Explorações: eles não são a sua mamãe ameaças virtuais. Em um ponto no passado não tão distante, os exploits foram responsáveis por entregar 80% do malware aos sistemas das pessoas. Mas as façanhas parecem estar passando por uma calmaria hoje. Isso significa que eles se foram para sempre e todos podemos baixar a guarda? Ou isso é simplesmente a calma antes da tempestade? Vamos quebrar essa ameaça furtiva para que você possa não apenas conhecer seu inimigo, mas também estar adequadamente preparado caso os ataques de exploração retornem.
o que é um exploit?Um exploit é um programa ou pedaço de código que encontra e aproveita uma falha de segurança em um aplicativo ou sistema para que os cibercriminosos possam usá-lo para seu benefício, ou seja, explorá-lo.
os cibercriminosos frequentemente entregam exploits a computadores como parte de um kit, ou uma coleção de exploits, hospedados em sites ou ocultos em páginas de destino invisíveis. Quando você acessa um desses sites, o exploit kit imprime automaticamente o seu computador para ver em qual sistema operacional você está, em quais programas e você está executando e, o mais importante, se algum deles tem falhas de segurança, chamadas vulnerabilidades. Ele está basicamente olhando para o seu computador em busca de pontos fracos para explorar—não muito diferente dos troianos fizeram com calcanhar de Aquiles.
depois de descobrir vulnerabilidades, o exploit kit usa seu código pré-construído para forçar essencialmente as lacunas abertas e entregar malware, ignorando muitos programas de segurança.
então, as explorações são uma forma de malware? Tecnicamente, não. Exploits não são malware em si, mas sim métodos para entregar o malware. Um kit de exploração não infecta seu computador. Mas abre a porta para deixar o malware entrar.
como as explorações atacam?
as pessoas na maioria das vezes se deparam com kits de exploração de sites de alto tráfego com armadilhas. Os cibercriminosos geralmente escolhem sites populares e respeitáveis para obter o maior retorno de seu investimento. Isso significa que os sites de notícias que você lê, o site que você usa para navegar no mercado imobiliário ou a loja online onde você compra seus livros são todos candidatos possíveis. Sites como yahoo.com, nytimes.com, e msn.com foram comprometidos no passado.
então você está navegando na web, parando por um site que você ama, e o site comprometido redireciona você em segundo plano, sem abrir nenhuma nova janela do navegador ou alertá-lo de qualquer outra maneira para que você possa ser verificado quanto à adequação à infecção. Com base nisso, você é selecionado para exploração ou descartado.
como seu site favorito está comprometido? De duas maneiras: 1. Um pedaço de código malicioso está escondido à vista no site (por meio de bons hackers antiquados) 2. Um anúncio exibido no site foi infectado. Esses anúncios maliciosos, conhecidos como malvertising, são especialmente perigosos, pois os usuários nem precisam clicar no anúncio para serem expostos à ameaça. Ambos os métodos, sites hackeados ou malvertising, redirecionam você imediatamente (aponte seu navegador) para uma página de destino invisível que hospeda o kit de exploração. Uma vez lá, se você tiver vulnerabilidades em seu computador, é game over.
o kit de exploração identifica vulnerabilidades e inicia as explorações apropriadas para eliminar cargas úteis maliciosas. Essas cargas úteis (o malware) podem então executar e infectar seu computador com todos os tipos de juju ruim. Ransomware é uma carga útil favorita particular de Kits de exploração nos dias de hoje.
qual software é vulnerável?
em teoria, dado tempo suficiente, cada pedaço de software é potencialmente vulnerável. Equipes criminosas especializadas gastam muito tempo separando programas para que possam encontrar vulnerabilidades. No entanto, eles normalmente se concentram nos aplicativos com a base de usuários mais alta, pois apresentam os alvos mais ricos. Tal como acontece com todas as formas de cibercrime, é um jogo de números. Os principais destinos de aplicativos incluem Internet Explorer, Flash, Java, Adobe Reader e Microsoft Office.
como as pessoas de segurança combatem
as empresas de Software entendem que os programas que desenvolvem podem conter vulnerabilidades. À medida que atualizações incrementais são feitas nos programas para melhorar a funcionalidade, a aparência e a experiência, também são feitas correções de segurança para fechar vulnerabilidades. Essas correções são chamadas de patches e geralmente são liberadas em uma programação regular. Por exemplo, a Microsoft lança um cluster de patches para seus programas na segunda terça-feira de cada mês, conhecido como Patch Tuesday.As empresas também podem lançar patches para seus programas ad-hoc quando uma vulnerabilidade crítica é descoberta. Esses patches essencialmente costuram o buraco para que os kits de exploração não possam entrar e deixar seus pacotes maliciosos.
o problema com patches é que eles geralmente não são liberados imediatamente após a descoberta de uma vulnerabilidade, então os criminosos têm tempo para agir e explorar. O outro problema é que eles dependem de usuários baixando essas atualizações “irritantes” assim que saem. A maioria dos kits de exploração tem como alvo vulnerabilidades que já foram corrigidas por um longo tempo porque sabem que a maioria das pessoas não atualiza regularmente.
para vulnerabilidades de software que ainda não foram corrigidas pela empresa que as fabrica, existem tecnologias e programas desenvolvidos por empresas de segurança cibernética que protegem programas e sistemas conhecidos como favoritos para exploração. Essas tecnologias atuam essencialmente como barreiras contra programas vulneráveis e impedem explorações em vários estágios de ataque, dessa forma, elas nunca têm a chance de deixar sua carga maliciosa.
os tipos de exploits
podem ser agrupados em duas categorias: conhecidos e desconhecidos, também chamados de exploits de dia zero.Exploits conhecidos são exploits que os pesquisadores de segurança já descobriram e documentaram. Esses exploits aproveitam as vulnerabilidades conhecidas em programas e sistemas de software (que talvez os usuários não atualizem há muito tempo). Profissionais de segurança e desenvolvedores de software já criaram patches para essas vulnerabilidades, mas pode ser difícil acompanhar todos os patches necessários para cada Software—por isso, esses exploits conhecidos ainda são tão bem-sucedidos.
exploits desconhecidos, ou zero-days, são usados em vulnerabilidades que ainda não foram relatadas ao público em geral. Isso significa que os cibercriminosos detectaram a falha antes que os desenvolvedores a notassem ou criaram uma exploração antes que os desenvolvedores tenham a chance de corrigir a falha. Em alguns casos, os desenvolvedores podem nem encontrar a vulnerabilidade em seu programa que levou a uma exploração por meses, senão anos! Os dias Zero são particularmente perigosos porque, mesmo que os usuários tenham seu software totalmente atualizado, eles ainda podem ser explorados e sua segurança pode ser violada.
maiores exploradores infratores
os três kits de exploração mais ativos na natureza agora são chamados de RIG, Neutrino e Magnitude. O RIG continua sendo o kit mais popular e está sendo usado em campanhas de malvertising e comprometimento de sites para infectar as máquinas das pessoas com ransomware. Neutrino é um kit feito na Rússia que tem sido usado em campanhas de malvertising contra os principais editores, e ataca as vulnerabilidades do Flash e do Internet Explorer (também para entregar ransomware). A Magnitude está usando malvertising para lançar seus ataques também, embora esteja estritamente focada em países Da Ásia.
duas campanhas de exploração menos conhecidas, Pseudo-Darkleech e EITest, são Atualmente os veículos de redirecionamento mais populares usando sites comprometidos. Esses infratores injetam código em sites como WordPress, Joomla ou Drupal e redirecionam automaticamente os visitantes para uma página de destino do kit de exploração.
como acontece com todas as formas de ameaças cibernéticas, exploits, seus métodos de entrega e o malware que eles deixam cair estão em constante evolução. É uma boa ideia ficar por dentro dos formulários mais comuns para garantir que os programas que eles visam sejam corrigidos em seu computador.
paisagem atual do kit de exploração
agora, a cena de exploração é bastante sombria, O que é uma coisa boa para aqueles na indústria de segurança e, essencialmente, para qualquer pessoa que use um computador. Isso ocorre porque, em junho de 2016, o Angler, um sofisticado kit de exploração responsável por quase 60% de todos os ataques de exploração no ano anterior, foi encerrado. Não houve nenhum outro kit de exploração que tenha construído o mesmo nível de participação de mercado desde então.
atores de ameaças têm sido um pouco tímidos em correr de volta para explorar kits, por medo de outra queda de Pescador. Depois que Angler foi desmantelado, os cibercriminosos voltaram seu foco para algumas formas mais tradicionais de ataque, incluindo phishing e E-mails com anexos maliciosos (malspam). Mas fique tranquilo, eles voltarão assim que um novo kit de exploração mais confiável se mostrar eficaz no mercado negro.
como proteger contra exploits
o instinto pode ser tomar pouca ou nenhuma ação para proteger contra exploits, já que não há muita atividade cibercriminosa relacionada a exploits no momento. Mas isso seria como escolher não trancar suas portas, já que não houve um assalto em seu bairro em um ano. Algumas práticas de segurança simples podem ajudá-lo a ficar à frente do jogo.Primeiro, certifique-se de manter seus programas de software, plugins e sistemas operacionais atualizados o tempo todo. Isso é feito simplesmente seguindo instruções quando lembrado pelos programas que as atualizações estão prontas. Você também pode verificar as configurações de tempos em tempos para ver se há notificações de patch que podem ter caído do seu radar.
em segundo lugar, Invista em segurança cibernética que proteja contra explorações conhecidas e desconhecidas. Várias empresas de segurança cibernética de última geração, incluindo a Malwarebytes, começaram a integrar a tecnologia anti-exploit em seus produtos.
para que você possa relaxar e orar para que tenhamos visto o último dos exploits. Ou você pode manter seus escudos atualizados constantemente atualizando seus programas e sistemas operacionais e usando programas de segurança anti-exploit de alto nível. O dinheiro inteligente diz exploits estará de volta. E quando eles voltarem, você não terá um calcanhar fraco para expor a eles.