oss bryte ned denne stealthy trusselen, slik at du ikke bare kan kjenne din fiende, men også være riktig forberedt hvis utnyttelsesangrepene kommer tilbake.
Hva er en utnyttelse?
en utnyttelse er et program eller en del av koden som finner og utnytter en sikkerhetsfeil i et program eller system slik at nettkriminelle kan bruke det til deres fordel, dvs. utnytte det.
Nettkriminelle leverer ofte exploits til datamaskiner som en del av et sett, eller en samling av exploits, som er vert på nettsteder eller skjult på usynlige destinasjonssider. Når du lander på en av disse nettstedene, fingeravtrykk utnytte kit automatisk datamaskinen for å se hvilket operativsystem du er på, hvilke programmer og du har kjører, og viktigst, om noen av disse har sikkerhetsfeil, kalt sårbarheter. Det ser i utgangspunktet på datamaskinen din for svakheter å utnytte-ikke ulikt Trojanerne gjorde Med Achilles ‘ hæl.
etter å ha oppdaget sårbarheter, bruker exploit kit sin forhåndsbygde kode for å tvinge hullene til å åpne og levere skadelig programvare, omgå mange sikkerhetsprogrammer.
så er utnytter en form for malware? Teknisk sett nei. Exploits er ikke malware seg selv, men heller metoder for å levere malware. En utnytte kit ikke infisere datamaskinen. Men det åpner døren for å la malware i.
Hvordan utnytter angrep?
Folk kommer oftest over exploit kits fra booby-fanget high-trafficked nettsteder. Nettkriminelle velger vanligvis populære, anerkjente nettsteder for å høste høyest avkastning på investeringen. Dette betyr at nyhetssidene du leser, nettstedet du bruker til å bla gjennom fast eiendom, eller nettbutikken der du kjøper bøkene dine, er alle mulige kandidater. Nettsteder som yahoo.com, nytimes.com, og msn.com har blitt kompromittert tidligere.
så du surfer på nettet, stopper ved et nettsted du elsker, og det kompromitterte nettstedet omdirigerer deg i bakgrunnen uten å åpne noen nye nettleservinduer eller varsle deg på annen måte slik at du kan skannes for egnethet for infeksjon. Basert på dette blir du enten valgt for utnyttelse eller kassert.
hvordan er din favoritt nettsted kompromittert? På to måter: 1. Et stykke ondsinnet kode er skjult i vanlig syn på nettstedet (via god gammeldags hacking) 2. En annonse som vises på nettstedet har blitt infisert. Disse ondsinnede annonser, kjent som malvertising, er spesielt farlig, som brukere ikke engang trenger å klikke på annonsen for å bli utsatt for trusselen. Begge metodene, hackede nettsteder eller malvertising, omdirigerer deg umiddelbart (pek nettleseren din) til en usynlig destinasjonsside som er vert for exploit kit. En gang der, hvis du har sårbarheter på datamaskinen din, er det game over.
exploit kit identifiserer sårbarheter og lanserer de riktige utnyttelsene for å slippe skadelige nyttelaster. Disse nyttelaster (malware) kan deretter utføre og infisere datamaskinen med alle typer dårlig juju. Ransomware er en spesiell favoritt nyttelast av utnytte kits i disse dager.
hvilken programvare er sårbar?
i teorien, gitt nok tid, er hvert stykke programvare potensielt sårbart. Spesialiserte kriminelle lag bruker mye tid på å trekke fra hverandre programmer slik at de kan finne sårbarheter. Imidlertid fokuserer de vanligvis på applikasjonene med høyest brukerbase, da de presenterer de rikeste målene. Som med alle former for nettkriminalitet, er det et tallspill. Topp applikasjonsmål inkluderer Internet Explorer, Flash, Java, Adobe Reader og Microsoft Office.
hvordan sikkerhetsfolk bekjemper det
Programvareselskaper forstår at programmene de utvikler kan inneholde sårbarheter. Som inkrementelle oppdateringer er gjort til programmene for å forbedre funksjonalitet, utseende og erfaring, så også er sikkerhetsreparasjoner laget for å lukke sårbarheter. Disse reparasjonene kalles patcher, og de blir ofte utgitt regelmessig. For Eksempel utgir Microsoft en klynge av patcher for sine programmer på den andre tirsdagen i hver måned, kjent som Patch Tuesday.
Bedrifter kan også gi ut oppdateringer for programmene sine ad hoc når det oppdages et kritisk sikkerhetsproblem. Disse patchene syr i hovedsak hullet, slik at utnyttelsessettene ikke kan finne veien inn og slippe av sine ondsinnede pakker.
problemet med oppdateringer er at de ofte ikke blir utgitt umiddelbart etter at et sårbarhet er oppdaget, så kriminelle har tid til å handle og utnytte. Det andre problemet er at de stoler på at brukere laster ned de «irriterende» oppdateringene så snart de kommer ut. De fleste utnytte kits målrette sårbarheter som allerede har blitt lappet i lang tid fordi de vet folk flest ikke oppdaterer regelmessig.
for programvaresårbarheter som ennå ikke er oppdatert av selskapet som lager dem, er det teknologier og programmer utviklet av cybersecurity-selskaper som skjermer programmer og systemer som er kjent for å være favoritter for utnyttelse. Disse teknologiene fungerer i hovedsak som barrierer mot sårbare programmer og stopper utnyttelser i flere stadier av angrep, på den måten har de aldri mulighet til å slippe av sin ondsinnede nyttelast.
typer exploits
Exploits kan grupperes i to kategorier: kjente og ukjente, også kalt zero-day exploits.
Kjente utnyttelser er utnyttelser som sikkerhetsforskere allerede har oppdaget og dokumentert. Disse utnyttelsene utnytter de kjente sårbarhetene i programvare og systemer (som kanskje brukere ikke har oppdatert på lenge). Sikkerhetseksperter og programvareutviklere har allerede laget patcher for disse sikkerhetsproblemene, men det kan være vanskelig å holde tritt med alle de nødvendige patchene for hvert stykke programvare—derfor er disse kjente utnyttelsene fortsatt så vellykkede.
Ukjente exploits, eller zero-days, brukes på sårbarheter som ennå ikke er rapportert til allmennheten. Dette betyr at nettkriminelle enten har oppdaget feilen før utviklerne la merke til det, eller de har skapt en utnyttelse før utviklere får sjansen til å fikse feilen. I noen tilfeller kan utviklere ikke engang finne sårbarheten i deres program som førte til en utnyttelse i flere måneder, om ikke år! Null-dager er spesielt farlige fordi selv om brukerne har programvaren fullstendig oppdatert, kan de fortsatt utnyttes, og deres sikkerhet kan brytes.
Største utnytte lovbrytere
de tre utnytte kits mest aktive i naturen akkurat nå heter RIG, Neutrino, Og Magnitude. RIG er fortsatt det mest populære settet, og det blir brukt i både malvertisering og nettsted som kompromitterer kampanjer for å infisere folks maskiner med ransomware. Neutrino er et russisk-laget sett som har blitt brukt i malvertiseringskampanjer mot topputgivere, og det jakter på Flash-og Internet Explorer-sårbarheter (også for å levere ransomware). Magnitude bruker også malvertising til å starte angrepene sine, selv om det er strengt fokusert på land i Asia.
To mindre kjente utnyttelseskampanjer, Pseudo-Darkleech og EITest, er for tiden de mest populære omdirigeringsbilene som bruker kompromitterte nettsteder. Disse lovbrytere injisere kode i nettsteder Som WordPress, Joomla, Eller Drupal, og automatisk omdirigere besøkende til en utnytte kit destinasjonsside.
som med alle former for cybertrusler, utnytter, deres leveringsmetoder og malware de slipper, er i stadig utvikling. Det er en god ide å holde seg på toppen av de vanligste skjemaene for å sikre at programmene de målretter mot, er lappet på datamaskinen.
Nåværende exploit kit landscape
akkurat nå er utnyttelsesscenen ganske dyster, noe som er bra for de i sikkerhetsbransjen og i hovedsak for alle som bruker en datamaskin. Dette skyldes at I juni 2016 Ble Angler, et sofistikert utnyttelsessett som var ansvarlig for nesten 60 prosent av alle utnyttelsesangrep året før, stengt. Det har ikke vært noen andre utnytte kit som er bygget opp samme nivå av markedsandel siden.
Trusselaktører har vært litt pistol sjenert om å løpe tilbake for å utnytte kits, av frykt for en Annen Angler takedown. Når Angler ble demontert, vendte cyberkriminelle fokuset tilbake til noen mer tradisjonelle former for angrep, inkludert phishing og e-post med ondsinnede vedlegg (malspam). Men vær trygg på at de kommer tilbake når et nytt, mer pålitelig utnyttelsessett viser seg å være effektivt i det svarte markedet.
hvordan beskytte mot utnyttelser
instinktet kan være å ta liten eller ingen tiltak for å beskytte mot utnyttelser, siden det ikke er mye utnyttelsesrelatert nettkriminell aktivitet akkurat nå. Men det ville være som å velge å ikke låse dørene dine siden det ikke har vært et ran i nabolaget ditt om et år. Et par enkle sikkerhetspraksis kan hjelpe deg med å holde deg foran spillet.
først må du sørge for at programmene, programtilleggene og operativsystemene dine alltid er oppdatert. Dette gjøres ved å følge instruksjonene når minnet av de programmene som oppdateringer er klar. Du kan også sjekke innstillinger fra tid til annen for å se om det er patchvarsler som kan ha falt av radaren din.
for Det Andre investerer du i cybersikkerhet som beskytter mot både kjente og ukjente utnyttelser. Flere neste generasjons cybersecurity-selskaper, inkludert Malwarebytes, har begynt å integrere anti-exploit-teknologi i sine produkter.
så du kan enten lene deg tilbake og be om at vi har sett det siste av utnyttelser. Eller du kan holde skjoldene oppe ved å kontinuerlig oppdatere programmene og operativsystemene dine, og bruke toppkvalitets anti-utnyttelsesprogrammer. De smarte pengene sier utnytter vil være tilbake. Og når de kommer tilbake, vil du ikke ha en svak hæl å utsette for dem.