Exploit

Exploity wykorzystują luki w oprogramowaniu, ukryte w kodzie systemu operacyjnego i jego aplikacji, które cyberprzestępcy wykorzystują do uzyskania nielegalnego dostępu do systemu.

POBIERZ DARMOWY ANTIVIRUS

Co musisz wiedzieć o exploitach komputerowych.

Komputerowe exploity. Czym są i dlaczego powinno Cię to obchodzić?

Zauważyłeś kiedyś, jak programiści wiecznie łatają i aktualizują swoje oprogramowanie — czasem wydając aktualizacje raptem kilka dni po wydaniu pierwotnej wersji oprogramowania?

To dlatego, że każde oprogramowanie, jakie posiadasz i będziesz posiadać w swoim życiu, będzie miało luki, które cyberprzestępcy mogą znaleźć i wykorzystać — innymi słowy, „exploitować.” Nie istnieje coś takiego jak oprogramowanie wolne od exploitów — zawsze będą w nim jakieś dziury. Oprogramowanie komputerowe jest zwarte jak blok szwajcarskiego sera.

Za pomocą exploitów cyberprzestępcy mogą uzyskać dostęp do Twojego komputera i kraść wrażliwe informacje lub instalować złośliwe oprogramowanie. Mimo spowolnienia aktywności exploitów, cyberprzestępcy nadal polegają na tej ukrytej metodzie ataku. Mając to na uwadze, teraz jest idealny moment, aby się zorientować w temacie exploitów i odpowiednio się zabezpieczyć. Przewiń dalej, czytaj i dowiedz się wszystkiego, co musisz wiedzieć o exploitach komputerowych.

Co to jest exploit? Definicja exploita.

Komputerowy exploit to rodzaj złośliwego oprogramowania, które wykorzystuje błędy lub luki, dzięki którym cyberprzestępcy uzyskują bezprawny dostęp do systemu. Te luki są ukryte w kodzie systemu operacyjnego i jego aplikacjach, czekając na odkrycie i wykorzystanie przez cyberprzestępców. Najczęściej wykorzystywanym oprogramowaniem są sam system operacyjny, przeglądarki, Microsoft Office i aplikacje firm trzecich. Czasami exploity są pakowane przez grupy cyberprzestępców w tzw. exploit kit. Pakiety exploitów ułatwiają przestępcom o ograniczonej wiedzy technicznej używanie exploitów i rozprzestrzenianie złośliwego oprogramowania.

Aby lepiej zrozumieć czym są exploity, warto przypomnieć sobie drogie zamki rowerowe i cylindryczne do laptopów popularne na początku lat 2000. Ludzie płacili ponad 50 dolarów za te zamki, myśląc, że chronią swoje kosztowności, aż ktoś zamieścił wideo online pokazujące, jak można je otworzyć w kilka sekund przy użyciu taniego i łatwo dostępnego długopisu Bic.

Zmusiło to producentów zamków do zaktualizowania swoich zamków, a konsumenci musieli przejść na nowe zamki odporne na włamania. Jest to namacalne wykorzystanie fizycznego systemu bezpieczeństwa. Jeśli chodzi o oprogramowanie, cyberprzestępcy szukają sprytnych sztuczek, podobnie jak facet z długopisem Bic, które pozwolą im uzyskać dostęp do komputerów, urządzeń mobilnych i sieci innych osób.

Ataki z wykorzystaniem exploitów często zaczynają się od złośliwej poczty i pobierania plików drive-by download. Cyberprzestępcy nakłaniają niczego niepodejrzewające ofiary do otwarcia zainfekowanego załącznika wiadomości e-mail lub kliknięcia linków przekierowujących do złośliwej witryny. Zainfekowane załączniki, często dokumenty Word lub PDF, zawierają kod exploita zaprojektowany w celu wykorzystania słabości aplikacji.

Ataki typu drive-by download wykorzystują luki w zabezpieczeniach przeglądarki, na przykład Internet Explorer lub Firefox, lub wtyczek działających w przeglądarce, takich jak Flash. Użytkownik może odwiedzić witrynę, którą w przeszłości odwiedzał bezpiecznie, ale tym razem witryna została zhakowana, a użytkownik nawet o tym nie wie. Możesz też kliknąć złośliwy link w wiadomości spamowej, który przeniesie Cię do sfałszowanej wersji znanej witryny.

W szczególnie podstępnych przypadkach użytkownik może odwiedzić legalną witrynę wyświetlającą reklamę lub wyskakujące okienko zainfekowane złośliwym oprogramowaniem - znanym również jako malvertising. Po odwiedzeniu witryny złośliwy kod na stronie internetowej będzie działał niewidocznie w tle, aby załadować złośliwe oprogramowanie na komputer.

Cyberprzestępcy wykorzystują exploity jako środek do osiągnięcia złośliwego celu, od irytującego problemu po paraliżującą uciążliwość. Cyberprzestępcy mogą próbować wykorzystać zasoby komputera do pracy w botnecie zombie w celu przeprowadzenia ataku DDoS lub wydobycia Bitcoinów(cryptojacking).

Alternatywnie, cyberprzestępcy mogą próbować zainstalować oprogramowanie reklamowe i zalać pulpit reklamami. Cyberprzestępcy mogą chcieć dostać się do systemu i wykraść dane lub zainstalować złośliwe oprogramowanie, aby potajemnie zbierać dane(oprogramowanie szpiegujące). Wreszcie, cyberprzestępcy mogą zainstalować złośliwe oprogramowanie, które szyfruje wszystkie pliki i żąda zapłaty w zamian za klucz szyfrowania(ransomware).

Co to jest exploit zero-day?

Dzień Zero! Ten jeden dzień w roku, w którym zatrzymujemy się, aby docenić skromne małe zero. Gdyby to tylko była prawda. W rzeczywistości exploit zero-day, znany również jako exploit zero-hour, to luka w oprogramowaniu, o której nie wie nikt poza cyberprzestępcą, który ją stworzył i dla której nie ma dostępnej poprawki. Gdy exploit staje się publicznie znany, nie jest już zero-day. Czasami znany exploit jest określany jako n-day exploit, co oznacza, że minął jeden lub więcej dni od jego upublicznienia.

Gdy exploit zero-day staje się informacją publiczną, twórcy oprogramowania ścigają się z przestępcami, aby załatać exploita, zanim przestępcy będą mogli go wykorzystać i czerpać korzyści. Na szczęście badacze mają skrupuły. Jeśli badacze znajdą exploit przed przestępcami, zazwyczaj zgłaszają usterkę producentowi i dają mu szansę na jej naprawienie, zanim powiadomią opinię publiczną (i przestępców).

Proaktywne poszukiwanie exploitów stało się sportem dla niektórych hakerów. W corocznym konkursie Pwn2own eksperci od exploitów zdobywają gotówkę i nagrody za udane włamania do popularnego oprogramowania w wielu kategoriach, w tym przeglądarek internetowych i aplikacji korporacyjnych. Jako dowód zainteresowania bezpieczeństwem oprogramowania, Microsoft i VMware sponsorowały wydarzenie Pwn2own w 2018 roku.

Na temat podejścia twórców oprogramowania do proaktywnego poszukiwania i naprawiania exploitów, David Sanchez, główny inżynier ds. badań Malwarebytes, powiedział: „To prawda, że Microsoft i inni twórcy oprogramowania bardzo ciężko pracują, aby zabezpieczyć swoje aplikacje, takie jak Office—eksploatacja ich stała się trudna—prawie niemożliwa. Specjaliści ds. bezpieczeństwa i cyberprzestępcy wciąż znajdują sposób na ich pomyślne exploitowanie. 100-procentowe bezpieczeństwo to tylko iluzja, ale aplikacje Malwarebytes chronią ludzi jak najbliżej tego 100 procent.”

„100-procentowe bezpieczeństwo to tylko iluzja. Aplikacje Malwarebytes chronią ludzi jak najbliżej tego 100 procent.”
– David Sanchez
Główny inżynier ds. badań Malwarebytes

Historia exploitów komputerowych.

Exploity są tak stare jak komputery. Jak już wspomnieliśmy, każde oprogramowanie ma luki w zabezpieczeniach, a na przestrzeni lat było ich naprawdę sporo. Oto krótki przegląd niektórych z bardziej znanych exploitów komputerowych.

Nasza eksploracja największych (tj. najgorszych) exploitów na świecie rozpoczyna się w 1988 roku od robaka Morris, jednego z pierwszych robaków komputerowych i exploitów. Nazwany na cześć swojego twórcy Roberta Tappana Morrisa, tytułowy robak został zaprojektowany, aby dowiedzieć się, jak duży był Internet w tych wczesnych latach formacyjnych, wykorzystując różne luki w zabezpieczeniach w celu uzyskania dostępu do kont i określenia liczby komputerów podłączonych do sieci.

Robak wymknął się spod kontroli, infekując komputery wielokrotnie, uruchamiając kilka kopii robaka jednocześnie, aż zabrakło zasobów dla legalnych użytkowników. Robak Morris skutecznie stał się atakiem DDOS.

Robak SQL Slammer szturmem podbił świat w 2003 roku, wciągając do swojego botnetu około 250 000 serwerów z oprogramowaniem SQL Server firmy Microsoft. Po zainfekowaniu serwera, robak stosował atak rozproszony, generując losowe adresy IP i wysyłając na nie zainfekowany kod. Jeśli na docelowym serwerze zainstalowany był SQL Server, on również był infekowany i dodawany do botnetu. W wyniku ataku SQL Slammer 13 000 bankomatów Bank of America zostało wyłączonych.

Robak Conficker z 2008 roku jest godny uwagi z kilku powodów. Po pierwsze, w swoim botnecie zgromadził wiele komputerów - według doniesień w szczytowym momencie było to 11 milionów urządzeń. Po drugie, Conficker spopularyzował rodzaj podstępu stosowanego przez wirusy w celu uniknięcia wykrycia, zwanego algorytmem generowania domeny (DGA). Krótko mówiąc, technika DGA pozwala złośliwemu oprogramowaniu na niekończącą się komunikację z serwerem dowodzenia i kontroli (C&C ) poprzez generowanie nowych domen i adresów IP.

Zaprojektowany w celu zaatakowania irańskiego programu nuklearnego, robak Stuxnet z 2010 roku wykorzystał wiele luk zero-day w Windows , aby uzyskać dostęp do systemu. Stamtąd robak był w stanie sam się replikować i rozprzestrzeniać z jednego systemu do drugiego.

Odkryty w 2014 roku exploit Heartbleed został wykorzystany do zaatakowania systemu szyfrowania, który umożliwia komputerom i serwerom prywatną komunikację. Innymi słowy, cyberprzestępcy mogli wykorzystać exploit do podsłuchiwania cyfrowych rozmów użytkowników. System szyfrowania, zwany OPEN SSL, był używany na 17,5% lub pół miliona "bezpiecznych" serwerów internetowych. To bardzo dużo podatnych na ataki danych.

Ponieważ jest to problem związany z odwiedzanymi stronami internetowymi (po stronie serwera), a nie z komputerem użytkownika (po stronie klienta), załatanie tego exploita należy do administratorów sieci. Większość renomowanych stron internetowych załatała ten exploit lata temu, ale nie wszystkie, więc nadal jest to kwestia, o której należy pamiętać.

Rok 2017 był sztandarowym rokiem dla oprogramowania ransomware. Ataki ransomware WannaCry i NotPetya wykorzystały exploity EternalBlue/DoublePulsar Windows , aby wkraść się na komputery i przetrzymywać dane jako zakładników. Łącznie te dwa ataki spowodowały szkody o wartości 18 miliardów dolarów na całym świecie. Atak NotPetya w szczególności tymczasowo sparaliżował - oprócz wielu innych - fabrykę czekolady Cadbury i producenta prezerwatyw Durex. Hedoniści na całym świecie wstrzymali oddech do czasu załatania exploita.

Atak na Equifax w 2017 roku mógłby zostać uniknięty, gdyby agencja kredytowa dołożyła większych starań, by ich oprogramowanie było aktualne. W tym przypadku luka w oprogramowaniu, którą cyberprzestępcy wykorzystali do włamania się do sieci danych Equifax, była już dobrze znana i dostępna była do niej poprawka. Zamiast załatać luki, Equifax i ich przestarzałe oprogramowanie pozwoliły cyberprzestępcom ukraść dane osobowe setek milionów klientów w USA. „Dzięki.”

Zanim użytkownicy Apple pomyślą, że komputery Mac są odporne na ataki wykorzystujące exploity, przypomnijcie sobie o błędzie root z 2017 roku, który pozwalał cyberprzestępcom na pełny dostęp do komputera po prostu wpisując słowo „root” w polu nazwy użytkownika i dwukrotnie naciskając enter. Ten błąd szybko naprawiono, zanim cyberprzestępcy mogli go wykorzystać, ale pokazuje to, że każde oprogramowanie może mieć exploitable bugs. Na dodatek poinformowaliśmy, że exploity w systemach Mac wzrastają. Pod koniec 2017 roku było o 270% więcej unikalnych zagrożeń dla platformy Mac niż w 2016 roku.

Ostatnio nie było zbyt wielu wiadomości w świecie exploitów przeglądarkowych. Z drugiej strony, zestawy exploitów dla pakietu Office wykazują tendencję wzrostową. Od 2017 roku zauważyliśmy wzrost wykorzystania zestawów exploitów opartych na pakiecie Office. Jesienią tego roku po raz pierwszy informowaliśmy o wielu innowacyjnych exploitach Worda, w tym jednym ukrytym w fałszywych powiadomieniach IRS i innym ataku typu zero-day ukrytym w dokumentach Worda - wymagającym niewielkiej lub żadnej interakcji ze strony ofiary w celu zainicjowania.

Widzimy teraz nowy typ zestawu exploitów Office, który nie polega na makrach; tj. specjalny kod osadzony w dokumencie, aby wykonać swoją brudną robotę. Ten zestaw exploitów zamiast tego wykorzystuje dokument jako przynętę, uruchamiając automatyczne pobieranie, które wdraża exploita.

Od niedawna cyberprzestępcy wdrażają bezplikowe złośliwe oprogramowanie, nazwane tak, ponieważ ten rodzaj złośliwego oprogramowania nie polega na kodzie zainstalowanym na komputerze docelowym. Zamiast tego bezplikowe złośliwe oprogramowanie wykorzystuje aplikacje już zainstalowane na komputerze, skutecznie uzbrajając komputer przeciwko sobie i innym komputerom.

"Bezplikowe złośliwe oprogramowanie wykorzystuje aplikacje już zainstalowane na komputerze, skutecznie uzbrajając komputer przeciwko sobie i innym komputerom".

Exploity na urządzeniach mobilnych: Android i iOS.

Największą obawą dla użytkowników urządzeń mobilnych jest instalowanie aplikacji, które nie zostały zatwierdzone przez Google i Apple. Pobieranie aplikacji spoza Google Play Store i Apple App Store oznacza, że nie zostały one zweryfikowane przez odpowiednie firmy. Te niezaufane aplikacje mogą próbować wykorzystać luki w iOS/Android , aby uzyskać dostęp do urządzenia mobilnego, wykraść poufne informacje i wykonać inne złośliwe działania.

Jak mogę się chronić przed exploitami?

Exploity mogą być przerażające. Czy to oznacza, że powinniśmy wyrzucić nasze routery przez okno i udawać, że mamy do czynienia z komputerowymi Mrocznymi Wiekami sprzed Internetu? Z pewnością nie. Oto kilka wskazówek, jeśli chcesz proaktywnie podejść do ochrony przed exploitami.

  1. Bądź na bieżąco. Czy regularnie aktualizujesz swój system operacyjny i wszystkie zainstalowane aplikacje? Jeśli odpowiedziałeś "nie", możesz być potencjalną ofiarą cyberprzestępców. Po tym, jak exploit dnia zerowego zostanie ujawniony producentowi oprogramowania i zostanie wydana łatka, na indywidualnym użytkowniku spoczywa obowiązek łatania i aktualizowania oprogramowania. W rzeczywistości exploity zero-day stają się bardziej niebezpieczne i rozpowszechnione po ich upublicznieniu, ponieważ szersza grupa podmiotów stanowiących zagrożenie wykorzystuje exploity. Skontaktuj się z dostawcami oprogramowania i sprawdź, czy są dostępne aktualizacje lub poprawki. Jeśli to możliwe, przejdź do ustawień oprogramowania i włącz automatyczne aktualizacje, aby te aktualizacje odbywały się automatycznie w tle bez dodatkowego wysiłku z Twojej strony. Wyeliminuje to czas opóźnienia między ogłoszeniem luki w zabezpieczeniach a jej załataniem. Cyberprzestępcy żerują na ludziach, którzy zapominają lub po prostu nie wiedzą, jak aktualizować i łatać swoje oprogramowanie.
  2. Aktualizacja oprogramowania. W niektórych przypadkach aplikacja staje się tak stara i nieporęczna, że producent oprogramowania przestaje ją wspierać(abandonware), co oznacza, że wszelkie dodatkowe wykryte błędy nie zostaną naprawione. Zgodnie z poprzednią radą, upewnij się, że Twoje oprogramowanie jest nadal wspierane przez producenta. Jeśli nie jest, zaktualizuj je do najnowszej wersji lub zmień na coś innego, co robi to samo.
  3. Bądź bezpieczny w sieci. Upewnij się, że Microsoft SmartScreen lub Google Safe Browsing są włączone w Twojej przeglądarce internetowej. Twoja przeglądarka sprawdzi każdą odwiedzaną stronę w czarnych listach prowadzonych przez Microsoft i Google i skieruje Cię z dala od stron znanych z instalowania złośliwego oprogramowania. Skuteczne narzędzia antywirusowe, takie jak Malwarebytes, na przykład, również zablokują złe strony, oferując wiele warstw ochrony.
  4. Używaj albo strać. Hakerzy będą hakować. Niewiele możemy na to poradzić. Ale jeśli nie ma oprogramowania, nie ma podatności. Jeśli nie używasz już oprogramowania - usuń je z komputera. Hakerzy nie mogą włamać się do czegoś, czego nie ma.
  5. Instaluj autoryzowane aplikacje. Jeśli chodzi o bezpieczeństwo na urządzeniu mobilnym, trzymaj się tylko autoryzowanych aplikacji. Są sytuacje, w których możesz chcieć wyjść poza App Store i Google Play Store, na przykład podczas beta-testowania nowej aplikacji, ale powinieneś mieć podwójną pewność, że możesz zaufać twórcy aplikacji. Ogólnie rzecz biorąc, trzymaj się zatwierdzonych aplikacji, które zostały sprawdzone przez Apple i Google.
  6. Używaj oprogramowania anty-exploitowego. Załóżmy, że podjęto wszystkie niezbędne środki ostrożności, aby uniknąć ataków wykorzystujących exploity. A co z exploitami zero-day? Pamiętaj, exploit zero-day to luka w oprogramowaniu, o której wiedzą tylko cyberprzestępcy. Nie ma zbyt wiele, co możemy zrobić, aby chronić się przed znanymi zagrożeniami. Czy aby na pewno? Dobre oprogramowanie antywirusowe, jak Malwarebytes dla Windows, Malwarebytes dla Mac, Malwarebytes dla Android lub Malwarebytes dla iOS, może proaktywnie wykrywać i blokować złośliwe oprogramowanie przed wykorzystaniem luk w systemie za pomocą analizy heurystycznej ataku. Innymi słowy, jeśli podejrzany program jest skonstruowany i działa jak malware, Malwarebytes go oznacza i poddaje kwarantannie.

Jak exploity wpływają na mój biznes?

Pod wieloma względami Twoja firma stanowi bardziej wartościowy cel dla cyberprzestępców i exploitów niż indywidualny konsument - więcej danych do kradzieży, więcej do zatrzymania dla okupu i więcej punktów końcowych do zaatakowania.

Weźmy na przykład naruszenie danych Equifax. W tym przypadku cyberprzestępcy wykorzystali exploit w Apache Struts 2, aby uzyskać dostęp do sieci Equifax i eskalować swoje uprawnienia użytkownika. Gdy atakujący znaleźli się w sieci, stali się administratorami systemu, uzyskując dostęp do wrażliwych danych milionów konsumentów. Nikt nie zna pełnych skutków ataku na Equifax, ale może on kosztować biuro kredytowe miliony dolarów. W toku są prace nad pozwem zbiorowym, a osoby fizyczne pozywają Equifax do sądu ds. drobnych roszczeń, wygrywając ponad 8 000 USD w każdej sprawie.

Oprócz eskalacji uprawnień, exploity mogą być użyte do wdrażania innych złośliwych programów, tak jak miało to miejsce w przypadku ataku ransomware NotPetya. NotPetya rozprzestrzeniła się w sieci, atakując zarówno osoby prywatne, jak i firmy. Wykorzystując exploity Windows EternalBlue i MimiKatz, NotPetya zdobyła przyczółek w sieci i rozprzestrzeniała się z komputera na komputer, blokując każdy punkt końcowy, szyfrując dane użytkowników i wstrzymując działalność. Komputery, smartfony, telefony VoIP, drukarki i serwery zostały unieruchomione. Łączne straty dla firm na całym świecie oszacowano na 10 miliardów dolarów.

Jak więc możesz chronić swoją firmę? Musisz pozbyć się słabości w swoim systemie dzięki skutecznej strategii zarządzania poprawkami. Oto kilka rzeczy, o których warto pamiętać, decydując, co jest najlepsze dla Twojej sieci.

  • Wdrażaj segmentację sieci. Rozdzielenie danych na mniejsze podsieci zmniejsza powierzchnię ataku — mniejsze cele są trudniejsze do trafienia. Może to pomóc ograniczyć wyciek danych do kilku punktów końcowych zamiast całej infrastruktury.
  • Stosuj zasadę najmniejszych uprawnień (PoLP). Krótko mówiąc, daj użytkownikom taki poziom dostępu, jaki jest im potrzebny do wykonywania pracy — i ani o jotę więcej. Ponownie, pomaga to ograniczyć szkody z powodu włamań lub ataków ransomware.
  • Bądź na bieżąco z aktualizacjami. Śledź Patch Tuesday i planuj wokół niego z wyprzedzeniem. Microsoft Security Response Center prowadzi bloga z wszystkimi najnowszymi informacjami o aktualizacjach. Możesz również zasubskrybować ich biuletyn e-mailowy, aby być na bieżąco z informacjami o tym, co jest poprawiane co miesiąc.
  • Priorytetyzuj swoje aktualizacje. Dzień po Patch Tuesday często nazywa się (żartobliwie) Exploit Wednesday. Cyberprzestępcy są wtedy świadomi potencjalnych luk i rozpoczyna się wyścig, aby zaktualizować systemy, zanim cyberprzestępcy zdążą zaatakować. Aby przyspieszyć proces łatania, warto rozważyć aktualizowanie punktów końcowych z poziomu jednego, centralnego agenta, zamiast pozostawiania tego w gestii użytkowników końcowych.
  • Przeprowadź audyt aktualizacji po ich wdrożeniu. Łatki powinny naprawiać oprogramowanie, ale czasami mogą coś popsuć. Warto zweryfikować, czy poprawki, które wdrożyłeś w swojej sieci, nie pogorszyły sytuacji i usunąć je, jeśli to konieczne.
  • Pozbądź się oprogramowania abandonware. Czasem trudno jest pozbyć się starego oprogramowania, które przekroczyło swoją datę ważności — zwłaszcza w dużej firmie, gdzie cykl zakupu trwa wiecznie, ale przestarzałe oprogramowanie to naprawdę najgorszy scenariusz dla sieci czy administratora systemu. Cyberprzestępcy aktywnie szukają systemów działających na przestarzałym oprogramowaniu, więc zastąp je tak szybko, jak to możliwe.
  • Oczywiście, dobre oprogramowanie zabezpieczające punkty końcowe jest kluczowym elementem każdego programu ochrony przed exploitami. Rozważ Malwarebytes. Dzięki Malwarebytes Endpoint Protection i Malwarebytes Endpoint Detection and Response mamy rozwiązanie dla wszystkich potrzeb związanych z bezpieczeństwem Twojego biznesu.

Na koniec, jeśli wciąż masz głód wiedzy o exploitach, zawsze możesz poczytać więcej na temat exploitów na blogu Malwarebytes Labs.

Nowości w świecie exploitów.


Recenzje zestawów exploitów: 

Recenzje zestawów exploitów: wiosna 2019
Recenzje zestawów exploitów: zima 2019
Recenzje zestawów exploitów: jesień 2018
Recenzje zestawów exploitów: lato 2018
Recenzje zestawów exploitów: wiosna 2018
Recenzje zestawów exploitów: zima 2018
Przeczytaj więcej newsów o exploitach i lukach na blogu Malwarebytes Labs.