Exploit

Exploity wykorzystują luki w oprogramowaniu, ukryte w kodzie systemu operacyjnego i jego aplikacji, które cyberprzestępcy wykorzystują do uzyskania nielegalnego dostępu do systemu.

Antywirus Premium

Najważniejsze wnioski

  • Luki w zabezpieczeniach to ataki wykorzystujące słabe punkty oprogramowania w systemach operacyjnych i popularnych aplikacjach (takich jak przeglądarki i pakiety biurowe) w celu uzyskania nieuprawnionego dostępu lub przeprowadzenia złośliwych działań bez konieczności instalowania przez użytkowników złośliwego oprogramowania.
  • Ataki wykorzystujące luki w zabezpieczeniach często przebiegają w sposób niezauważalny, zazwyczaj za pośrednictwem złośliwych stron internetowych, pobrań typu „drive-by” lub linków w wiadomościach e-mail, i nie zawsze wiążą się z wykorzystaniem tradycyjnych plików złośliwego oprogramowania.
  • Luki typu zero-day są szczególnie niebezpieczne, ponieważ wykorzystują nieznane lub niezałatane luki w zabezpieczeniach, umożliwiając atakującym przeprowadzenie ataku, zanim pojawią się poprawki oprogramowania.
  • Tradycyjne rozwiązania antywirusowe mają ograniczoną skuteczność w walce z exploitami, ponieważ zazwyczaj skupiają się na wykrywaniu znanych złośliwych ładunków, a nie samych technik exploitów.

Co musisz wiedzieć o exploitach komputerowych.

Komputerowe exploity. Czym są i dlaczego powinno Cię to obchodzić?

Zauważyłeś kiedyś, jak programiści wiecznie łatają i aktualizują swoje oprogramowanie — czasem wydając aktualizacje raptem kilka dni po wydaniu pierwotnej wersji oprogramowania?

To dlatego, że każde oprogramowanie, jakie posiadasz i będziesz posiadać w swoim życiu, będzie miało luki, które cyberprzestępcy mogą znaleźć i wykorzystać — innymi słowy, „exploitować.” Nie istnieje coś takiego jak oprogramowanie wolne od exploitów — zawsze będą w nim jakieś dziury. Oprogramowanie komputerowe jest zwarte jak blok szwajcarskiego sera.

Wykorzystując luki w zabezpieczeniach, cyberprzestępcy mogą uzyskać dostęp do Twojego komputera i wykraść poufne informacje lub zainstalować złośliwe oprogramowanie. Pomimo spowolnienia aktywności w tym zakresie, cyberprzestępcy nadal stosują tę podstępną metodę ataku. Mając to na uwadze, teraz jest idealny moment, aby zapoznać się z tematem luk w zabezpieczeniach i odpowiednio się przed nimi chronić. Przewiń w dół, czytaj dalej i dowiedz się wszystkiego, co musisz wiedzieć o lukach w zabezpieczeniach komputerów.

Co to jest exploit? Definicja exploita.

Komputerowy exploit to rodzaj złośliwego oprogramowania, które wykorzystuje błędy lub luki, dzięki którym cyberprzestępcy uzyskują bezprawny dostęp do systemu. Te luki są ukryte w kodzie systemu operacyjnego i jego aplikacjach, czekając na odkrycie i wykorzystanie przez cyberprzestępców. Najczęściej wykorzystywanym oprogramowaniem są sam system operacyjny, przeglądarki, Microsoft Office i aplikacje firm trzecich. Czasami exploity są pakowane przez grupy cyberprzestępców w tzw. exploit kit. Pakiety exploitów ułatwiają przestępcom o ograniczonej wiedzy technicznej używanie exploitów i rozprzestrzenianie złośliwego oprogramowania.

Aby lepiej zrozumieć czym są exploity, warto przypomnieć sobie drogie zamki rowerowe i cylindryczne do laptopów popularne na początku lat 2000. Ludzie płacili ponad 50 dolarów za te zamki, myśląc, że chronią swoje kosztowności, aż ktoś zamieścił wideo online pokazujące, jak można je otworzyć w kilka sekund przy użyciu taniego i łatwo dostępnego długopisu Bic.

Zmusiło to producentów zamków do zaktualizowania swoich zamków, a konsumenci musieli przejść na nowe zamki odporne na włamania. Jest to namacalne wykorzystanie fizycznego systemu bezpieczeństwa. Jeśli chodzi o oprogramowanie, cyberprzestępcy szukają sprytnych sztuczek, podobnie jak facet z długopisem Bic, które pozwolą im uzyskać dostęp do komputerów, urządzeń mobilnych i sieci innych osób.

Ataki z wykorzystaniem exploitów często zaczynają się od złośliwej poczty i pobierania plików drive-by download. Cyberprzestępcy nakłaniają niczego niepodejrzewające ofiary do otwarcia zainfekowanego załącznika wiadomości e-mail lub kliknięcia linków przekierowujących do złośliwej witryny. Zainfekowane załączniki, często dokumenty Word lub PDF, zawierają kod exploita zaprojektowany w celu wykorzystania słabości aplikacji.

Ataki typu drive-by download wykorzystują luki w zabezpieczeniach przeglądarki, na przykład Internet Explorer lub Firefox, lub wtyczek działających w przeglądarce, takich jak Flash. Użytkownik może odwiedzić witrynę, którą w przeszłości odwiedzał bezpiecznie, ale tym razem witryna została zhakowana i nawet o tym nie wie. Możesz też kliknąć złośliwy link w wiadomości spamowej, który przeniesie Cię do sfałszowanej wersji znanej witryny.

W szczególnie podstępnych przypadkach użytkownik może odwiedzić legalną witrynę wyświetlającą reklamę lub wyskakujące okienko zainfekowane złośliwym oprogramowaniem - znanym również jako malvertising. Po odwiedzeniu witryny złośliwy kod na stronie internetowej będzie działał niewidocznie w tle, aby załadować złośliwe oprogramowanie na komputer.

Cyberprzestępcy wykorzystują exploity jako środek do osiągnięcia złośliwego celu, od irytującego problemu po paraliżującą uciążliwość. Cyberprzestępcy mogą próbować wykorzystać zasoby komputera do pracy w botnecie zombie w celu przeprowadzenia ataku DDoS lub wydobycia Bitcoinów(cryptojacking).

Alternatywnie, cyberprzestępcy mogą próbować zainstalować oprogramowanie reklamowe i zalać pulpit reklamami. Cyberprzestępcy mogą chcieć dostać się do systemu i wykraść dane lub zainstalować złośliwe oprogramowanie, aby potajemnie zbierać dane(oprogramowanie szpiegujące). Wreszcie, cyberprzestępcy mogą zainstalować złośliwe oprogramowanie, które szyfruje wszystkie pliki i żąda zapłaty w zamian za klucz szyfrowania(ransomware).

Co to jest exploit zero-day?

Dzień Zero! Ten jeden dzień w roku, w którym zatrzymujemy się, aby docenić skromne małe zero. Gdyby to tylko była prawda. W rzeczywistości exploit zero-day, znany również jako exploit zero-hour, to luka w oprogramowaniu, o której nie wie nikt poza cyberprzestępcą, który ją stworzył i dla której nie ma dostępnej poprawki. Gdy exploit staje się publicznie znany, nie jest już zero-day. Czasami znany exploit jest określany jako n-day exploit, co oznacza, że minął jeden lub więcej dni od jego upublicznienia.

Gdy exploit zero-day staje się informacją publiczną, twórcy oprogramowania ścigają się z przestępcami, aby załatać exploita, zanim przestępcy będą mogli go wykorzystać i czerpać korzyści. Na szczęście badacze mają skrupuły. Jeśli badacze znajdą exploit przed przestępcami, zazwyczaj zgłaszają usterkę producentowi i dają mu szansę na jej naprawienie, zanim powiadomią opinię publiczną (i przestępców).

Proaktywne poszukiwanie exploitów stało się sportem dla niektórych hackers. W corocznym konkursie Pwn2own eksperci od exploitów zdobywają gotówkę i nagrody za udane włamania do popularnego oprogramowania w wielu kategoriach, w tym przeglądarek internetowych i aplikacji korporacyjnych. Jako dowód zainteresowania bezpieczeństwem oprogramowania, Microsoft i VMware sponsorowały wydarzenie Pwn2own w 2018 roku.

Na temat podejścia twórców oprogramowania do proaktywnego poszukiwania i naprawiania exploitów, David Sanchez, główny inżynier ds. badań Malwarebytes, powiedział: „To prawda, że Microsoft i inni twórcy oprogramowania bardzo ciężko pracują, aby zabezpieczyć swoje aplikacje, takie jak Office—eksploatacja ich stała się trudna—prawie niemożliwa. Specjaliści ds. bezpieczeństwa i cyberprzestępcy wciąż znajdują sposób na ich pomyślne exploitowanie. 100-procentowe bezpieczeństwo to tylko iluzja, ale aplikacje Malwarebytes chronią ludzi jak najbliżej tego 100 procent.”

Historia exploitów komputerowych.

Exploity są tak stare jak informatyka. Jak już wspomnieliśmy, każde oprogramowanie ma luki w zabezpieczeniach, a na przestrzeni lat było ich naprawdę sporo. Oto krótki przegląd niektórych z bardziej znanych exploitów komputerowych.

Nasza eksploracja największych (tj. najgorszych) exploitów na świecie rozpoczyna się w 1988 roku od robaka Morris, jednego z pierwszych robaków komputerowych i exploitów. Nazwany na cześć swojego twórcy Roberta Tappana Morrisa, tytułowy robak został zaprojektowany, aby dowiedzieć się, jak duży był Internet w tych wczesnych latach formacyjnych, wykorzystując różne luki w zabezpieczeniach w celu uzyskania dostępu do kont i określenia liczby komputerów podłączonych do sieci.

Robak wymknął się spod kontroli, infekując komputery wielokrotnie, uruchamiając kilka kopii robaka jednocześnie, aż zabrakło zasobów dla legalnych użytkowników. Robak Morris skutecznie stał się atakiem DDOS.

Robak SQL Slammer szturmem podbił świat w 2003 roku, wciągając do swojego botnetu około 250 000 serwerów z oprogramowaniem SQL Server firmy Microsoft. Po zainfekowaniu serwera, robak stosował atak rozproszony, generując losowe adresy IP i wysyłając na nie zainfekowany kod. Jeśli na docelowym serwerze zainstalowany był SQL Server, on również był infekowany i dodawany do botnetu. W wyniku ataku SQL Slammer 13 000 bankomatów Bank of America zostało wyłączonych.

Robak Conficker z 2008 roku jest godny uwagi z kilku powodów. Po pierwsze, w swoim botnecie zgromadził wiele komputerów - według doniesień w szczytowym momencie było to 11 milionów urządzeń. Po drugie, Conficker spopularyzował rodzaj podstępu stosowanego przez wirusy w celu uniknięcia wykrycia, zwanego algorytmem generowania domeny (DGA). Krótko mówiąc, technika DGA pozwala złośliwemu oprogramowaniu na niekończącą się komunikację z serwerem dowodzenia i kontroli (C&C ) poprzez generowanie nowych domen i adresów IP.

Zaprojektowany w celu zaatakowania irańskiego programu nuklearnego, robak Stuxnet z 2010 roku wykorzystał wiele luk zero-day w systemie Windows , aby uzyskać dostęp do systemu. Stamtąd robak był w stanie sam się replikować i rozprzestrzeniać z jednego systemu do drugiego.

Odkryty w 2014 roku exploit Heartbleed został wykorzystany do ataku na system szyfrowania, który umożliwia komputerom i serwerom prywatną komunikację. Innymi słowy, cyberprzestępcy mogli wykorzystać exploit do podsłuchiwania cyfrowych rozmów użytkowników. System szyfrowania, zwany OPEN SSL, był używany na 17,5% lub pół miliona "bezpiecznych" serwerów internetowych. To bardzo dużo podatnych na ataki danych.

Ponieważ jest to problem związany z odwiedzanymi stronami internetowymi (po stronie serwera), a nie z komputerem użytkownika (po stronie klienta), załatanie tego exploita należy do administratorów sieci. Większość renomowanych stron internetowych załatała ten exploit lata temu, ale nie wszystkie, więc nadal jest to kwestia, o której należy pamiętać.

Rok 2017 był sztandarowym rokiem dla oprogramowania ransomware. Ataki ransomware WannaCry i NotPetya wykorzystały exploity EternalBlue/DoublePulsar Windows , aby wkraść się na komputery i przetrzymywać dane jako zakładników. Łącznie te dwa ataki spowodowały szkody o wartości 18 miliardów dolarów na całym świecie. W szczególności atak NotPetya tymczasowo sparaliżował - oprócz wielu innych - fabrykę czekolady Cadbury i producenta prezerwatyw Durex. Hedoniści na całym świecie wstrzymali oddech do czasu załatania exploita.

Atak na Equifax w 2017 roku mógłby zostać uniknięty, gdyby agencja kredytowa dołożyła większych starań, by ich oprogramowanie było aktualne. W tym przypadku luka w oprogramowaniu, którą cyberprzestępcy wykorzystali do włamania się do sieci danych Equifax, była już dobrze znana i dostępna była do niej poprawka. Zamiast załatać luki, Equifax i ich przestarzałe oprogramowanie pozwoliły cyberprzestępcom ukraść dane osobowe setek milionów klientów w USA. „Dzięki.”

Zanim użytkownicy Apple pomyślą, że komputery Mac są odporne na ataki wykorzystujące exploity, przypomnijcie sobie o błędzie root z 2017 roku, który pozwalał cyberprzestępcom na pełny dostęp do komputera po prostu wpisując słowo „root” w polu nazwy użytkownika i dwukrotnie naciskając enter. Ten błąd szybko naprawiono, zanim cyberprzestępcy mogli go wykorzystać, ale pokazuje to, że każde oprogramowanie może mieć exploitable bugs. Na dodatek poinformowaliśmy, że exploity w systemach Mac wzrastają. Pod koniec 2017 roku było o 270% więcej unikalnych zagrożeń dla platformy Mac niż w 2016 roku.

Ostatnio nie było zbyt wielu wiadomości w świecie exploitów przeglądarkowych. Z drugiej strony, zestawy exploitów dla pakietu Office wykazują tendencję wzrostową. Od 2017 roku zauważyliśmy wzrost wykorzystania zestawów exploitów opartych na pakiecie Office. Jesienią tego roku po raz pierwszy informowaliśmy o wielu innowacyjnych exploitach Worda, w tym jednym ukrytym w fałszywych powiadomieniach IRS i innym ataku typu zero-day ukrytym w dokumentach Worda - wymagającym niewielkiej lub żadnej interakcji ze strony ofiary w celu zainicjowania.

Widzimy teraz nowy typ zestawu exploitów Office, który nie polega na makrach; tj. specjalny kod osadzony w dokumencie, aby wykonać swoją brudną robotę. Ten zestaw exploitów zamiast tego wykorzystuje dokument jako przynętę, uruchamiając automatyczne pobieranie, które wdraża exploita.

Od niedawna cyberprzestępcy wdrażają bezplikowe złośliwe oprogramowanie, nazwane tak, ponieważ ten rodzaj złośliwego oprogramowania nie polega na kodzie zainstalowanym na komputerze docelowym. Zamiast tego bezplikowe złośliwe oprogramowanie wykorzystuje aplikacje już zainstalowane na komputerze, skutecznie uzbrajając komputer przeciwko sobie i innym komputerom.

Exploity na urządzeniach mobilnych: Android i iOS.

Największą obawą dla użytkowników urządzeń mobilnych jest instalowanie aplikacji, które nie zostały zatwierdzone przez Google i Apple. Pobieranie aplikacji spoza Google Play Store i Apple App Store oznacza, że nie zostały one zweryfikowane przez odpowiednie firmy. Te niezaufane aplikacje mogą próbować wykorzystać luki w systemie Android , aby uzyskać dostęp do urządzenia mobilnego, wykraść poufne informacje i wykonać inne złośliwe działania.

Jak mogę się chronić przed exploitami?

Exploity mogą być przerażające. Czy to oznacza, że powinniśmy wyrzucić nasze routery przez okno i udawać, że mamy do czynienia z komputerowymi Mrocznymi Wiekami sprzed Internetu? Z pewnością nie. Oto kilka wskazówek, jeśli chcesz proaktywnie podejść do ochrony przed exploitami.

  1. Bądź na bieżąco. Czy regularnie aktualizujesz swój system operacyjny i wszystkie zainstalowane aplikacje? Jeśli odpowiedziałeś "nie", możesz być potencjalną ofiarą cyberprzestępców. Po tym, jak exploit zero-day zostanie ujawniony producentowi oprogramowania i zostanie wydana łatka, na indywidualnym użytkowniku spoczywa obowiązek łatania i aktualizowania oprogramowania. W rzeczywistości exploity zero-day stają się bardziej niebezpieczne i rozpowszechnione po ich upublicznieniu, ponieważ szersza grupa podmiotów stanowiących zagrożenie wykorzystuje exploity. Skontaktuj się z dostawcami oprogramowania i sprawdź, czy są dostępne aktualizacje lub poprawki. Jeśli to możliwe, przejdź do ustawień oprogramowania i włącz automatyczne aktualizacje, aby te aktualizacje odbywały się automatycznie w tle bez dodatkowego wysiłku z Twojej strony. Wyeliminuje to czas opóźnienia między ogłoszeniem luki w zabezpieczeniach a jej załataniem. Cyberprzestępcy żerują na ludziach, którzy zapominają lub po prostu nie wiedzą, jak aktualizować i łatać swoje oprogramowanie.
  2. Aktualizacja oprogramowania. W niektórych przypadkach aplikacja staje się tak stara i nieporęczna, że producent oprogramowania przestaje ją wspierać(abandonware), co oznacza, że wszelkie dodatkowe wykryte błędy nie zostaną naprawione. Zgodnie z poprzednią radą, upewnij się, że Twoje oprogramowanie jest nadal wspierane przez producenta. Jeśli nie jest, zaktualizuj je do najnowszej wersji lub zmień na coś innego, co robi to samo.
  3. Bądź bezpieczny w sieci. Upewnij się, że Microsoft SmartScreen lub Google Safe Browsing są włączone w Twojej przeglądarce internetowej. Twoja przeglądarka sprawdzi każdą odwiedzaną stronę w czarnych listach prowadzonych przez Microsoft i Google i skieruje Cię z dala od stron znanych z instalowania złośliwego oprogramowania. Skuteczne narzędzia antywirusowe, takie jak Malwarebytes, na przykład, również zablokują złe strony, oferując wiele warstw ochrony.
  4. Używaj albo strać. Hackers będą hakować. Niewiele możemy na to poradzić. Ale jeśli nie ma oprogramowania, nie ma podatności. Jeśli nie używasz już oprogramowania - usuń je z komputera. Hackers nie mogą włamać się do czegoś, czego nie ma.
  5. Instaluj autoryzowane aplikacje. Jeśli chodzi o bezpieczeństwo na urządzeniu mobilnym, trzymaj się tylko autoryzowanych aplikacji. Są sytuacje, w których możesz chcieć wyjść poza App Store i Google Play Store, na przykład podczas beta-testowania nowej aplikacji, ale powinieneś mieć podwójną pewność, że możesz zaufać twórcy aplikacji. Ogólnie rzecz biorąc, trzymaj się zatwierdzonych aplikacji, które zostały sprawdzone przez Apple i Google.
  6. Używaj oprogramowania anty-exploitowego. Załóżmy, że podjęto wszystkie niezbędne środki ostrożności, aby uniknąć ataków wykorzystujących exploity. A co z exploitami zero-day? Pamiętaj, exploit zero-day to luka w oprogramowaniu, o której wiedzą tylko cyberprzestępcy. Nie ma zbyt wiele, co możemy zrobić, aby chronić się przed znanymi zagrożeniami. Czy aby na pewno? Dobre oprogramowanie antywirusowe, jak Malwarebytes dla Windows, Malwarebytes dla Mac, Malwarebytes dla Android lub Malwarebytes dla iOS, może proaktywnie wykrywać i blokować złośliwe oprogramowanie przed wykorzystaniem luk w systemie za pomocą analizy heurystycznej ataku. Innymi słowy, jeśli podejrzany program jest skonstruowany i działa jak malware, Malwarebytes go oznacza i poddaje kwarantannie.

Powiązane artykuły

FAQ

Czym jest luka w zabezpieczeniach komputera?

Czy luki w zabezpieczeniach to to samo co złośliwe oprogramowanie?

Co to jest exploit zero-day?

Jakie oprogramowanie jest najczęściej celem ataków wykorzystujących luki w zabezpieczeniach?

Czym jest zestaw exploitów?

W jaki sposób zazwyczaj rozpowszechniane są luki w zabezpieczeniach?

Jak mogę się chronić przed exploitami?

W jaki sposób luki w zabezpieczeniach stanowią zagrożenie dla firm?

Czy urządzenia mobilne są podatne na ataki?