Приветствую. Кто такие хакеры и чем занимаются уже обсуждалось. Повторятся не будем, к тому же это открыто освещается в сети и в кинематографе. Способы взлома и виды атак хакеров многочисленны, поэтому, что бы не создавать из статьи «винегрет», выделим один, который пользуется популярностью у черных хакеров и в 2020 году. Не стану пытаться «сохранить интригу», описывать будем: «эксплоиты».
Для вводного ознакомления уясним, что эксплоиты, это часть компьютерного кода(или скомпилированная программа и не только . ), которая пользуется «уязвимостью жертвы» и далее цели разветвляются на: получение доступа;»подвешивания» сервера; нарушение работоспособности. Если читатель, сталкивался со словами «дос-атака», то знайте, что в 85%, хакеры использовали «эксплоиты». Собственно название, если перевести с английского, будет означать: «использование чего-либо». Или эксплуатирование, отсюда и корни слова «эксплоит».
Этичный хакинг — что такое эксплойт?
Эти программы(будем зазывать эксплоиты программами, хоть это и не верно ) разделяются по предназначениям: для виндовс, линукс и других операционок; для других программ и тд. И тп.
Думаю читателям хочется поскорее понять, как же выглядит эта волшебная программа, способная обрушить, подвешивать и предоставлять доступ «хозяину» на «чужой» сервер. Давайте сперва разберемся, почему договоренность называть эксплоит программой, не верно.
Дело в том, что эксплоит не только скомпилированный файл, но и текстовый (даже блокнот с описанием того как взломать «систему» уже эксплоит). Понимаю легкое недопонимание читающего, но это так: если открыть блокнот и там в виде текста написать как «обрушить» какой-либо сервер, это так же будет эксплоитом.
Но что бы хоть как то, разнообразить статью, давайте хоть иногда, писать слово: программа. Тем более такие эксплоиты попадаются и в виде программы на «любом» языке. Хакеры, это бывшие программисты которые в прошлом искали ошибки в программах , поэтому такие люди без труда владеют языками C/C++, Perl и тд. Задача таких программ сводится к переполнению буфера, записи sql, «липовых» запросов на сайт и тд.
Случается использовать последовательность программ, на случай если задача предстоит «сложная».
Найти и скачать готовые эксплоиты в открытом интернете не законно. И конечно, автор не рекомендует искать такие программы в «даркнете».
Итак, теперь когда в голове отложилось понимание об эксплоитах, переходим к «виртуальной практике». Предположим ситуацию: в городе Воронеж, живёт мужчина, который регулярно летает в Москву и там «нашампуривает» замужнюю даму. Обманутый супруг, не в силах поймать любовника, решается на месть, но удаленно. Для этого мужу необходим доступ к компьютеру «негодяя».
Не будем вдаваться в детали, но констатируем факт: стало известно каким браузером пользуется «коварный соперник». К счастью для продвинутого мужа, в этом браузере присутствует «уязвимость». Остается только заставить любовника «запустить код», который без ведома пользователя, подгрузит вредоносные программы «на стороне». Тогда муж пишет письмо, от имени жены и отправляет любовнику по почте. Далее результат понятен(открывает письмо, а код уже «в деле»).
Термины Инфобеза: Уязвимость, 0-Day, Эксплойт, Бэкдор, Bug Bounty
Знаменитые программы это: «Angler»(сложный набор (работает в ОЗУ));»Neutrino» (русское детище на джаве, стоимость 34 тысячи долларов);»Blackhole Kit»(бьёт по браузерам хром,»ослик», «фаерфокс»).
Комментируйте(«негативнопозитивно»). Подписывайтесь. Ставьте лайк. До свидания.
Источник: dzen.ru
Эксплойты и наборы эксплойтов
Эксплойты используют уязвимости в программном обеспечении. Уязвимость похожа на дыру в программном обеспечении, которую вредоносные программы могут использовать, чтобы попасть на ваше устройство. Вредоносная программа использует эти уязвимости, чтобы обойти меры безопасности компьютера, чтобы заразить устройство.
Принцип работы эксплойтов и наборов эксплойтов
Эксплойты часто являются первой частью более крупной атаки. Хакеры проверяют устаревшие системы, содержащие критические уязвимости, которые затем используются путем развертывания целевых вредоносных программ. Эксплойты часто включают в себя код оболочки, который представляет собой небольшую полезную нагрузку вредоносных программ, используемую для загрузки дополнительных вредоносных программ из сетей, контролируемых злоумышленником. Shellcode позволяет хакерам заражать устройства и проникать в организации.
Наборы эксплойтов — это более комплексные средства, содержащие коллекцию эксплойтов. Эти комплекты проверяют устройства на наличие различных типов уязвимостей программного обеспечения и при обнаружении развертывают дополнительные вредоносные программы для дальнейшего заражения устройства. В комплектах можно использовать эксплойты, предназначенные для различных программ, включая Adobe Flash Player, Adobe Reader, Интернет-Обозреватель, Oracle Java и Sun Java.
Наиболее распространенный метод, используемый злоумышленниками для распространения эксплойтов и наборов эксплойтов, — через веб-страницы, но эксплойты также могут поступать по электронной почте. Некоторые веб-сайты неосознанно и невольно размещают вредоносный код и эксплойты в своей рекламе.
В приведенной ниже инфографике показано, как эксплойт-пакет может попытаться использовать устройство после посещения скомпрометированного веб-сайта.
Рис. 1. Пример использования комплектов
Несколько известных угроз, включая Wannacry, используют уязвимость SMB (CVE-2017-0144) для запуска вредоносных программ.
Примеры наборов эксплойтов:
Как мы именуем эксплойты
Что такое эксплойты и почему их все так боятся?
Marvin the Robot
Разработчики защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьезных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в целом. Попробуем разобраться с этим вопросом.
Что такое эксплойт?
Эксплойты — это подвид вредоносных программ. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.
Например, у вас есть браузер, и есть уязвимость в нем, которая позволяет исполнить «произвольный код», то есть установить и запустить некую вредоносную программу на вашей системе без вашего ведома или спровоцировать какое-либо иное не ожидаемое вами поведение системы. Чаще всего первым шагом злоумышленников становится повышение привилегий, позволяющее делать в атакуемой системе все, что в голову взбредет.
Браузеры наряду с Flash, Java и Microsoft Office являются одними из самых подверженных атакам категорий программного обеспечения. Из-за их повсеместности их активно исследуют как эксперты по безопасности, так и хакеры, а разработчики браузеров вынуждены регулярно выпускать патчи для исправления уязвимостей. Лучше всего эти патчи устанавливать сразу, но, к сожалению, так происходит далеко не всегда — ведь при этом придется закрывать все вкладки.
Особую проблему, конечно, представляют собой эксплойты неизвестных уязвимостей, обнаруженных и использованных преступниками, — так называемые уязвимости нулевого дня. Может пройти много времени, прежде чем производители узнают о наличии проблемы и устранят ее.
Как происходит заражение
Следующая часть вполне техническая, так что не стесняйтесь проматывать, если только вам не в самом деле интересно, как это работает. Имейте в виду при этом, что киберпреступники часто предпочитают эксплойты прочим методам заражения, так как, в отличие от социальной инженерии, в которой все делается наудачу, эксплуатация уязвимостей неизменно дает желаемый результат.
Есть два способа «скормить» пользователям эксплойты. Во-первых, при посещении ими сайта, содержащего вредоносный код эксплойта. Во-вторых, при открытии пользователем безобидного на вид файла со скрытым вредоносным кодом. Как легко догадаться, во втором случае для доставки эксплойта, как правило, пользуются спамом или фишинговым письмом.
Как поясняется в статье Securelist, эксплойты предназначены для атаки конкретных версий программного обеспечения, содержащего уязвимости. Таким образом, если у пользователя нужная версия программного обеспечения при открытии вредоносного объекта или если веб-сайт использует это программное обеспечение для работы, то запускается эксплойт.
После того как он получает доступ посредством уязвимости, эксплойт загружает дополнительные вредоносные программы с сервера преступников, осуществляющие подрывную деятельность, такую как кража личных данных, использование компьютера в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак и так далее.
Эксплойты представляют угрозу даже для осторожных и добросовестных пользователей, которые регулярно обновляют свое программное обеспечение. Причина кроется во временном зазоре между открытием уязвимости и выходом патча для ее исправления.
В этом интервале эксплойты могут свободно функционировать и угрожать безопасности почти всех интернет-пользователей при отсутствии установленных в системе автоматических средств предотвращения атак эксплойтов. Опять же, не будем забывать про синдром открытых вкладок — своевременное обновление программ зачастую требует от пользователя некоторых жертв, на которые не все готовы пойти сразу в момент выхода заплатки.
Эксплойты ходят стаями
Эксплойты часто упакованы вместе — так, чтобы проверить систему-мишень на широкий спектр уязвимостей. Как только выявляются одна или несколько, в дело вступают соответствующие эксплойты. Наборы эксплойтов также широко используют специальные методы запутывания кода (специалисты называют это умным словом «обфускация»), чтобы избежать обнаружения и замести интернет-адреса с целью помешать исследователям их вычислить.
Перечислим несколько наиболее известных наборов эксплойтов, или, как еще их называют, эксплойт-китов:
Angler — один из самых сложных наборов на черном рынке. Этот набор эксплойтов своим появлением изменил правила игры, после того как начал обнаруживать антивирусы и виртуальные машины (часто используемые экспертами по безопасности как приманки) и задействовать шифрованные файлы для затруднения исследования. Это один из тех наборов эксплойтов, которые быстрее всего включают в свой арсенал недавно открытые уязвимости нулевого дня, а его вредоносные программы работают в памяти, без записи на жестких дисках жертв. С техническим описанием пакета можно ознакомиться здесь.
Nuclear Pack — поражает жертв эксплойтами Java и Adobe PDF, а также подсаживает Caphaw — печально известный банковский троян. Подробнее читайте здесь.
Neutrino — набор от русскоязычных разработчиков, содержащий несколько эксплойтов Java. Neutrino прославился в прошлом году в связи с тем, что владелец выставил его на продажу по очень скромной цене — $34 тыс. Скорее всего, это было сделано после ареста некоего Paunch, создателя следующего набора, о котором мы хотим поговорить.
Blackhole Kit — наиболее распространенная веб-угроза в 2012 году, нацеленная на уязвимости в старых версиях браузеров Firefox, Chrome, Internet Explorer и Safari, а также многих популярных плагинов, таких как Adobe Flash, Adobe Acrobat и Java. После того как жертву заманили или перенаправили на страницу подсадки, запутанный JavaScript определяет содержимое машины жертвы и загружает те эксплойты, для которых данный компьютер уязвим.
Blackhole, в отличие от большинства других эксплойт-китов, даже удостоился отдельной статьи в «Википедии», хотя после ареста вышеупомянутого Paunch сам набор практически вышел в тираж.
Вывод
Как сказано выше, эксплойты — подвид вредоносных программ, но они обнаруживаются не всеми защитными программами. Для успешного обнаружения необходимо, чтобы защитное решение использовало поведенческий анализ — это единственный надежный метод борьбы с эксплойтами. Вредоносные программы могут быть многочисленными и разнообразными, но большинство из них имеют похожие черты поведения.
Что такое эксплойты и почему их все так боятся?
Tweet
Подобный метод используется в Kaspersky Internet Security и других продуктах «Лаборатории Касперского» — соответствующая часть наших защитных решений называется «Автоматическая защита от эксплойтов» (или AEP — Automatic Exploit Prevention). Характерное поведение эксплойтов помогает предотвратить заражение даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.
Более подробную информацию о технологии Automatic Exploit Prevention можно найти здесь.
Источник: www.kaspersky.ru