Що таке подвиги і чому вони такі страшні?

Експерти з безпеки часто згадують подвиги як одну з найсерйозніших проблем, хоча не завжди зрозуміло, чому подвиги такі особливі та страшні. Ми спробуємо пояснити тут.

вони

Експерти з питань безпеки часто згадують подвиги як одну з найсерйозніших проблем із безпекою даних та систем; хоча не завжди ясно, яка різниця між експлойтами та шкідливим програмним забезпеченням загалом. Ми спробуємо пояснити тут.

Що таке подвиг?

Експлойти - це підмножина шкідливих програм. Ці шкідливі програми містять дані або виконуваний код, який може скористатися однією або кількома уразливостями програмного забезпечення, що працює на локальному або віддаленому комп'ютері.

Простіше кажучи: У вас є веб-переглядач, і в ньому є вразливість, яка дозволяє запустити «довільний код» (тобто встановити та запустити якусь шкідливу програму) у вашій системі без вашого відома. Найчастіше першим кроком для зловмисників є дозволення ескалації привілеїв, щоб вони могли робити що завгодно в атакованій системі.

Браузери, поряд із Flash, Java та Microsoft Office, є одними з найбільш цільових категорій програмного забезпечення. Будучи повсюдними, вони активно досліджуються як експертами з безпеки, так і хакерами, і розробникам регулярно доводиться випускати патчі для виправлення вразливостей. Найкраще, якщо ці патчі застосовуються відразу, але, на жаль, це не завжди так. Наприклад, вам слід закрити всі вкладки браузера або документи, щоб виконати оновлення.

Інша проблема полягає у використанні поки невідомих вразливостей, виявлених і зловживаних чорними капелюхами: так звані нульові дні або 0 дні. Може пройти деякий час, перш ніж продавці дізнаються, що у них є проблеми, і вирішать їх.

Шляхи зараження

Кіберзлочинці часто віддають перевагу подвигам перед іншими методами зараження, такими як соціальна інженерія - які можуть бути вражені або пропущені - використання вразливостей продовжує приносити бажані результати.

Існує два способи підживлення користувачів. По-перше, відвідавши веб-сайт, що містить зловмисний код експлуатації. По-друге, відкривши на перший погляд легітимний файл із прихованим шкідливим кодом. Як неважко здогадатися, скоріш за все, це спам або фішинг-лист.

Як зазначається в Securelist, експлойти призначені для виявлення певних версій програмного забезпечення, що містять уразливості. Якщо у користувача є ця версія програмного забезпечення для відкриття шкідливого об'єкта, або якщо веб-сайт використовує це програмне забезпечення для роботи, експлойт запускається.

Отримавши доступ через уразливість, експлойт завантажує додаткове шкідливе програмне забезпечення із сервера злочинців, яке здійснює шкідливу діяльність, таку як викрадення персональних даних, використання комп’ютера як частини бот-мережі для розповсюдження спаму чи здійснення DDoS-атак, або що завгодно винні за цим мають намір робити.

Експлойти становлять загрозу навіть для обізнаних та старанних користувачів, які постійно оновлюють своє програмне забезпечення. Причиною є розрив у часі між виявленням вразливості та випуском патча для його виправлення. Протягом цього часу експлойти можуть вільно функціонувати та загрожувати безпеці майже всіх користувачів Інтернету - якщо не встановлені автоматичні інструменти для запобігання атакам експлойтів.

І не забувайте про згаданий вище «синдром відкритих вкладок»: за оновлення потрібно заплатити ціну, і не кожен користувач готовий заплатити її відразу, коли доступний патч.

Подвиги виконуються зграями

Експлойти часто пакуються разом, так що атакувана система перевіряється на наявність широкого кола вразливостей; як тільки один або декілька виявляються, входять відповідні експлойти. Експлойт-набори також широко використовують затухання коду, щоб уникнути виявлення та шифрувати шляхи URL-адрес, щоб запобігти їх викоріненню.

Серед найбільш відомих:

Рибалка - один із найскладніших наборів на підпільному ринку. Це змінило гру після того, як вона розпочала виявляти антивірусні та віртуальні машини (часто використовуються дослідниками безпеки як медоносні точки), та розгортаючи зашифровані файли-крапельниці. Це один із найшвидших наборів, що включає нещодавно випущені нульові дні, і шкідливе програмне забезпечення запускається з пам'яті, без необхідності записувати на жорсткі диски жертв. Технічний опис упаковки доступний тут.

Angler Exploit Kit, що використовує нову вразливість Adobe, скидання Cryptowall 3.0 - http://t.co/DFGhwiDeEa pic.twitter.com/IirQnTqxEO

- Лабораторія Касперського (@kaspersky) 30 травня 2015 р

Ядерний пакет - вражає своїх жертв експлойтами Java та Adobe PDF, а також скидає Caphaw - горезвісний банківський троян. Детальніше ви можете прочитати тут.

Нейтрино - набір російського виробництва, що містить декілька експлойтів Java, минулого року вийшов у заголовки завдяки тому, що його власник продав його за дуже скромну ціну - 34 000 доларів. Швидше за все це було зроблено після арешту певного Паунча, творця наступного експлойт-набору, про який ми поговоримо.

Набір для чорних дірок - найпоширеніша веб-загроза 2012 року, вона націлена на вразливості у старих версіях браузерів, таких як Firefox, Chrome, Internet Explorer та Safari, а також багатьох популярних плагінів, таких як Adobe Flash, Adobe Acrobat та Java. Після того, як жертву заманюють або перенаправляють на цільову сторінку, набір визначає, що знаходиться на комп’ютерах жертви, і завантажує всі експлойти, до яких цей комп’ютер вразливий.

Арешт "пауча" ставить хакерів "чорних дірок" на дієту даних, @K_Sec від Касперського важить. Http://t.co/uao2eINlkZ через @TechNewsWorld

- Лабораторія Касперського (@kaspersky) 15 жовтня 2013 р

Blackhole, на відміну від більшості інших комплектів, має спеціальний запис у Вікіпедії, хоча після арешту Паунча сам комплект майже вимер.

Висновок

Подвиги не завжди виявляються програмним забезпеченням безпеки. Для успішного виявлення експлуатування програмне забезпечення безпеки має використовувати аналіз поведінки - це єдиний хороший спосіб перемогти експлойти. Шкідливих програм може бути багато і різноманітно, але більшість із них мають схожі моделі поведінки.

Що таке подвиги і чому вони такі страшні?

Твіт

Kaspersky Internet Security, а також інші флагманські продукти Лабораторії Касперського використовують технологію, яка називається Автоматичне запобігання експлуатації і використовує інформацію про найбільш типову поведінку відомих подвигів. Характерна поведінка таких шкідливих програм допомагає запобігти зараженню навіть у випадку раніше невідомої експлуатації вразливості нульового дня.

Більше інформації про технологію автоматичного запобігання експлоїту доступно тут.