Wendy Zamora 
Exploits: de är inte din mammas cyberhot. Vid ett tillfälle i det inte så avlägsna förflutna var exploater ansvariga för att leverera 80 procent av skadlig programvara till människors system. Men exploater verkar uppleva en lugn idag. Betyder det att de är borta för gott och vi kan alla svika vår vakt? Eller är det bara lugnet före stormen? Låt oss bryta ner detta smygande hot så att du inte bara kan känna din fiende, men också vara lämpligt förberedda bör utnyttja attacker avkastning.
Vad är en exploit?
en exploit är ett program eller kodstycke som hittar och utnyttjar en säkerhetsfel i en applikation eller ett system så att cyberbrottslingar kan använda den till deras fördel, dvs utnyttja den.
cyberbrottslingar levererar ofta exploits till datorer som en del av ett kit, eller en samling exploits, som finns på webbplatser eller dolda på osynliga målsidor. När du landar på en av dessa webbplatser fingeravtryck exploit kit automatiskt din dator för att se vilket operativsystem du är på, vilka program och du har kört, och viktigast av allt, om någon av dessa har säkerhetsbrister, kallade sårbarheter. Det tittar i grunden på din dator för svagheter att utnyttja—inte till skillnad från trojanerna gjorde med akilleshäl.
efter att ha upptäckt sårbarheter använder exploit kit sin förbyggda kod för att väsentligen tvinga luckorna öppna och leverera skadlig kod, kringgå många säkerhetsprogram.
så utnyttjar en form av skadlig kod? Tekniskt sett, nej. Exploits är inte malware själva, utan snarare metoder för att leverera skadlig kod. Ett exploit kit infekterar inte din dator. Men det öppnar dörren för att släppa in skadlig programvara.
hur utnyttjar attack?
människor stöter oftast på exploateringssatser från booby-fångade högtrafikerade webbplatser. Cyberbrottslingar väljer vanligtvis populära, välrenommerade webbplatser för att skörda den högsta avkastningen på sin investering. Det betyder att de nyhetssidor du läser, webbplatsen du använder för att bläddra i fastigheter eller onlinebutiken där du köper dina böcker är alla möjliga kandidater. Webbplatser som yahoo.com, nytimes.com, och msn.com har äventyrats tidigare.
så du surfar på webben, stoppar av en webbplats du älskar, och den komprometterade webbplatsen omdirigerar dig i bakgrunden, utan att öppna några nya webbläsarfönster eller varna dig på något annat sätt så att du kan skannas för lämplighet för infektion. Baserat på detta väljs du antingen för exploatering eller kasseras.
hur är din favoritwebbplats komprometterad? På ett av två sätt: 1. En bit skadlig kod är dold i vanlig syn på webbplatsen (via bra gammaldags hacking) 2. En annons som visas på webbplatsen har smittats. Dessa skadliga annonser, så kallade malvertising, är särskilt farliga, eftersom användarna inte ens behöver klicka på annonsen för att utsättas för hotet. Båda metoderna, hackade webbplatser eller malvertising, omdirigerar dig omedelbart (peka din webbläsare) till en osynlig målsida som är värd för exploit kit. En gång där, om du har sårbarheter på din dator, är det game over.
exploit kit identifierar sårbarheter och startar lämpliga exploater för att släppa skadliga nyttolaster. Dessa nyttolaster (malware) kan sedan köra och infektera din dator med alla typer av dåliga juju. Ransomware är en speciell favorit nyttolast av exploit kit dessa dagar.
vilken programvara är sårbar?
i teorin, med tanke på tillräckligt med tid, är varje programvara potentiellt sårbar. Specialiserade kriminella team spenderar mycket tid på att dra isär program så att de kan hitta sårbarheter. Men de fokuserar vanligtvis på applikationerna med den högsta användarbasen, eftersom de presenterar de rikaste målen. Som med alla former av cyberbrott är det ett nummerspel. De bästa applikationsmålen inkluderar Internet Explorer, Flash, Java, Adobe Reader och Microsoft Office.
hur säkerhet folk bekämpa det
programvaruföretag förstår att de program de utvecklar kan innehålla sårbarheter. Som inkrementella uppdateringar görs till programmen för att förbättra funktionalitet, utseende, och erfarenhet, så är också säkerhetsfixar för att stänga sårbarheter. Dessa korrigeringar kallas patchar, och de släpps ofta på ett regelbundet schema. Till exempel släpper Microsoft ett kluster av patchar för sina program den andra tisdagen i varje månad, känd som Patch Tuesday.
företag kan också släppa patchar för sina program ad hoc när en kritisk sårbarhet upptäcks. Dessa patchar sy i huvudsak upp hålet så utnyttja kit kan inte hitta sin väg in och släppa ut sina skadliga paket.
problemet med patchar är att de ofta inte släpps omedelbart efter att en sårbarhet upptäckts, så brottslingar har tid att agera och utnyttja. Det andra problemet är att de litar på att användare laddar ner de ”irriterande” uppdateringarna så snart de kommer ut. De flesta exploateringssatser riktar sig mot sårbarheter som redan har lappats länge eftersom de vet att de flesta inte uppdaterar regelbundet.
för mjukvarusårbarheter som ännu inte har lappats av företaget som gör dem finns det tekniker och program som utvecklats av cybersäkerhetsföretag som skyddar program och system som är kända för att vara favoriter för exploatering. Dessa tekniker fungerar i huvudsak som hinder mot utsatta program och stoppar utnyttjanden i flera attackstadier, på så sätt har de aldrig en chans att släppa sin skadliga nyttolast.
typer av exploits
Exploits kan grupperas i två kategorier: kända och okända, även kallade zero-day exploits.
kända exploater är exploater som säkerhetsforskare redan har upptäckt och dokumenterat. Dessa exploater utnyttjar de kända sårbarheterna i program och system (som kanske inte har uppdaterats på länge). Säkerhetspersonal och mjukvaruutvecklare har redan skapat patchar för dessa sårbarheter, men det kan vara svårt att hålla jämna steg med alla nödvändiga patchar för varje mjukvara—varför dessa kända exploater fortfarande är så framgångsrika.
okända exploater, eller nolldagar, används på sårbarheter som ännu inte har rapporterats till allmänheten. Det betyder att cyberbrottslingar antingen har upptäckt felet innan utvecklarna märkte det, eller de har skapat ett utnyttjande innan utvecklare får chansen att åtgärda felet. I vissa fall kan utvecklare inte ens hitta sårbarheten i sitt program som ledde till ett utnyttjande i månader, om inte år! Nolldagar är särskilt farliga eftersom även om användarna har sin programvara helt uppdaterad kan de fortfarande utnyttjas och deras säkerhet kan brytas.
största exploit brottslingar
de tre exploit kit mest aktiva i naturen just nu heter RIG, Neutrino och Magnitude. RIG är fortfarande det mest populära kit, och det används i både malvertising och webbplats kompromissa kampanjer för att infektera människors maskiner med ransomware. Neutrino är ett rysktillverkat kit som har använts i malvertiseringskampanjer mot topputgivare, och det byter på Flash-och Internet Explorer-sårbarheter (även för att leverera ransomware). Magnitude använder malvertising för att starta sina attacker också, även om det är strikt fokuserat på länder i Asien.
två mindre kända exploitkampanjer, Pseudo-Darkleech och EITest, är för närvarande de mest populära omdirigeringsfordonen som använder komprometterade webbplatser. Dessa brottslingar injicerar kod på webbplatser som WordPress, Joomla eller Drupal och omdirigerar automatiskt besökare till en målsida för exploit kit.
som med alla former av cyberhot, exploits, deras metoder för leverans, och malware de släpper ständigt utvecklas. Det är bra att hålla koll på de vanligaste formerna för att se till att programmen de riktar sig till är patchade på din dator.
nuvarande exploit kit landscape
just nu är exploit-scenen ganska dyster, vilket är bra för dem i säkerhetsbranschen och i huvudsak för alla som använder en dator. Detta beror på att i juni 2016 stängdes Angler, ett sofistikerat exploit kit som var ansvarigt för nästan 60 procent av alla exploateringsattacker året innan. Det har inte funnits något annat exploit kit som har byggt upp samma marknadsandel sedan dess.
Hot aktörer har varit lite pistol blyg om att köra tillbaka för att utnyttja kit, av rädsla för en annan fiskare takedown. När Angler demonterades vände cyberbrottslingar sitt fokus tillbaka till några mer traditionella former av attack, inklusive phishing och e-post med skadliga bilagor (malspam). Men var säker på att de kommer tillbaka när ett nytt, mer tillförlitligt exploit kit visar sig vara effektivt på den svarta marknaden.
hur man skyddar mot exploits
instinkten kan vara att vidta liten eller ingen åtgärd för att skydda mot exploits, eftersom det inte finns mycket exploateringsrelaterad cyberkriminell aktivitet just nu. Men det skulle vara som att välja att inte låsa dina dörrar eftersom det inte har varit ett rån i ditt grannskap på ett år. Ett par enkla säkerhetsmetoder kan hjälpa dig att hålla dig före spelet.
kontrollera först att du håller dina program, plugins och operativsystem uppdaterade hela tiden. Detta görs genom att helt enkelt följa instruktionerna när de påminns av de program som uppdateringar är redo. Du kan också kontrollera inställningar då och då för att se om det finns patchmeddelanden som kan ha fallit av din radar.
för det andra, investera i cybersäkerhet som skyddar mot både kända och okända exploater. Flera nästa generations cybersäkerhetsföretag, inklusive Malwarebytes, har börjat integrera anti-exploit-teknik i sina produkter.
så du kan antingen luta dig tillbaka och be att vi har sett det sista utnyttjandet. Eller, du kan hålla dina sköldar upp genom att konsekvent uppdatera dina program och operativsystem, och använda förstklassiga anti-utnyttja säkerhetsprogram. De smarta pengarna säger att exploits kommer tillbaka. Och när de återvänder har du inte en svag häl att exponera för dem.