Эксплойты, зеродеи, их опасность и её профилактика.
26 мая, 2012
Интернет, конечно, штука интересная и мега-полезная. Но обратная сторона его открытости и неконтролируемости – зоопарк всякой гадости, нечисти и подлости, поджидающей пользователей не только на сомнительных «порно-варезных» ресурсах, но и вполне себе легитимных «бело-пушистых» сайтах. Действительно, уже много лет как Интернет прочно и безальтернативно оккупировал место в списке главных источников кибер-заразы: по нашим данным в 2012г. на 33% пользователей хотя бы раз совершалась атака через веб.
Если копнуть глубже в состав этой сетевой «гадости, нечисти и подлости», то всплывает три основных группы угроз. По данным нашей облачной системы KSN (видео, подробности) угрозы эти распределяются следующим образом:
В этом «пирожке» больше всего привлекают с первого взгляда малозаметные 10% атак через т.н. эксплойты (на самом деле их доля будет побольше, т.к. зачастую многие трояны тоже питают слабость к использованию этих угроз). Довольно специфическое явление для непрофессионалов и реальная головная боль для секюрити-специалистов. Кто в курсе – можно сразу сюда. Остальным – ниже микро-ликбез.
КАК ПОЛУЧИТЬ РОБУКСЫ БЕСПЛАТНО! Реальные способы☺Роблокс)
Софт делается людьми, а людям свойственно забывать и ошибаться, плюс до сих пор не изобретено абсолютной, идеальной методики программирования. В итоге практически любая программа содержит уязвимости – ошибки в коде, из-за которых атакующий может получить управление над системой, нарушить её работу и т.д. Код, который атакует уязвимости в программах и называется эксплойтом.
Какие программы чаще всего атакуют эксплойты? Наша статистика за 2011г.:
Уязвимости могут иметь, а могут и не иметь эксплойты – это зависит от распространённости и функциональности программы и, соответственно, уровня внимания к ней со стороны кибер-негодяев. Типичный пример – недавняя эпидемия Мак-трояна Flashback. Уязвимость в Java, которую атаковал этот зловред нашли аж в начале года, но эксплойт для Мака появился только спустя месяц. Важно: если уязвимостей в конкретной программе не обнаружено – это не значит, что их нет. Это лишь значит, что а) ею пользуется слишком малое количество людей, чтобы случайно «нарваться» на ошибку или б) она нафиг никому не нужна, чтобы в ней специально копались в поиске таких ошибок.
Самая неприятная разновидность эксплойтов – т.н. зеродеи (эксплойт «нулевого дня», 0-day exploit). Обычно сначала находят уязвимость, потом разработчик срочно латает её специальной «заплаткой» («патч», patch), а уже потом подтягивается кибер-андерграунд, делает эксплойт и пытается атаковать пользователей, которые не успели установить «заплатку». Точнее это сценарий, по которому мы бы хотели, чтобы развивались события. На самом деле иногда случается, что эксплойт появляется вместе с информацией об уязвимости или разработчик (например, Apple в случае с Flashback) тянет с выпуском «заплатки» и, в итоге, эксплойт опережает её появление. Эксплойт, для которого нет «заплатки» и называется зеродеем.
ANDRAX: ЭТО НЕ СМАРТФОН, ЭТО }{АKЕPФ0Н | UnderMind
А вот интересные данные по географии источников веб-атак, большинство из которых как раз и используют эксплойты:
Впрочем, вы догадываетесь, что расположение атакующего сайта отнюдь не свидетельствует о национальности
В случае Windows, чтобы убедиться, что у вас установлена последняя версия и что она защищена, вам нужно открыть «Пуск», войти в «Настройки» и перейти к Центр обновления Windows . Там появятся возможные файлы, которые у вас есть для установки. Это позволит вам внести все необходимые исправления.
То же самое должно относиться к браузеру, сетевому контроллеру или любой программе, которую вы установили. Уязвимости могут появиться в любой момент и их нужно установить как можно скорее, чтобы не появились проблемы.
Используйте защитное ПО
Конечно, хороший антивирус также важно поддерживать безопасность в любое время. Помимо эксплойтов, может появиться множество угроз. У вас всегда должны быть инструменты, защищающие ваш компьютер и способные анализировать систему для обнаружения и устранения вредоносных программ.
Защитник Windows сам по себе является хорошим вариантом, но вы найдете широкий спектр опций, как бесплатных, так и платных. Avast или Bitdefender — некоторые альтернативы, которые вы можете рассмотреть. Однако какой бы из них вы ни использовали на своем устройстве, вы должны убедиться, что он работает хорошо и гарантированно.
Создавать резервные копии
Одной из целей хакеров с помощью эксплойтов является проникновение программ-вымогателей. Это позволит злоумышленнику зашифровать файлы компьютера и потребовать взамен финансовый выкуп. Это, несомненно, одна из самых серьезных угроз, и мы видели такие случаи, как WannaCry или NotPetya, которые действовали таким образом.
As мера защиты , необходимо создавать резервные копии. Это позволит всегда защищать файлы и документы, и вы предотвратите потерю данных злоумышленником. У вас всегда будет резервная копия на случай, если вы подвергнетесь атаке такого типа.
Избегайте ошибок
Но если есть что-то фундаментальное, это здравый смысл . Вы должны избегать ошибок, таких как установка ненадежных приложений, загрузка файлов из небезопасных источников или открытие ссылок, которые приходят к вам по почте, и вы на самом деле не знаете, кто стоит за этим сообщением и может ли это быть ловушкой.
Поэтому очень важно избегать ошибок при работе в Интернете или при использовании любого устройства. Это поможет вам избежать атак, связанных с эксплойтами, а также любой другой угрозы, которая ставит под угрозу правильное функционирование устройств и систем.
Короче говоря, как вы видели, эксплойты представляют собой очень серьезные угрозы безопасности. Крайне важно, чтобы ваши компьютеры всегда были защищены, и обновления безопасности играют здесь очень важную роль. Кроме того, существуют разные варианты, и они могут поставить под угрозу вашу безопасность и конфиденциальность.
Источник: itigic.com
Что такое набор эксплойтов (с примерами) и как их используют киберпреступники?
Наборы эксплойтов (или пакеты эксплойтов) — это автоматизированные программы, используемые злоумышленниками для использования известных уязвимостей в системах или приложениях. Они могут быть используется для тайного запуска атак в то время как жертвы просматривают Интернет с целью загрузки и запуска некоторых типов вредоносных программ.
Поскольку наборы эксплойтов работают в фоновом режиме, может быть трудно узнать, когда вы атакованы. Однако существуют меры, которые могут помочь вам защитить от этих атак, например, избегать неизвестных ссылок и поддерживать программное обеспечение в актуальном состоянии..
В этой статье мы расскажем больше о том, что такое наборы эксплойтов, как они работают и как их используют киберпреступники. Мы также предоставим советы по предотвращению атак и получению вредоносного ПО..
- 1 Что такое набор эксплойтов
- 2 Как реализован набор эксплойтов
- 2.1 1. Установить контакт
- 2.2 2. Перенаправление
- 2.3 3. Эксплойт
- 2.4 4. Заражение
- 3.1 RIG
- 3.2 GrandSoft
- 3.3 величина
- 3.4 ядерной
- 3.5 Почему наборы эксплойтов успешны??
Что такое набор эксплойтов
Набор для эксплойтов — это пакет, используемый злоумышленниками для доставки вредоносных программ. Ниже мы подробно рассмотрим, как выполняется атака, но суть в том, что жертва заходит на взломанный веб-сайт, и, если у них есть определенные уязвимости в программном обеспечении на их компьютере, эксплойт может быть выполнен. В результате вредоносное ПО загружается и запускается на устройстве жертвы..
Уязвимость программного обеспечения — это ошибка или ошибка в коде, которая позволяет злоумышленнику каким-либо образом проникнуть в приложение, например, в случае эксплойтов, выполнив несанкционированную задачу. Известные уязвимости названы в списке литературы об общих уязвимостях и воздействиях (CVE). Например, CVE-2023-8174 — это уязвимость Internet Explorer, которая широко используется.
Распространенными объектами для эксплойтов являются популярные программы со многими известными уязвимостями, такими как Adobe Flash, Oracle Java и Internet Explorer. Чем популярнее приложение, тем выше вероятность того, что злоумышленник привлечет подходящую жертву.
Это также, где комплекты эксплойтов особенно полезны для их пользователей.. Наборы эксплойтов предназначены для нескольких уязвимостей одновременно и включают в себя все, что нужно преступнику для осуществления атаки. Если один из подвигов не подходит, другой может повысить вероятность того, что киберпреступник выполнит успешную атаку..
Тот факт, что эти вещи поставляются как готовые комплекты, также делает их простыми в реализации и более привлекательными для преступников с небольшими техническими знаниями.
Какой лучший блокировщик всплывающих окон? Мы ставим 12 на тест
Как реализован набор эксплойтов
Есть несколько этапов, необходимых для успеха эксплойта:
- Установить контакт с хост-средой через целевую страницу.
- Перенаправить на альтернативную целевую страницу и обнаружить уязвимости в хосте, которые могут быть использованы.
- Осуществить эксплойт для распространения вредоносного ПО.
- Заражение среды хоста выполнением вредоносного ПО..
Набор эксплойтов содержит весь код, необходимый для выполнения каждого этапа. Если один из этапов неудачен, это означает, что атака на конкретное устройство завершена. Здесь мы рассмотрим эти этапы более подробно и рассмотрим, какие критерии должны быть выполнены на каждом.
1. Установить контакт
На первом этапе эксплойта используется целевая страница взломанного веб-сайта. Жертвы поощряются посещать этот сайт, например, по электронной почте, всплывающему окну или вредоносной рекламе (вредоносная реклама)..
Однажды жертва переходит по ссылке на сайт или вводит URL в свой браузер, первоначальный контакт был установлен.
На этом этапе могут быть некоторые пользователи, которые не соответствуют определенным критериям, например, пользователи не в том месте (часто это определяется на основе IP-адреса или языковых проверок установки). Эти пользователи отфильтрованы и для них атака окончена.
2. Перенаправление
Оставшиеся жертвы перенаправляются на альтернативную целевую страницу, которая больше не является настоящим веб-сайтом. Затем код, встроенный в эту целевую страницу, определяет, есть ли на устройстве жертвы какие-либо уязвимые браузерные приложения, соответствующие эксплойтам в наборе..
Если уязвимости не обнаружены (то есть все обновлено и все дыры исправлены), атака прекращается. Но если найдена уязвимость, тогда сайт отправит трафик на эксплойт.
3. Эксплойт
Причина, по которой требуется уязвимость, заключается в том, что для использования эксплойта необходимо запускать вредоносное ПО в среде хоста (устройства жертвы). Приложение, которое было признано уязвимым, используется для загрузки вредоносного ПО..
Способ выполнения expolit зависит от приложения. Например, если целью являются сами веб-браузеры, эксплойт будет представлен в виде кода, встроенного в веб-страницу. Другим примером является широко используемое приложение Microsoft Silverlight, для которого эксплойт представляет собой файл.
Термин «набор эксплойтов» означает, что в один пакет входит несколько эксплойтов. Он будет нацелен на множественные уязвимости, облегчая исполнение и повышая вероятность успеха для преступника..
4. Заражение
После успешной эксплуатации, вредоносная программа выполняется в среде жертвы. Что касается влияния вредоносного ПО, существует много разных сценариев. Наборы эксплойтов могут использоваться для распространения различных типов вредоносных программ, в том числе вымогателей и троянов.
Как и где получить стипендию в области кибербезопасности
Популярное использование наборов эксплойтов — запуск программного обеспечения для майнинга криптовалют. Это захватывает компьютерные ресурсы жертвы для использования в майнинге биткойнов и других криптовалют без разрешения пользователя..
Примеры комплектов эксплойтов
Из-за исправлений безопасности от разработчиков программного обеспечения каждый эксплойт будет иметь ограниченный срок службы. Однако разработчики комплектов предлагают собственные обновления, так что новые версии данного комплекта будут использовать новые уязвимости. Таким образом, некоторые комплекты были вокруг некоторое время.
Наборы эксплойтов Adobe Flash были чрезвычайно популярны в прошлом, и, как сообщается, отказ от программного обеспечения привел к резкому спаду в разработке наборов эксплойтов. Более поздние исследования видят сдвиг в использовании продуктов Microsoft. При этом комплект может быть нацелен на несколько приложений одновременно. Он также может быть использован для распространения более одного типа вредоносных программ.
Вот несколько примеров комплекта эксплойтов:
RIG
Среди самых популярных наборов эксплойтов в 2023 году RIG использует различные методы распределения и получаемые полезные данные. Он был использован для распространения монет, банковских троянов, вымогателей и многого другого.
На этом графике из отчета Trend Micro за 2023 г. показан уровень активности некоторых распространенных наборов эксплойтов в первой половине 2023 г..
GrandSoft
Несмотря на то, что это было признано более старым комплектом, оно появилось в 2023 году. Известно, что GrandSoft распространяет вымогателей (в частности, GrandCrab), троянов (в частности, AZORult и QuantLoader) и майнеров..
величина
Величина целевых показателей выбирает азиатские страны и обеспечивает определенную полезную нагрузку. Это было вокруг в течение долгого времени, но изменило свою форму. Раньше он включал эксплойты для Flash Player, но был адаптирован для единственной атаки на уязвимости Internet Explorer. Версия Magnitude EK ориентирована на Южную Корею (проверяя IP-адрес и язык, между прочим) и поставляет специальный вымогатель под названием Magniber.
ядерной
Хотя об этом давно ничего не было в новостях, комплект ядерных эксплойтов когда-то приносил большие деньги создателям. В отчете охранной фирмы Checkpoint говорится, что набор был разработан кем-то в России, и команда, стоявшая за ним, получала около 100 000 долларов в месяц из комплекта в то время..
Nuclear был скорее «эксплойтом как услуга», где преступники брали в аренду комплект. Они бы использовать панель управления, в которую они могли бы загружать вредоносные программы и отслеживать их результаты.
Что такое атака грубой силой (с примерами) и как вы можете защитить от нее
Почему наборы эксплойтов успешны??
Учитывая, что злоумышленники используют известные уязвимости, вы можете задаться вопросом, как эти уязвимости остаются уязвимыми, позволяя атакам быть успешными.
Отчет Trend Micro за 2023 год [PDF] проливает свет на одну из основных причин:
«Непрерывный натиск вновь обнаруженных уязвимостей лишь усложняет задачу предприятий. Зачастую из-за большого количества уязвимостей и конкурирующего приоритета обеспечения доступности сети им приходится находить практические компромиссы, придавая важность определенным уязвимостям и оставляя открытые исправления для других уязвимостей на более позднее время ».
По сути, есть просто слишком много, чтобы исправить все за один раз. Даже если уязвимости были исправлены, а такие компании, как Microsoft и Adobe, выпустили обновления, компании не всегда могут сразу обновить свои системы..
Они должны определить, какие обновления должны произойти в первую очередь, и надеяться, что они принимают правильные решения, поскольку киберпреступники ждут, чтобы воспользоваться каждой слабостью. Точно так же, для отдельных людей, если кто-то откладывает обновление или по какой-то причине пропускает его, тогда гораздо больше шансов на успех комплекта эксплойтов..
Несколько других факторов обеспечивают успех комплектов эксплойтов, один из которых заключается в том, что первоначальный контакт легко устанавливается, например, если кто-то нажимает на мошенническую рекламу или ссылку в электронном письме. А во-вторых, после установления первоначального контакта трудно сказать, что происходит что-то неблагоприятное.
Как защититься от эксплойтов
Поскольку так трудно понять, когда работают наборы эксплойтов и тот факт, что они настолько разнообразны, лучше всего избегать их в первую очередь. Вот несколько советов, которые помогут:
- Держите программное обеспечение в актуальном состоянии. Одна из наиболее важных причин, по которой программное обеспечение регулярно обновляется, — это исправление уязвимостей в системе безопасности..
- Не нажимайте спам-ссылки. Как всегда, вам следует избегать открывать электронные письма от тех, кого вы не знаете, и определенно не нажимайте на подозрительные ссылки.
- Избегайте рекламы и всплывающих окон. Когда дело доходит до всплывающих окон и рекламы, может быть трудно избежать нажатия, так как многие из них предназначены для того, чтобы обмануть вас (например, кнопка «закрыть» трудно найти или реклама перемещается). Adblocker может быть полезен, так как это предотвратит появление рекламы и всплывающих окон..
- Используйте антивирус. Антивирус не защищен от ошибок, но может обнаруживать и удалять многие известные угрозы, включая вирусы и другие типы вредоносных программ, попадающие на ваше устройство..
Изображение предоставлено Майклом Краузе «Crack Wall» по лицензии CC BY 2.0
Источник: heritage-offshore.com