Wat u moet weten over computerexploits
Computerexploits. Wat zijn ze en waarom zou u zich er iets van aantrekken?
Is het u wel eens opgevallen dat softwareontwikkelaars hun software voortdurend patchen en updaten, soms al enkele dagen na de oorspronkelijke softwarerelease?
Dat komt omdat elk stukje software dat u bezit en ooit zal bezitten in uw kwetsbaarheden bevat die cybercriminelen kunnen vinden en misbruik van kunnen maken - met andere woorden, "exploiteren". Er bestaat niet zoiets als exploit-vrije software - er zullen altijd gaten zijn. Computersoftware is ongeveer net zo stevig als een blok Zwitserse kaas.
Door middel van exploits kunnen cybercriminelen toegang krijgen tot uw computers en gevoelige informatie stelen of malware installeren. Ondanks een afname in de exploit-activiteit, blijven cybercriminelen terugvallen op deze heimelijke aanvalsmethode. Met dat in gedachten is dit het perfecte moment om onszelf te informeren over het onderwerp exploits en onszelf dienovereenkomstig te beschermen. Dus scroll naar beneden, lees verder en leer alles wat u moet weten over computerexploits.
Wat is een exploit? Definitie van exploit
Een computer exploit is een soort malware die gebruikmaakt van bugs of kwetsbaarheden, die cybercriminelen gebruiken om ongeoorloofde toegang tot een systeem te krijgen. Deze kwetsbaarheden zijn verborgen in de code van het besturingssysteem en de toepassingen, wachtend om ontdekt en gebruikt te worden door cybercriminelen. Veelgebruikte software omvat het besturingssysteem zelf, browsers, Microsoft Office en toepassingen van derden. Soms worden exploits door cybercriminele groepen verpakt in een zogenaamde exploitkit. Exploitkits maken het criminelen met beperkte technische kennis gemakkelijker om exploits te gebruiken en malware te verspreiden.
Om beter te begrijpen wat exploits zijn, kan het helpen om te denken aan de dure fiets- en laptopcilindersloten die populair waren in het begin van de jaren 2000. Mensen betaalden meer dan $50 voor deze sloten en dachten dat de sloten hun waardevolle spullen veilig hielden, totdat iemand een video online plaatste waarin werd gedemonstreerd hoe deze sloten in een paar seconden konden worden geopend met een goedkope en gemakkelijk verkrijgbare Bic-pen.
Dit dwong de slotenmakers om hun sloten te updaten en consumenten moesten upgraden naar de nieuwe inbraakveilige sloten. Dit is een tastbaar misbruik van een fysiek beveiligingssysteem. Wat software betreft, zijn cybercriminelen op zoek naar slimme trucs, net als de Bic-pennenman, waarmee ze toegang kunnen krijgen tot andermans computers, mobiele apparaten en netwerken.
Exploitaanvallen beginnen vaak met malspam en drive-by downloads. Cybercriminelen verleiden nietsvermoedende slachtoffers tot het openen van een geïnfecteerde e-mailbijlage of het klikken op links die omleiden naar een kwaadaardige website. Geïnfecteerde bijlagen, vaak een Word-document of PDF, bevatten exploitcode die is ontworpen om te profiteren van zwakke plekken in toepassingen.
Drive-by downloads maken gebruik van kwetsbaarheden in de browser uw , zoals Internet Explorer of Firefox, of de plug-ins die in de browser uw draaien, zoals Flash. u kan een website u'in het verleden veilig hebben bezocht, maar deze keer is de website gehackt en u zal het niet eens weten. Een andere mogelijkheid is dat u op een kwaadaardige link in een spammail klikt die u naar een vervalste versie van een bekende website brengt.
En in bijzonder lastige gevallen kan u een legitieme website bezoeken die een advertentie of pop-up weergeeft die is geïnfecteerd met malware, ook bekend als malvertising. Bij het bezoeken van de site werkt de kwaadaardige code op de webpagina onzichtbaar op de achtergrond om malware op uw computer te laden.
Cybercriminelen gebruiken exploits als middel om een kwaadaardig doel te bereiken, variërend van een vervelend probleem tot verlammende overlast. Cybercriminelen kunnen proberen om de bronnen van uw computers aan het werk te zetten in een zombiebotnet voor DDoS-aanvallen of om Bitcoin te delven(cryptojacking).
Cybercriminelen kunnen ook proberen adware te installeren en het bureaublad uw te overspoelen met advertenties. Cybercriminelen willen misschien op het systeem uw komen en gegevens stelen of malware installeren om in het geheim gegevens van u te verzamelen(spyware). Tot slot kunnen cybercriminelen malware installeren die alle uw bestanden versleutelt en betaling eisen in ruil voor de versleutelingscode(ransomware).
Wat is een zero-day exploit?
Zero-day! De enige dag per jaar dat we stilstaan bij de bescheiden kleine nul. Was dat maar waar. In werkelijkheid is een zero-day exploit, ook wel bekend als een zero-hour exploit, een softwarekwetsbaarheid die alleen bekend is bij de cybercrimineel die hem heeft gemaakt en waarvoor geen oplossing beschikbaar is. Zodra een exploit algemeen bekend wordt, is het niet langer een zero-day. Soms wordt een bekende exploit een n-day exploit genoemd, wat aangeeft dat er een of meer dagen zijn verstreken sinds de exploit openbaar werd gemaakt.
Zodra een zero-day exploit openbaar wordt, zijn softwaremakers in een race tegen criminelen om de exploit te patchen voordat de criminelen er hun voordeel mee kunnen doen en de vruchten ervan kunnen plukken. Gelukkig hebben onderzoekers scrupules. Als onderzoekers een exploit vinden voordat criminelen dat doen, rapporteren ze de fout meestal aan de fabrikant en geven ze hem de kans om de fout te repareren voordat ze het grote publiek (en de criminelen) op de hoogte stellen.
Proactief op zoek gaan naar exploits is voor sommige hackers een sport geworden. Tijdens de jaarlijkse Pwn2own-wedstrijd verdienen exploit-experts geld en prijzen voor het succesvol hacken van populaire software in verschillende categorieën, waaronder webbrowsers en bedrijfsapplicaties. Als blijk van hun interesse in softwarebeveiliging sponsorden Microsoft en VMware het Pwn2own-evenement in 2018.
Over softwaremakers die proactief zijn in het vinden en repareren van exploits zegt David Sanchez, Malwarebytes Principal Research Engineer: "Het is waar dat Microsoft en andere softwaremakers heel hard werken om hun applicaties zoals Office te beveiligen en het is moeilijk geworden om ze te misbruiken - bijna onmogelijk. Security jongens en cybercriminelen vinden nog steeds een manier om ze met succes te misbruiken. 100 procent beveiliging is slechts een illusie, maar Malwarebytes apps beschermen mensen zo dicht mogelijk bij die 100 procent."
Geschiedenis van computerexploits
Exploits zijn zo oud als computers. Zoals we al hebben aangegeven, heeft alle software kwetsbaarheden en er zijn in de loop der jaren een paar echte doozies geweest. Hier volgt een kort overzicht van enkele van de meest opmerkelijke computerexploits.
Onze verkenning van 's werelds grootste (d.w.z. slechtste) exploits begint in 1988 met de Morris-worm, een van de eerste computerwormen en exploits. De gelijknamige worm, vernoemd naar de maker Robert Tappan Morris, was ontworpen om uit te vinden hoe groot het internet was in die vroege beginjaren door verschillende kwetsbaarheden te gebruiken om toegang te krijgen tot accounts en het aantal computers te bepalen dat op een netwerk was aangesloten.
De worm liep uit de hand, infecteerde computers meerdere keren en liet meerdere kopieën van de worm tegelijkertijd draaien totdat er geen bronnen meer over waren voor legitieme gebruikers. De Morris-worm was in feite een DDOS-aanval geworden.
De SQL Slammer-worm veroverde de wereld in 2003 en nam ongeveer 250.000 servers met Microsoft SQL Server-software op in zijn botnet. Als een server eenmaal was geïnfecteerd, werd een verspreide aanvalsstijl gebruikt, waarbij willekeurige IP-adressen werden gegenereerd en geïnfecteerde code naar die adressen werd verzonden. Als op de server SQL Server was geïnstalleerd, werd deze ook geïnfecteerd en toegevoegd aan het botnet. Als gevolg van SQL Slammer werden 13.000 geldautomaten van de Bank of America offline gehaald.
De Conficker-worm van 2008 is om een paar redenen opmerkelijk. Ten eerste heeft deze worm veel computers in zijn botnet opgenomen - naar verluidt 11 miljoen apparaten op het hoogtepunt. Ten tweede maakte Conficker een soort uitvlucht populair die virussen gebruiken om detectie te vermijden, genaamd een Domain Generating Algorithm (DGA). Kort gezegd stelt de DGA-techniek een beetje malware in staat om eindeloos te communiceren met zijn commando- en controleserver (C&C) door nieuwe domeinen en IP-adressen te genereren.
De Stuxnet-worm uit 2010 was ontworpen om het nucleaire programma van Iran aan te vallen en maakte gebruik van meerdere zero-day kwetsbaarheden in Windows om toegang te krijgen tot een systeem. Van daaruit kon de worm zichzelf vermenigvuldigen en zich van het ene systeem naar het andere verspreiden.
De Heartbleed-exploit werd in 2014 ontdekt en werd gebruikt om het versleutelingssysteem aan te vallen waarmee computers en servers privé met elkaar kunnen praten. Met andere woorden, cybercriminelen konden de exploit gebruiken om uw digitale gesprekken af te luisteren. Het versleutelingssysteem, OPEN SSL genaamd, werd gebruikt op 17,5% of een half miljoen "beveiligde" webservers. Dat zijn veel kwetsbare gegevens.
Omdat dit een probleem is voor de websites die u bezoekt (server-side), in tegenstelling tot een probleem op uw computer (client-side), is het aan netwerkbeheerders om deze exploit te patchen. De meeste gerenommeerde websites hebben deze exploit al jaren geleden gepatcht, maar niet allemaal, dus het is nog steeds een probleem om je bewust van te zijn.
2017 was een topjaar voor ransomware. De ransomware-aanvallen WannaCry en NotPetya maakten gebruik van de exploits EternalBlue/DoublePulsar Windows om computers binnen te sluipen en gegevens te gijzelen. Samen veroorzaakten deze twee aanvallen wereldwijd 18 miljard dollar aan schade. De NotPetya-aanval in het bijzonder legde - naast vele andere - tijdelijk een chocoladefabriek van Cadbury en de maker van Durex-condooms lam. Hedonisten over de hele wereld hielden hun collectieve adem in totdat de exploit was gepatcht.
De Equifax aanval van 2017 had voorkomen kunnen worden als het kredietbureau meer moeite had gedaan om hun software up-to-date te houden. In dit geval was de softwarefout die cybercriminelen gebruikten om in te breken in het datanetwerk van Equifax al bekend en was er een patch beschikbaar. In plaats van de boel te patchen, stelden Equifax en hun verouderde software cybercriminelen in staat om persoonlijke gegevens van honderden miljoenen Amerikaanse klanten te stelen. "Bedankt."
Voordat u Apple-gebruikers gaan denken dat Macs niet vatbaar zijn voor aanvallen op basis van uitbuiting, denk dan eens aan de huiveringwekkende rootbug uit 2017 waarmee cybercriminelen eenvoudig het woord "root" konden invoeren in het gebruikersnaamveld en twee keer op return konden drukken om volledige toegang tot de computer te krijgen. Die bug werd snel verholpen voordat cybercriminelen er hun voordeel mee konden doen, maar dit toont aan dat elke software bugs kan hebben die misbruikt kunnen worden. We hebben al eerder gemeld dat Mac exploits toeneemt. Eind 2017 waren er 270 procent meer unieke bedreigingen op het Mac platform dan in 2016.
De laatste tijd is er weinig nieuws in de wereld van browser-exploits. Office-exploitkits daarentegen vertonen een stijgende trend. Sinds 2017 zien we een toename in het gebruik van Office-gebaseerde exploitkits. In de herfst van dat jaar berichtten we voor het eerst over meerdere innovatieve Word-exploits, waaronder een die verborgen zat in valse berichten van de belastingdienst en een andere zero-day aanval die verborgen zat in Word-documenten - waarbij weinig tot geen interactie van het slachtoffer nodig was om de aanval te starten.
We zien nu een nieuw type Office-exploitkit die niet vertrouwt op macro's, dat wil zeggen speciale code die in het document is ingebed, om zijn vuile werk te doen. Deze exploit kit gebruikt in plaats daarvan het document als een lokmiddel en activeert een automatische download die de exploit inzet.
Recenter zetten cybercriminelen bestandsloze malware in, zo genoemd omdat dit type malware niet afhankelijk is van code die op de doelcomputer is geïnstalleerd om te werken. In plaats daarvan maakt bestandsloze malware gebruik van de toepassingen die al op de computer zijn geïnstalleerd, waardoor de computer effectief wordt bewapend tegen zichzelf en andere computers.
Exploits op mobiel: Android en iOS
De grootste zorg voor mobiele gebruikers is het installeren van apps die niet zijn goedgekeurd door Google en Apple. Het downloaden van apps buiten de Google Play Store en Apple App Store betekent dat de apps niet zijn doorgelicht door de respectievelijke bedrijven. Deze niet-vertrouwde apps kunnen proberen misbruik te maken van kwetsbaarheden in iOS/Android om toegang te krijgen tot uw mobiele apparaten, gevoelige informatie te stelen en andere schadelijke acties uit te voeren.
Hoe kan ik mezelf beschermen tegen exploits?
Exploits kunnen eng zijn. Betekent dit dat we onze routers uit het raam moeten gooien en moeten doen alsof het de pre-internet computer Donkere Middeleeuwen zijn? Zeker niet. Hier zijn een paar tips als u proactief wil worden op het gebied van bescherming tegen exploits.
- Blijf up-to-date. Update u regelmatig het besturingssysteem uw en alle verschillende toepassingen die u heeft geïnstalleerd? Als u nee antwoordt, kan u een potentieel slachtoffer zijn voor cybercriminelen. Nadat een zero-day exploit bekend is bij de softwareleverancier en er een patch is uitgebracht, is het aan de individuele gebruiker om zijn software te patchen en bij te werken. In feite worden 'zero-day'-exploits gevaarlijker en wijdverspreider nadat ze algemeen bekend zijn geworden, omdat een bredere groep bedreigers misbruik maakt van de exploit. Ga terug naar uw softwareproviders en kijk of er updates of patches beschikbaar zijn. Ga indien mogelijk naar uw software-instellingen en schakel auto-updates in, zodat deze updates automatisch op de achtergrond worden uitgevoerd zonder dat uw hier extra moeite voor hoeft te doen. Dit voorkomt dat er veel tijd verstrijkt tussen het moment dat een kwetsbaarheid wordt gemeld en het moment dat deze wordt verholpen. Cybercriminelen profiteren van mensen die vergeten of gewoon niet weten dat ze hun software moeten bijwerken en patchen.
- Upgrade uw software. In sommige gevallen wordt een softwaretoepassing zo oud en onhandelbaar dat de softwaremaker stopt met de ondersteuning ervan(abandonware), wat betekent dat eventuele extra bugs die worden ontdekt niet worden verholpen. In navolging van het vorige advies, controleer of uw software nog steeds ondersteund wordt door de maker. Als dat niet zo is, upgrade dan naar de nieuwste versie of schakel over naar iets anders dat hetzelfde doet.
- Blijf veilig online. Zorg ervoor dat Microsoft SmartScreen of Google Safe Browsing zijn ingeschakeld voor de webbrowser van uw keuze: uw . uw browser controleert elke site die u bezoekt aan de hand van de zwarte lijsten die worden onderhouden door Microsoft en Google en stuurt u weg van sites waarvan bekend is dat ze malware aanbieden. Effectieve anti-malwareprogramma's zoals Malwarebytesblokkeren bijvoorbeeld ook slechte sites en bieden u meerdere beschermingslagen.
- Gebruik het of raak het kwijt. Hackers gaan hacken. Daar kunnen we niet veel aan doen. Maar als er geen software is, is er geen kwetsbaarheid. Als u de software niet meer gebruikt, verwijder het dan van uw computer. Hackers kunnen niet inbreken in iets dat er niet is.
- Installeer geautoriseerde apps. Als het aankomt op veilig blijven op uw mobiele apparaten, blijf dan alleen bij geautoriseerde apps. Er zijn momenten waarop u buiten de App Store en Google Play Store wil gaan, zoals wanneer ueen nieuwe app aan het beta-testen is, maar u moet er dubbel zeker van zijn dat u de maker van de app kan vertrouwen. Over het algemeen geldt echter: blijf bij goedgekeurde apps die zijn doorgelicht door Apple en Google.
- Gebruik anti-exploit software. Dus u'heb alle nodige voorzorgsmaatregelen genomen om exploit-gebaseerde aanvallen te vermijden. Hoe zit het met zero-day exploits? Onthoud dat een zero-day exploit een softwarekwetsbaarheid is waar alleen cybercriminelen vanaf weten. We kunnen niet veel doen om onszelf te beschermen tegen bedreigingen die we niet kennen. Of toch wel? Een goed anti-malwareprogramma, zoals Malwarebytes voor Windows, Malwarebytes voor Mac, Malwarebytes voor Android, of Malwarebytes voor iOS, kan proactief kwaadaardige software herkennen en blokkeren die misbruik maakt van kwetsbaarheden op uw computer met behulp van heuristische analyse van de aanval. Met andere woorden, als het verdachte softwareprogramma gestructureerd is en zich gedraagt als malware, zal Malwarebytes het markeren en in quarantaine plaatsen.
Hoe beïnvloeden exploits mijn bedrijf?
In veel opzichten is uw business een waardevoller doelwit voor cybercriminelen en exploits dan de individuele consument - meer gegevens om te stelen, meer om losgeld voor te vragen en meer endpoints om aan te vallen.
Neem bijvoorbeeld het datalek bij Equifax. In dit geval gebruikten cybercriminelen een exploit in Apache Struts 2 om toegang te krijgen tot het netwerk van Equifax en hun gebruikersrechten te verhogen. Toen de aanvallers eenmaal op het netwerk waren, maakten ze zichzelf systeembeheerder en kregen ze toegang tot gevoelige gegevens van miljoenen consumenten. Niemand weet wat de volledige gevolgen zijn van de aanval op Equifax, maar het kan het kredietbureau miljoenen dollars gaan kosten. Er is een collectieve rechtszaak aan de gang en individuen dagen Equifax ook voor de kleine rechtbank en winnen meer dan $8.000 per zaak.
Naast privilege-escalatie kunnen exploits worden gebruikt om andere malware te implementeren, zoals het geval was bij de NotPetya ransomware-aanval. NotPetya verspreidde zich over het internet en viel zowel particulieren als bedrijven aan. Met behulp van de exploits EternalBlue en MimiKatz Windows kreeg NotPetya voet aan de grond op een netwerk en verspreidde het zich van computer naar computer, waarbij elk eindpunt werd vergrendeld, gebruikersgegevens werden versleuteld en de bedrijfsvoering tot stilstand kwam. Computers, smartphones, VOIP-bureautelefoons, printers en servers werden allemaal onbruikbaar. Total de schade voor bedrijven over de hele wereld wordt geschat op 10 miljard dollar.
Dus hoe kan u het bedrijf uw beschermen? u moet zich ontdoen van de zwakke punten in uw systeem met een goede patchmanagementstrategie. Hier zijn enkele dingen om in gedachten te houden als u uitzoekt wat het beste is voor uw netwerk.
- Implementeer netwerksegmentatie. Het verspreiden van uw gegevens over kleinere subnetwerken vermindert het aanvalsoppervlak van uw - kleinere doelen zijn moeilijker te raken. Dit kan helpen om een inbreuk te beperken tot slechts een paar eindpunten in plaats van uw hele infrastructuur.
- Dwing het principe van de minste privileges (PoLP) af. Kortom, geef gebruikers het toegangsniveau dat ze nodig hebben om hun werk te doen en niets meer. Ook dit helpt om schade door inbreuken of ransomware-aanvallen te beperken.
- Blijf op de hoogte van updates. Houd Patch Tuesday in de gaten en plan daar rekening mee. Het Microsoft Security Response Center houdt een blog bij met de nieuwste update-informatie. u kan zich ook abonneren op hun e-mailnieuwsbrief om op de hoogte te blijven van wat er elke maand wordt gepatcht.
- Geef prioriteit aan uw updates. De dag na Patch Tuesday wordt ook wel Exploit Wednesday genoemd. Cybercriminelen zijn zich bewust van mogelijke exploits en de race is begonnen om systemen bij te werken voordat de cybercriminelen de kans krijgen om aan te vallen. Om het patchproces te versnellen, zou u moeten overwegen om updates te lanceren op elk eindpunt vanuit een centrale agent, in plaats van het aan elke eindgebruiker over te laten om het in zijn eigen tijd te voltooien.
- Audit uw updates achteraf. Patches moeten software repareren, maar soms maken patches dingen kapot. Het is de moeite waard om na te gaan of de patches die u naar het uw netwerk heeft gestuurd, de dingen niet erger hebben gemaakt en indien nodig te verwijderen.
- Weg met abandonware. Soms is het moeilijk om van oude software af te komen die over de houdbaarheidsdatum heen is-vooral bij een groot bedrijf waar de aankoopcyclus beweegt met de urgentie van een luiaard, maar software die niet meer wordt gebruikt is echt het slechtste scenario voor elke netwerk- of systeembeheerder. Cybercriminelen zijn actief op zoek naar systemen met verouderde software, dus vervang deze zo snel mogelijk.
- Natuurlijk is goede beveiligingssoftware voor eindpunten een essentieel onderdeel van elk beveiligingsprogramma tegen uitbuiting. Denk eens aan Malwarebytes. Met Malwarebytes Endpoint Protection en Malwarebytes Endpoint Detection and Response, hebben we een oplossing voor alle uw zakelijke beveiligingsbehoeften.
Tot slot, als dit alles uw honger naar kennis over exploits niet heeft gestild, kan u altijd meer lezen over exploits op de Malwarebytes Labs blog.
Nieuws over exploits
- Log4j zero-day "Log4Shell" komt net op tijd om uw weekend te verpesten
- Windows Kwetsbaarheid in Installer wordt actief uitgebuit zero-day
- Nu patchen! Exchange-servers aangevallen door zero-days van Hafnium
- Ontdekking zero-day Zoom maakt gesprekken veiliger, hackers $200.000 rijker
- Android Patches voor 4 in-the-wild bugs zijn uit, maar wanneer krijgt u ze?
- Onderneem actie! Meerdere Pulse Secure VPN kwetsbaarheden in het wild uitgebuit
- Update nu! Chrome patcht zero-day die in het wild werd uitgebuit
- Grote patchdinsdag: Microsoft en Adobe repareren in-the-wild exploits
- Update uw iOS nu! Apple verhelpt drie zero-day kwetsbaarheden
- Een zero-day gids voor 2020: Recente aanvallen en advanced preventieve technieken
Exploitkit-beoordelingen:
Exploitkits: overzicht lente 2019
Exploitkits: overzicht winter 2019
Exploitkits: overzicht herfst 2018
Exploitkits: overzicht zomer 2018
Exploitkits: overzicht lente 2018
Exploitkits: overzicht winter 2018
Lees meer nieuws over exploits en kwetsbaarheden op de blog Malwarebytes Labs .