Wendy Zamora 
exploity: to nie są cyberprzestępstwa twojej mamy. W pewnym momencie w niezbyt odległej przeszłości exploity były odpowiedzialne za dostarczanie 80 procent złośliwego oprogramowania do ludzkich systemów. Ale wyczyny wydają się być dziś uśpione. Czy to znaczy, że odeszli na dobre i wszyscy możemy stracić czujność? Czy jest to po prostu spokój przed burzą? Przełammy to ukryte zagrożenie, abyście mogli nie tylko poznać swojego wroga, ale także być odpowiednio przygotowani na wypadek powrotu ataków typu exploit.
co to jest exploit?
exploit to program lub fragment kodu, który znajduje i wykorzystuje lukę bezpieczeństwa w aplikacji lub systemie, aby cyberprzestępcy mogli ją wykorzystać na swoją korzyść, tj. wykorzystać.
cyberprzestępcy często dostarczają exploity do komputerów jako część zestawu lub kolekcji exploitów, które są hostowane na stronach internetowych lub ukryte na niewidocznych stronach docelowych. Po wylądowaniu na jednej z tych witryn zestaw exploit automatycznie pobiera odciski palców na komputerze,aby zobaczyć, na którym systemie operacyjnym jesteś, które programy i które masz uruchomione, a co najważniejsze, czy któryś z nich ma luki w zabezpieczeniach, zwane lukami. To jest w zasadzie patrząc na komputerze słabości do wykorzystania-Nie w przeciwieństwie do trojanów zrobił z piętą achillesową.
po wykryciu luk w zabezpieczeniach zestaw exploit Kit wykorzystuje swój wstępnie zbudowany kod, aby zasadniczo wymusić otwarcie luk i dostarczyć złośliwe oprogramowanie, omijając wiele programów zabezpieczających.
więc czy exploity są formą złośliwego oprogramowania? Technicznie nie. Exploity nie są same w sobie złośliwym oprogramowaniem, ale raczej metodami dostarczania złośliwego oprogramowania. Zestaw exploit nie zainfekuje twojego komputera. Ale otwiera drzwi, aby wpuścić złośliwe oprogramowanie.
jak atakują exploity?
ludzie najczęściej natykają się na zestawy z zaminowanych stron internetowych o dużym natężeniu ruchu. Cyberprzestępcy zazwyczaj wybierają popularne, renomowane witryny, aby uzyskać najwyższy zwrot z inwestycji. Oznacza to, że strony informacyjne, które czytasz, strona internetowa, której używasz do przeglądania nieruchomości lub sklep internetowy, w którym kupujesz książki, są możliwymi kandydatami. Strony takie jak yahoo.com, nytimes.com, oraz msn.com zostały skompromitowane w przeszłości.
więc surfujesz po Internecie, zatrzymujesz się na stronie, którą kochasz, a zagrożona strona przekierowuje cię w tle, bez otwierania nowych okien przeglądarki lub ostrzegania w jakikolwiek inny sposób, abyś mógł zostać przeskanowany pod kątem przydatności do infekcji. Na tej podstawie zostaniesz wybrany do wykorzystania lub odrzucony.
jak działa Twoja ulubiona strona? Na jeden z dwóch sposobów: 1. Kawałek złośliwego kodu jest ukryty w widocznym miejscu na stronie internetowej (poprzez stare dobre hackowanie) 2. Reklama wyświetlana na stronie została zainfekowana. Te złośliwe reklamy, znane jako malvertising, są szczególnie niebezpieczne, ponieważ użytkownicy nie muszą nawet klikać reklamy, aby być narażonym na zagrożenie. Obie metody, zhakowane strony lub malvertising, natychmiast przekierują Cię (wskaż przeglądarkę internetową)na niewidzialną stronę docelową, na której znajduje się zestaw exploit. Gdy tam, jeśli masz luki na komputerze, gra jest skończona.
zestaw exploitów identyfikuje luki w zabezpieczeniach i uruchamia odpowiednie exploity w celu usunięcia złośliwych ładunków. Te ładunki (złośliwe oprogramowanie) mogą następnie wykonać i zainfekować komputer wszelkiego rodzaju złym juju. Ransomware jest szczególnie ulubionym ładunkiem zestawów exploit te dni.
które oprogramowanie jest podatne na ataki?
teoretycznie, biorąc pod uwagę wystarczająco dużo czasu, każde oprogramowanie jest potencjalnie podatne na zagrożenia. Wyspecjalizowane zespoły przestępcze spędzają dużo czasu na demontażu programów, aby znaleźć luki w zabezpieczeniach. Jednak zazwyczaj koncentrują się na aplikacjach o największej bazie użytkowników, ponieważ prezentują najbogatsze cele. Jak w przypadku wszystkich form cyberprzestępczości, jest to gra liczbowa. Najważniejsze cele aplikacji to Internet Explorer, Flash, Java, Adobe Reader i Microsoft Office.
jak ludzie zajmujący się bezpieczeństwem walczą z tym
firmy programistyczne rozumieją, że programy, które opracowują, mogą zawierać luki w zabezpieczeniach. Ponieważ przyrostowe aktualizacje są dokonywane w programach w celu poprawy funkcjonalności, wyglądu i doświadczenia, tak samo są poprawki bezpieczeństwa w celu zamknięcia luk w zabezpieczeniach. Poprawki te nazywane są łatami i często są wydawane zgodnie z regularnym harmonogramem. Na przykład Microsoft wydaje klaster łat dla swoich programów w drugi wtorek każdego miesiąca, znany jako Patch Tuesday.
firmy mogą również wydawać łatki do swoich programów ad-hoc, gdy wykryta zostanie krytyczna Luka. Te łatki zasadniczo zaszyją dziurę, więc exploit kits nie może znaleźć drogi i podrzucić swoich złośliwych pakietów.
problem z łatkami polega na tym, że często nie są one uwalniane natychmiast po wykryciu luki, więc przestępcy mają czas na działanie i wykorzystanie. Innym problemem jest to, że polegają na tym, że użytkownicy pobierają te „irytujące” aktualizacje, gdy tylko wyjdą. Większość zestawów exploit celuje w luki, które zostały już poprawione przez długi czas, ponieważ wiedzą, że większość ludzi nie aktualizuje regularnie.
w przypadku luk w oprogramowaniu, które nie zostały jeszcze poprawione przez firmę, która je tworzy, istnieją technologie i programy opracowane przez firmy zajmujące się bezpieczeństwem cybernetycznym, które chronią programy i systemy znane jako ulubione do eksploatacji. Technologie te zasadniczo działają jako bariery przeciwko podatnym programom i zatrzymują exploity na wielu etapach ataku, dzięki czemu nigdy nie mają szansy zrzucić złośliwego ładunku.
typy exploitów
exploity można podzielić na dwie kategorie: znane i nieznane, zwane również exploitami zero-day.
znane exploity to exploity, które naukowcy zajmujący się bezpieczeństwem już odkryli i udokumentowali. Exploity te wykorzystują znane luki w oprogramowaniu i systemach (które być może użytkownicy nie aktualizowali od dłuższego czasu). Specjaliści ds. bezpieczeństwa i programiści stworzyli już łatki dla tych luk, ale może być trudno nadążyć za wszystkimi wymaganymi łatami dla każdego oprogramowania-dlatego te znane exploity są nadal tak skuteczne.
nieznane exploity lub zero-dni są używane w przypadku luk w zabezpieczeniach, które nie zostały jeszcze zgłoszone ogółowi społeczeństwa. Oznacza to, że cyberprzestępcy albo zauważyli wadę, zanim zauważyli ją deweloperzy, albo stworzyli exploita, zanim programiści będą mieli szansę ją naprawić. W niektórych przypadkach programiści mogą nawet nie znaleźć luki w swoim programie, która doprowadziła do exploita przez miesiące, jeśli nie lata! Zero-days są szczególnie niebezpieczne, ponieważ nawet jeśli użytkownicy mają w pełni zaktualizowane oprogramowanie, nadal mogą być wykorzystywane, a ich bezpieczeństwo może zostać naruszone.
najwięksi przestępcy exploitów
trzy zestawy exploitów, które są obecnie najbardziej aktywne na wolności, noszą nazwy RIG, Neutrino i Magnitude. RIG pozostaje najpopularniejszym zestawem i jest używany zarówno w kampaniach malvertisingowych, jak i kompromitujących strony internetowe, aby zainfekować ludzkie maszyny oprogramowaniem ransomware. Neutrino to rosyjski zestaw, który był używany w kampaniach malvertisingowych przeciwko czołowym wydawcom i żeruje na lukach Flash i Internet Explorer (również do dostarczania oprogramowania ransomware). Magnitude używa również malvertisingu, aby rozpocząć swoje ataki, choć jest ściśle skoncentrowany na krajach Azji.
dwie mniej znane kampanie exploitowe, Pseudo-Darkleech i EITest, są obecnie najpopularniejszymi pojazdami przekierowującymi wykorzystującymi skompromitowane strony internetowe. Ci przestępcy wstrzykują kod do witryn takich jak WordPress, Joomla lub Drupal i automatycznie przekierowują odwiedzających do strony docelowej zestawu exploit.
podobnie jak w przypadku wszystkich form zagrożeń cybernetycznych, exploitów, ich metod dostarczania i złośliwego oprogramowania, które upuszczają, stale ewoluują. Dobrze jest pozostać na szczycie najczęstszych formularzy, aby upewnić się, że programy, do których kierują, są załatane na komputerze.
aktualny krajobraz zestawu exploit
w tej chwili scena exploita jest dość ponura, co jest dobrą rzeczą dla osób z branży bezpieczeństwa i, zasadniczo, dla każdego, kto korzysta z komputera. Dzieje się tak dlatego, że w czerwcu 2016 roku Angler, zaawansowany zestaw exploitów, który był odpowiedzialny za prawie 60 procent wszystkich ataków typu exploit rok wcześniej, został zamknięty. Od tego czasu nie było żadnego innego zestawu exploit, który zwiększyłby ten sam poziom udziału w rynku.
aktorzy z pogróżkami są nieco nieśmiali, uciekając z powrotem w celu wykorzystania zestawów, ze strachu przed kolejnym złapaniem wędkarza. Po rozwiązaniu Angler cyberprzestępcy zwrócili uwagę na bardziej tradycyjne formy ataków, w tym phishing i wiadomości e-mail ze złośliwymi załącznikami (malspam). Ale bądźcie pewni, że wrócą, gdy nowy, bardziej niezawodny zestaw exploit okaże się skuteczny na czarnym rynku.
jak chronić się przed exploitami
instynkt może polegać na podejmowaniu niewielkich lub zerowych działań w celu ochrony przed exploitami, ponieważ obecnie nie ma zbyt wielu działań cyberprzestępców związanych z exploitami. Ale to tak, jakby nie zamykać drzwi, skoro od roku w Twojej okolicy nie było napadu. Kilka prostych praktyk bezpieczeństwa może pomóc ci wyprzedzić grę.
po pierwsze, upewnij się, że programy, wtyczki i systemy operacyjne są stale aktualizowane. Odbywa się to po prostu postępując zgodnie z instrukcjami, gdy przypomniane przez te programy, że aktualizacje są gotowe. Możesz także od czasu do czasu sprawdzać ustawienia, aby sprawdzić, czy nie ma powiadomień o poprawkach, które mogły zniknąć z twojego radaru.
po drugie, zainwestuj w cyberbezpieczeństwo, które chroni przed zarówno znanymi, jak i nieznanymi exploitami. Kilka firm zajmujących się cyberbezpieczeństwem nowej generacji, w tym Malwarebytes, rozpoczęło wdrażanie technologii anti-exploit do swoich produktów.