Exploits: they ‘re not your mama’ s cyberthreats. Op een gegeven moment in het niet-zo-verre verleden, exploits waren verantwoordelijk voor het leveren van 80 procent van malware aan systemen van mensen. Maar exploits lijken te worden ervaren een stilte vandaag. Betekent dit dat ze voorgoed weg zijn en dat we allemaal op onze hoede kunnen zijn? Of is dit gewoon de rust voor de storm? Laten we breken deze stealthy bedreiging, zodat u niet alleen uw vijand kennen, maar ook op de juiste wijze worden voorbereid moet de exploit aanvallen terugkeren.
Wat is een exploit?
een exploit is een programma of stuk code dat een beveiligingslek in een applicatie of systeem ontdekt en benut, zodat cybercriminelen het in hun voordeel kunnen gebruiken, d.w.z. het exploiteren.
cybercriminelen leveren vaak exploits aan computers als onderdeel van een kit, of een verzameling van exploits, die wordt gehost op websites of verborgen op onzichtbare landingspagina ‘ s. Wanneer u landt op een van deze sites, de exploit kit automatisch vingerafdrukken van uw computer om te zien op welk besturingssysteem u zich op, welke programma ‘ s en je hebt draaien, en het belangrijkste, of een van deze hebben beveiligingsfouten, zogenaamde kwetsbaarheden. Het is eigenlijk op zoek naar uw computer voor zwakke punten te exploiteren—niet in tegenstelling tot de Trojaanse paarden deed met achilleshiel.
na het ontdekken van kwetsbaarheden, gebruikt de exploit kit zijn vooraf gebouwde code om in wezen de gaten open te dwingen en malware te leveren, waardoor veel beveiligingsprogramma ‘ s worden omzeild.
zijn exploits dus een vorm van malware? Technisch gezien niet. Exploits zijn niet malware zelf, maar eerder methoden voor het leveren van de malware. Een exploit kit niet uw computer infecteren. Maar het opent de deur om de malware binnen te laten.
hoe vallen exploits aan?
mensen komen het vaakst exploit kits tegen van websites met veel boobytraps. Cybercriminelen kiezen meestal populaire, gerenommeerde sites om het hoogste rendement op hun investering te oogsten. Dit betekent dat de nieuwssites die u leest, de website die u gebruikt om onroerend goed te bladeren, of de online winkel waar u uw boeken koopt zijn allemaal mogelijke kandidaten. Sites zoals yahoo.com, nytimes.com, en msn.com zijn in het verleden gecompromitteerd.
dus u surft op het web, stopt bij een website waar u van houdt, en de gecompromitteerde site leidt u naar de achtergrond, zonder nieuwe browservensters te openen of u op een andere manier te waarschuwen zodat u gescand kunt worden op geschiktheid voor infectie. Op basis hiervan wordt u geselecteerd voor exploitatie of afgewezen.
Hoe wordt uw favoriete website aangetast? Op twee manieren: 1. Een stukje kwaadaardige code is verborgen in het volle zicht op de website (via good old-fashioned hacking) 2. Een advertentie die wordt weergegeven op de website is besmet. Deze kwaadaardige advertenties, bekend als malvertising, zijn vooral gevaarlijk, als gebruikers niet eens hoeft te klikken op de advertentie om te worden blootgesteld aan de dreiging. Beide methoden, gehackte sites of malvertising, onmiddellijk omleiden (punt uw webbrowser) naar een onzichtbare landing page die host de exploit kit. Eenmaal daar, als je kwetsbaarheden op uw computer, het is game over.
de exploit kit identificeert kwetsbaarheden en lanceert de juiste exploits om kwaadaardige payloads te laten vallen. Deze payloads (de malware) kan vervolgens uitvoeren en infecteren uw computer met allerlei slechte juju. Ransomware is een bijzonder favoriete lading van exploit kits deze dagen.
welke software is kwetsbaar?
in theorie is, als er voldoende tijd is, elk stuk software potentieel kwetsbaar. Gespecialiseerde criminele teams besteden veel tijd aan het uit elkaar halen van programma ‘ s, zodat ze kwetsbaarheden kunnen vinden. Echter, ze meestal richten op de toepassingen met de hoogste user-base, omdat ze presenteren de rijkste doelen. Zoals met alle vormen van cybercriminaliteit, het is een nummerspel. Top toepassingsdoelen zijn Internet Explorer, Flash, Java, Adobe Reader en Microsoft Office.
hoe beveiligingsmensen het bestrijden
softwarebedrijven begrijpen dat de programma ‘ s die zij ontwikkelen kwetsbaarheden kunnen bevatten. Als incrementele updates worden gemaakt om de programma ‘ s om de functionaliteit te verbeteren, looks, en ervaring, zo zijn ook security fixes gemaakt om kwetsbaarheden te sluiten. Deze fixes worden patches genoemd, en ze worden vaak uitgebracht op een regelmatig schema. Bijvoorbeeld, Microsoft brengt een cluster van patches voor hun programma ‘ s op de tweede dinsdag van elke maand, bekend als Patch Tuesday.
bedrijven kunnen ook patches voor hun programma ‘ s ad-hoc vrijgeven wanneer een kritieke kwetsbaarheid wordt ontdekt. Deze patches in wezen naaien het gat, zodat exploit kits kunnen hun weg niet vinden in en drop off hun kwaadaardige pakketten.
het probleem met patches is dat ze vaak niet direct worden vrijgegeven nadat een kwetsbaarheid is ontdekt, zodat criminelen tijd hebben om te handelen en te exploiteren. Het andere probleem is dat ze vertrouwen op gebruikers downloaden van die “vervelende” updates zodra ze naar buiten komen. De meeste exploit kits richten kwetsbaarheden die al zijn gepatched voor een lange tijd, omdat ze weten dat de meeste mensen niet regelmatig updaten.
voor software-kwetsbaarheden die nog niet zijn opgelost door het bedrijf dat ze maakt, zijn er technologieën en programma ’s ontwikkeld door cybersecurity-bedrijven die programma’ s en systemen afschermen waarvan bekend is dat ze favorieten zijn voor exploitatie. Deze technologieën in wezen fungeren als barrières tegen kwetsbare programma ‘ s en stoppen exploits in meerdere stadia van de aanval, op die manier, ze hebben nooit een kans om af te vallen van hun kwaadaardige lading.
soorten exploits
Exploits kunnen worden gegroepeerd in twee categorieën: bekend en onbekend, ook wel zero-day exploits genoemd.
bekende exploits zijn exploits die beveiligingsonderzoekers al hebben ontdekt en gedocumenteerd. Deze exploits profiteren van de bekende kwetsbaarheden in softwareprogramma ‘ s en systemen (die misschien gebruikers hebben niet bijgewerkt in een lange tijd). Beveiligingsprofessionals en softwareontwikkelaars hebben al patches gemaakt voor deze kwetsbaarheden, maar het kan moeilijk zijn om alle vereiste patches bij te houden voor elk stukje software—vandaar waarom deze bekende exploits nog steeds zo succesvol zijn.
Onbekende exploits, of zero-days, worden gebruikt op kwetsbaarheden die nog niet aan het grote publiek zijn gemeld. Dit betekent dat cybercriminelen hebben ofwel Gespot de fout voordat de ontwikkelaars merkte, of ze hebben een exploit gemaakt voordat ontwikkelaars krijgen een kans om de fout op te lossen. In sommige gevallen, ontwikkelaars kunnen niet eens vinden de kwetsbaarheid in hun programma dat leidde tot een exploit voor maanden, zo niet jaren! Zero-dagen zijn bijzonder gevaarlijk omdat zelfs als gebruikers hun software volledig bijgewerkt, ze kunnen nog steeds worden geëxploiteerd, en hun veiligheid kan worden geschonden.
grootste exploit overtreders
de drie exploit kits meest actief in het wild op dit moment zijn vernoemd RIG, Neutrino, en Magnitude. RIG blijft de meest populaire kit, en het wordt gebruikt in zowel malvertising en website compromitterende campagnes om machines van mensen te infecteren met ransomware. Neutrino is een Russisch gemaakte kit die is gebruikt in malvertising campagnes tegen top uitgevers, en het aast op Flash en Internet Explorer kwetsbaarheden (ook om ransomware te leveren). Magnitude gebruikt malvertising om zijn aanvallen ook te lanceren, hoewel het strikt gericht is op landen in Azië.
twee minder bekende exploit-campagnes, Pseudo-Darkleech en EITest, zijn momenteel de meest populaire omleidingsvoertuigen die gecompromitteerde websites gebruiken. Deze daders injecteren code in sites zoals WordPress, Joomla, of Drupal, en automatisch omleiden bezoekers naar een exploit kit landing page.
zoals bij alle vormen van cyberdreigingen, zijn exploits, hun leveringsmethoden en de malware die ze laten vallen voortdurend in ontwikkeling. Het is een goed idee om op de top van de meest voorkomende formulieren te blijven om ervoor te zorgen dat de programma ‘ s die ze richten zijn gepatcht op uw computer.
huidige exploit kit landschap
op dit moment is de exploit scene vrij somber, wat een goede zaak is voor degenen in de beveiligingsindustrie en, in wezen, voor iedereen die een computer gebruikt. Dit komt omdat in juni 2016, Angler, een geavanceerde exploit kit die verantwoordelijk was voor bijna 60 procent van alle exploit aanvallen het jaar daarvoor, werd stilgelegd. Er is geen andere exploit kit die is opgebouwd uit hetzelfde niveau van marktaandeel sinds.
Dreigingsacteurs zijn een beetje verlegen om terug te rennen om kits te exploiteren, uit angst voor een volgende takedown van een visser. Zodra Angler werd ontmanteld, cybercriminelen draaide hun focus terug naar een aantal meer traditionele vormen van aanval, met inbegrip van phishing en e-mails met kwaadaardige attachments (malspam). Maar wees gerust, ze zullen terugkomen zodra een nieuwe, meer betrouwbare exploit kit blijkt effectief in de zwarte markt.
hoe te beschermen tegen exploits
het instinct kan zijn om weinig tot geen actie te ondernemen om te beschermen tegen exploits, aangezien er op dit moment niet veel exploit-gerelateerde cybercriminele activiteiten zijn. Maar dat zou hetzelfde zijn als ervoor kiezen om je deuren niet op slot te doen omdat er al een jaar geen overval in je buurt is geweest. Een paar eenvoudige beveiligingspraktijken kunnen u helpen om het spel voor te blijven.
zorg er eerst voor dat u uw softwareprogramma ‘ s, plugins en besturingssystemen te allen tijde up-to-date houdt. Dit wordt gedaan door simpelweg de instructies te volgen wanneer deze programma ‘ s eraan herinneren dat updates klaar zijn. U kunt ook van tijd tot tijd instellingen controleren om te zien of er patchmeldingen zijn die mogelijk van uw radar zijn verdwenen.Ten tweede, investeer in cybersecurity die beschermt tegen zowel bekende als Onbekende exploits. Verschillende volgende generatie cybersecurity bedrijven, waaronder Malwarebytes, zijn begonnen met de integratie van anti-exploit technologie in hun producten.
dus je kunt achterover leunen en bidden dat we de laatste exploits hebben gezien. Of, u kunt uw schilden omhoog houden door consequent uw programma ’s en besturingssystemen bij te werken, en het gebruik van top-notch anti-exploit beveiligingsprogramma’ s. Het slimme geld zegt dat exploits terug zullen komen. En als ze terugkomen, heb je geen zwakke hiel om aan hen bloot te stellen.