Эксплойт

Эксплойты используют уязвимости программного обеспечения, скрытые в коде ОС и ее приложений, которые злоумышленники используют для получения незаконного доступа к вашей системе.

СКАЧАТЬ БЕСПЛАТНЫЙ АНТИВИРУС

Что нужно знать о компьютерных эксплойтах?

Компьютерные эксплойты. Что это и почему это важно?

Замечали ли вы, как разработчики программного обеспечения постоянно исправляют и обновляют свои продукты — иногда выпуская обновления через несколько дней после изначального релиза?

Это потому, что в каждом программном обеспечении, которым вы владеете или когда-либо будете владеть, есть уязвимости, которые киберпреступники могут обнаружить и использовать — другими словами, эксплуатировать. Не существует программного обеспечения без уязвимостей — всегда будут недостатки. Программное обеспечение так же прочно, как кусок швейцарского сыра.

С помощью эксплойтов киберпреступники могут получить доступ к вашему компьютеру и украсть конфиденциальную информацию или установить вредоносное ПО. Несмотря на замедление активности эксплойтов, киберпреступники продолжают полагаться на этот скрытный метод атаки. С этим в виду, сейчас самое время разобраться в теме эксплойтов и защитить себя соответствующим образом. Так что прокрутите вниз, читайте и узнайте все, что вам нужно знать о компьютерных эксплойтах.

Что такое эксплойт? Определение эксплойта

Компьютерный эксплойт – это вид вредоносного ПО, который использует ошибки или уязвимости, чтобы дать киберпреступникам нелегальный доступ к системе. Эти уязвимости скрыты в коде операционной системы и ее приложений и ждут, чтобы быть обнаруженными и использованными киберпреступниками. Наиболее часто атакуемое программное обеспечение включает в себя саму операционную систему, браузеры, Microsoft Office и сторонние приложения. Иногда эксплойты собираются в так называемые наборы эксплойтов киберпреступными группами. Наборы эксплойтов упрощают работу для преступников с ограниченными техническими знаниями, позволяя им использовать эксплойты и распространять вредоносное ПО.

Чтобы лучше понять что такое эксплойты, можно вспомнить дорогие вело- и ноутбучные цилиндрические замки, популярные в начале 2000-х. Люди тратили до 50 долларов на эти замки, думая, что они защищают их ценности, пока кто-то не выложил в интернет видео, показывающее, как открыть эти замки за считанные секунды с помощью дешевой и доступной ручки Bic.

Это вынудило производителей замков обновить свои замки, а потребители должны были перейти на новые, устойчивые к взлому замки. Это осязаемый пример эксплуатации физической системы безопасности. Что касается программного обеспечения, киберпреступники ищут такие же хитрые приемы, как и тот парень с ручкой Bic, которые позволят им получить доступ к компьютерам, мобильным устройствам и сетям других людей.

Атаки с помощью эксплойтов часто начинаются с вредоносной спам-рассылки и загрузок без ведома пользователя. Киберпреступники обманывают ничего не подозревающих жертв, чтобы они открыли зараженное вложение электронной почты или кликнули по ссылке, которая перенаправляет их на вредоносный сайт. Зараженные вложения, часто в виде документа Word или PDF, содержат код эксплойта, предназначенный для использования уязвимостей приложений.

Загрузки без ведома пользователя используют уязвимости вашего браузера, такие как Internet Explorer или Firefox, или плагинов, работающих внутри вашего браузера, например, Flash. Вы можете посетить веб-сайт, который безопасно посещали в прошлом, но на этот раз сайт был взломан, и вы даже не будете об этом знать. В качестве альтернативы, вы можете нажать на вредоносную ссылку в спам-письме, которая приведет вас на поддельную версию знакомого сайта.

А в некоторых хитроумных случаях вы можете посещать легитимный сайт, отображающий рекламу или всплывающее окно, зараженное вредоносным ПО — это также называется мальвертайзинг. При посещении сайта, вредоносный код на веб-странице работает незаметно на заднем плане, загружая вредоносное ПО в ваш компьютер.

Киберпреступники используют эксплойты для каких-то своих злонамеренных целей, варьирующихся от надоедливых неприятностей до серьезных неудобств. Киберпреступники могут попытаться использовать ресурсы вашего компьютера в зомби-ботнет для проведения DDoS-атаки или майнинга Bitcoin (криптоджекинг).

Кроме того, киберпреступники могут попробовать установить рекламное ПО и заполнить ваш рабочий стол рекламой. Киберпреступники могут захотеть попасть на вашу систему и просто украсть данные или установить вредоносное ПО, чтобы тайно собирать данные от вас с течением времени (шпионское ПО). В конце концов, киберпреступники могут установить вредоносное ПО, которое зашифрует все ваши файлы и запросит оплату за ключ для расшифровки (вымогательское ПО).

Что такое эксплойт нулевого дня?

Нулевой день! Единственный день в году, когда мы делаем паузу, чтобы признать это смиренное маленькое ноль. Если бы только это было правдой. На самом деле, эксплойт нулевого дня, также известный как эксплойт нулевого часа, — это уязвимость программного обеспечения, о которой никто, кроме создавшего её киберпреступника, не знает и для которой нет доступного исправления. Как только эксплойт становится общеизвестным, он перестает считаться эксплойтом нулевого дня. Иногда известный эксплойт называют n-дневным эксплойтом, указывая на количество дней, прошедших с момента его обнародования.

Как только эксплойт нулевого дня становится публичной информацией, производители программного обеспечения начинают гонку с преступниками в попытке исправить эксплойт до того, как преступники смогут воспользоваться им и получить выгоду. К счастью, исследователи ориентированы на этику. Если исследователи находят эксплойт раньше преступников, они обычно сообщают о дефекте производителю и дают возможность его исправить, прежде чем информировать широкую общественность (и преступников).

Активный поиск эксплойтов стал своего рода спортом для некоторых хакеров. На ежегодном конкурсе Pwn2own эксперты по эксплойтам зарабатывают деньги и призы за успешное взлом популярных программ в разных категориях, включая веб-браузеры и корпоративные приложения. В знак своей заинтересованности в безопасности программного обеспечения Microsoft и VMware спонсировали мероприятие Pwn2own в 2018 году.

Что касается того, что производители программного обеспечения проактивно находят и исправляют уязвимости, Дэвид Санчес, главный инженер по исследованиям Malwarebytes, сказал: «Это правда, что Microsoft и другие разработчики софта работают очень усердно, чтобы защитить свои приложения, такие как Office, и эксплуатировать их стало трудно — почти невозможно. Тем не менее, специалисты по безопасности и киберпреступники все еще находят способы успешно использовать эти уязвимости. 100-процентная безопасность — это всего лишь иллюзия, но приложения Malwarebytes защищают пользователей максимально близко к этой 100-процентной защите.»

"Стопроцентная безопасность - это иллюзия. Malwarebytes приложения защищают людей настолько близко к 100 процентам, насколько это возможно".
- Дэвид Санчес
Malwarebytes Главный инженер-исследователь

История компьютерных эксплойтов

Эксплойты столь же стары, как и вычислительная техника. Как мы уже упоминали, у любого программного обеспечения есть уязвимости, и за эти годы были некоторые весьма впечатляющие. Вот краткий обзор некоторых из наиболее известных компьютерных эксплойтов.

Наше исследование величайших (т.е. худших) эксплойтов начинается в 1988 году с червя Морриса, одного из первых компьютерных червей и эксплойтов. Названный в честь его создателя Роберта Таппана Морриса, одноименный червь был разработан с целью выяснения, каков был размер интернета на ранних этапах развития, используя различные уязвимости для доступа к учетным записям и определения количества компьютеров, подключенных к сети.

Червь вышел из-под контроля, заражая компьютеры несколько раз, одновременно запуская несколько копий червя, пока не оставалось ресурсов для легитимных пользователей. Червь Морриса фактически превратился в атаку DoS.

Червь SQL Slammer произвел фурор в 2003 году, подключив к своей ботнет-сети около 250,000 серверов, работающих на программном обеспечении Microsoft SQL Server. Как только сервер заражался, он использовал стиль атаки наугад, генерируя случайные IP-адреса и отправляя зараженный код на эти адреса. Если сервер-цель был с установленным SQL Server, он также заражался и добавлялся в ботнет. Результатом SQL Slammer стало отключение 13,000 банкоматов Bank of America.

Червь Conficker 2008 года примечателен по нескольким причинам. Во-первых, он привлек в свою ботнет-сеть множество компьютеров — на пике деятельности это количество достигло 11 миллионов устройств. Во-вторых, Conficker популяризировал метод уклонения от обнаружения, который используют вирусы, называемый алгоритмом генерации доменов (DGA). Вкратце, метод DGA позволяет дать вредоносному ПО бесконечные способы коммуникации с сервером управления и контроля (C&C), генерируя новые домены и IP-адреса.

Созданный для атаки на ядерную программу Ирана, червь Stuxnet 2010 года использовал несколько уязвимостей нулевого дня в Windows для получения доступа к системе. После этого червь мог самовоспроизводиться и распространяться с одной системы на другую.

Обнаруженный в 2014 году, эксплойт Heartbleed использовался для атаки на систему шифрования, которая позволяет компьютерам и серверам вести приватные диалоги. Другими словами, киберпреступники могли использовать эксплойт, чтобы подслушивать ваши цифровые разговоры. Система шифрования, называемая OPEN SSL, использовалась на 17,5% или полмиллиона «защищенных» веб-серверов. Это множество уязвимых данных.

Поскольку это проблема для вебсайтов, которые вы посещаете (на стороне сервера), а не для вашего компьютера (на стороне клиента), администраторы сетей должны устранить эту уязвимость. Многие уважаемые сайты устранили эту уязвимость годы назад, но не все, так что это все еще остается проблемой, требующей внимания.

2017 год выдался удачным для программ-вымогателей. Атаки WannaCry и NotPetya использовали эксплойты Windows EternalBlue/DoublePulsar, чтобы проникнуть на компьютеры и взять данные в заложники. В сумме эти две атаки причинили ущерб в $18 миллиардов по всему миру. Атака NotPetya особенно временно вывела из строя — среди прочих — шоколадную фабрику Cadbury и компанию-производителя презервативов Durex. Наслаждающиеся жизнью по всему миру затаили дыхание, пока эксплойт не был устранен.

Атака на Equifax в 2017 году могла быть предотвращена, если бы кредитное агентство сделало больше усилий, чтобы поддерживать свое программное обеспечение в актуальном состоянии. В данном случае, уязвимость в программном обеспечении, использованная киберпреступниками для проникновения в сеть Equifax, была уже хорошо известна, и исправление было доступно. Вместо того чтобы исправить ситуацию, Equifax и их устаревшее программное обеспечение позволили киберпреступникам украсть личную информацию сотен миллионов клиентов в США. «Спасибо.»

Теперь, перед тем как пользователи Apple начнут думать, что компьютеры Mac не подвержены атакам на базе эксплойтов, вспомните об ошеломляющем ошибке root 2017 года, которая позволяла киберпреступникам просто вводить слово «root» в поле имени пользователя и дважды нажать Enter, чтобы получить полный доступ к компьютеру. Эта ошибка была быстро исправлена до того, как киберпреступники могли этим воспользоваться, но это лишь показывает, что любое программное обеспечение может содержать уязвимые ошибки. Действительно, мы сообщили о том, что эксплойты на Mac растут. К концу 2017 года на платформе Mac было на 270 процентов больше уникальных угроз, чем в 2016 году.

В последнее время мало новостей из мира эксплойтов браузеров. С другой стороны, растет число наборов эксплойтов Office. С 2017 года мы заметили рост использования наборов эксплойтов, основанных на Office. Осенью того года мы впервые сообщили о нескольких инновационных эксплойтах Word, в том числе одном, скрытом в поддельных уведомлениях от IRS, и другом атаке нулевого дня, скрытом в документах Word, которые требовали от жертвы минимального взаимодействия для запуска.

Теперь мы наблюдаем новый тип набора эксплойтов для Office, который не полагается на макросы; т.е. на специальный код, встроенный в документ, для выполнения своих грязных дел. Этот набор эксплойтов, вместо этого, использует документ в качестве отвлекающего маневра, в то время как он запускает автоматическую загрузку, которая разворачивает эксплойт.

В последнее время киберпреступники начали использовать бесфайловое вредоносное ПО, так называемое, потому что этот вид вредоносного ПО не зависит от кода, установленного на целевом компьютере, для своей работы. Вместо этого, бесфайловое вредоносное ПО эксплуатирует уже установленные на компьютере приложения, фактически превращая компьютер в оружие против самого себя и других компьютеров.

«Бесфайловое вредоносное ПО эксплуатирует уже установленные на компьютере приложения, фактически превращая компьютер в оружие против самого себя и других компьютеров.»

Эксплойты на мобильных устройствах: Android и iOS

Основная забота для мобильных пользователей — это установка приложений, не одобренных Google и Apple. Скачивание приложений вне магазина Google Play и App Store Apple означает, что приложения не были проверены соответствующими компаниями. Эти недоверенные приложения могут попытаться использовать уязвимости iOS/Android для доступа к вашему мобильному устройству, кражи конфиденциальной информации и выполнения других злонамеренных действий.

Как защитить себя от эксплойтов?

Эксплойты могут быть пугающими. Означает ли это, что нам стоит выбросить наши роутеры в окно и притвориться, что это темные века до интернета? Конечно нет. Вот несколько советов, если вы хотите защититься от эксплойтов.

  1. Держите всё в актуальном состоянии. Вы регулярно обновляете свою операционную систему и все установленные приложения? Если ответ отрицательный, вы становитесь потенциальной жертвой киберпреступников. После того как эксплойт нулевого дня становится известен вендору и выпущен патч, ответственность за установку и обновление программного обеспечения лежит на пользователе. Более того, эксплойты нулевого дня становятся ещё опаснее и распространяются шире после того, как они становятся общеизвестными, потому что теперь более широкая группа вредоносных пользователей может использовать эксплойт. Регулярно проверяйте наличие обновлений и патчей у ваших поставщиков программного обеспечения. Если возможно, зайдите в настройки вашего программного обеспечения и включите автоматическое обновление, чтобы эти обновления происходили автоматически в фоновом режиме без лишних усилий с вашей стороны. Это поможет сократить время между анонсированием уязвимости и её устранением. Киберпреступники охотятся на тех, кто забывает или просто не знает о необходимости обновления и исправления своего программного обеспечения.
  2. Обновляйте своё программное обеспечение. В некоторых случаях приложение становится настолько устаревшим и громоздким, что производитель прекращает его поддержку (заброшенное ПО), что означает, что любые дополнительные ошибки, которые будут обнаружены, не будут исправлены. Следуя предыдущему совету, убедитесь, что ваше программное обеспечение остаётся поддерживаемым. Если нет, обновитесь до последней версии или переключитесь на что-то другое, обеспечивающее ту же функциональность.
  3. Обеспечьте безопасность в Интернете. Убедитесь, что в выбранном вами веб-браузере включена функция Microsoft SmartScreen или Google Safe Browsing. Браузер будет проверять каждый посещаемый вами сайт по черным спискам, которые ведут Microsoft и Google, и отводить вас от сайтов, известных своими вредоносными программами. Эффективные средства защиты от вредоносного ПО, такие как Malwarebytesнапример, блокируют вредоносные сайты, обеспечивая многоуровневую защиту.
  4. Используете или удаляйте. Хакеры всегда будут пытаться. С этим мало, что можно сделать. Но если программное обеспечение отсутствует, нет и уязвимости. Если вы больше не используете программу — удалите её с компьютера. Хакеры не могут взломать то, чего нет.
  5. Устанавливайте только разрешённые приложения. Чтобы оставаться в безопасности на вашем мобильном устройстве, придерживайтесь только разрешённых приложений. Бывают случаи, когда вы хотите загрузить приложение вне магазина App Store и Google Play, например, при бета-тестировании нового приложения, но вы должны быть дважды уверены в надежности разработчика приложения. Однако, как правило, придерживайтесь одобренных приложений, которые были проверены Apple и Google.
  6. Используйте программное обеспечение для защиты от эксплойтов. Итак, вы приняли все необходимые меры предосторожности, чтобы избежать атак на основе эксплойтов. А как насчет эксплойтов нулевого дня? Помните, что эксплойт нулевого дня - это уязвимость в программном обеспечении, о которой знают только киберпреступники. Мы мало что можем сделать, чтобы защитить себя от угроз, о которых не знаем. А может, и есть? Хорошая программа для защиты от вредоносного ПО, например Malwarebytes для Windows, Malwarebytes для Mac, Malwarebytes для Android или Malwarebytes для iOS, может проактивно распознавать и блокировать вредоносные программы, использующие уязвимости на вашем компьютере, используя эвристический анализ атаки. Другими словами, если подозрительная программа по структуре и поведению похожа на вредоносное ПО, Malwarebytes отметит ее и поместит в карантин.

Как эксплойты влияют на мой бизнес?

Во многих отношениях ваш бизнес представляет собой более ценную цель для киберпреступников и эксплойтов, чем отдельные потребители — больше данных для кражи, больше для взятия в заложники и больше конечных точек для атаки.

Возьмем, к примеру, утечку данных Equifax. В этом случае киберпреступники использовали эксплойт Apache Struts 2, чтобы получить доступ к сети Equifax и повысить свои пользовательские привилегии. Как только злоумышленники оказались в сети, они становились администраторами системы, получая доступ к конфиденциальным данным миллионов потребителей. Никто не знает полного масштаба последствий атаки на Equifax, но она может обойтись кредитному бюро в миллионы долларов. Уже запускается массовый судебный процесс, и индивидуальные лица подают Equifax в суд и выигрывают по делам до $8,000 за случай.

Помимо совершенствования прав, эксплойты могут использоваться для распространения другого вредоносного ПО — как в случае с атакой NotPetya. NotPetya распространялся по Интернету, атакуя как частных пользователей, так и компании. Используя Windows эксплойты EternalBlue и MimiKatz, NotPetya проник в сеть и распространялся с компьютера на компьютер, блокируя каждый узел, шифруя пользовательские данные и парализуя работу бизнеса. Компьютеры, смартфоны, стационарные телефоны VOIP, принтеры и серверы становились бесполезными. Общие убытки для бизнеса по всему миру оцениваются в 10 миллиардов долларов.

Так как же защитить свой бизнес? Необходимо избавиться от слабых мест в вашей системе с помощью хорошей стратегии управления патчами. Вот на что стоит обратить внимание, выбирая лучшее для вашей сети.

  • Внедрите сегментацию сети. Распределение данных по небольшим подсетям уменьшает поверхность атаки — небольшие цели труднее поразить. Это может помочь ограничить пробой лишь несколькими конечными точками, а не всей вашей инфраструктурой.
  • Примените принцип наименьших привилегий (PoLP). Вкратце, предоставляйте пользователям только тот уровень доступа, который им необходим для выполнения их работы, и ничего более. Это также помогает ограничить убытки от пробоев или атак программ-вымогателей.
  • Следите за обновлениями. Следите за вторником патчей и планируйте соответствующие действия. Центр реагирования Microsoft Security ведет блог со всей последней информацией об обновлениях. Вы также можете подписаться на их электронную рассылку, чтобы быть в курсе того, что исправляется каждый месяц.
  • Расставьте приоритеты для ваших обновлений. День после Patch Tuesday иногда в шутку называют Exploit Wednesday. Киберпреступники узнают о потенциальных уязвимостях, и начинается гонка, чтобы обновить системы до того, как они смогут атаковать. Чтобы ускорить процесс обновления, стоит запустить обновления на каждом конечном устройстве из одного центрального агента, а не оставлять на усмотрение каждого пользователя.
  • Проведите аудит ваших обновлений постфактум. Обновления призваны исправлять программное обеспечение, но иногда они могут что-то сломать. Поэтому стоит проверять, что обновления не навредили вашей сети, и при необходимости удалить их.
  • Избавьтесь от outdated программ. Иногда трудно избавиться от старого ПО, особенно в крупных компаниях, где цикл закупок медленный, но прекращение использования устаревшего софта — худший сценарий для любого системного администратора. Киберпреступники активно ищут системы, использующие такие программы, так что замените их как можно скорее.
  • Конечно, хорошее программное обеспечение для защиты конечных точек является неотъемлемой частью любой программы защиты от эксплойтов. Рассмотрим Malwarebytes. С Malwarebytes Endpoint Protection и Malwarebytes Endpoint Detection and Response у нас есть решение для всех потребностей вашей компании в области безопасности.

Наконец, если все это не утолило вашу жажду знаний об эксплойтах, вы всегда можете прочитать больше об эксплойтах в блоге Malwarebytes Labs .

Новости об эксплойтах


Обзоры наборов эксплойтов: 

Наборы эксплойтов: обзор весны 2019 года
Наборы эксплойтов: обзор зимы 2019 года
Наборы эксплойтов: обзор осени 2018 года
Наборы эксплойтов: обзор лета 2018 года
Наборы эксплойтов: обзор весны 2018 года
Наборы эксплойтов: обзор зимы 2018 года
Читайте другие новости об эксплойтах и уязвимостях в блоге Malwarebytes Labs .