Что нужно знать о компьютерных эксплойтах
Компьютерные эксплойты. Что это такое и почему вас это должно волновать?
Вы когда-нибудь замечали, что разработчики программного обеспечения постоянно обновляют и исправляют свои программы, иногда выпуская обновления всего через несколько дней после первоначального релиза?
Потому что в каждом программном обеспечении, которым вы владеете и будете владеть всю свою жизнь, есть уязвимости, которые злоумышленники могут найти и использовать в своих интересах - другими словами, "эксплуатировать". Программ без уязвимостей не существует - дыры будут всегда. Компьютерное программное обеспечение так же прочно, как блок швейцарского сыра.
С помощью эксплойтов киберпреступники могут получить доступ к вашему компьютеру, украсть конфиденциальную информацию или установить вредоносное ПО. Несмотря на снижение активности эксплойтов, киберпреступники продолжают использовать этот скрытый метод атаки. Учитывая это, сейчас самое время ознакомиться с темой эксплойтов и защитить себя соответствующим образом. Итак, прокрутите страницу вниз, читайте дальше и узнайте все, что вам нужно знать о компьютерных эксплойтах.
Что такое эксплойт? Определение эксплойта
Компьютерный эксплойт - это тип вредоносного ПО, использующего ошибки или уязвимости, которые злоумышленники используют для получения незаконного доступа к системе. Эти уязвимости скрыты в коде операционной системы и ее приложений, которые только и ждут, чтобы их обнаружили и использовали злоумышленники. К числу обычно эксплуатируемых программ относятся сама операционная система, браузеры, Microsoft Office и приложения сторонних разработчиков. Иногда эксплойты собираются киберпреступными группами в так называемый набор эксплойтов. Наборы эксплойтов облегчают злоумышленникам с ограниченными техническими знаниями использование эксплойтов и распространение вредоносного ПО.
Чтобы лучше понять, что такое эксплойты, вспомните дорогие цилиндрические замки для велосипедов и ноутбуков, популярные в начале 2000-х годов. Люди платили за эти замки до 50 долларов, думая, что они надежно защищают их ценности, пока кто-то не выложил в сеть видео, демонстрирующее, как эти замки можно взломать за несколько секунд с помощью дешевой и доступной ручки Bic.
Это заставило производителей замков обновить их, а потребителей - перейти на новые замки с защитой от взлома. Это реальная эксплуатация физической системы безопасности. Что касается программного обеспечения, то киберпреступники, как и парень с ручкой Bic, ищут хитроумные уловки, которые позволят им получить доступ к чужим компьютерам, мобильным устройствам и сетям.
Атаки с использованием эксплойтов часто начинаются с рассылки вредоносного спама и загрузок по принципу drive-by. Киберпреступники обманом заставляют ничего не подозревающих жертв открыть зараженное вложение электронной почты или перейти по ссылкам, перенаправляющим на вредоносный веб-сайт. Инфицированные вложения, часто представляющие собой документ Word или PDF, содержат код эксплойта, предназначенный для использования слабых мест в приложениях.
Drive-by downloads используют уязвимости вашего браузера, например Internet Explorer или Firefox, или плагинов, работающих в браузере, таких как Flash. Вы можете зайти на сайт, который раньше посещали безопасно, но в этот раз сайт был взломан, а вы об этом даже не узнаете. Кроме того, вы можете нажать на вредоносную ссылку в спаме, которая приведет вас на поддельную версию знакомого сайта.
А в особо хитрых случаях вы можете посетить законный веб-сайт, на котором отображается реклама или всплывающее окно, зараженное вредоносным ПО - так называемый malvertising. После посещения сайта вредоносный код на веб-странице будет незаметно работать в фоновом режиме, чтобы загрузить вредоносное ПО на ваш компьютер.
Киберпреступники используют эксплойты как средство для достижения какой-либо злонамеренной цели, начиная от досадной проблемы и заканчивая калечащей неприятностью. Киберпреступники могут попытаться задействовать ресурсы вашего компьютера в зомби-ботнете для DDoS-атаки или для добычи биткоинов(криптоджекинг).
Кроме того, злоумышленники могут попытаться установить рекламное ПО и заполнить ваш рабочий стол рекламой. Киберпреступники могут захотеть проникнуть в вашу систему и украсть данные или установить вредоносное ПО для тайного сбора данных(шпионское ПО). Наконец, киберпреступники могут установить вредоносное ПО, которое зашифрует все ваши файлы и потребует оплаты в обмен на ключ шифрования(ransomware).
Что такое эксплойт нулевого дня?
Нулевой день! Единственный день в году, когда мы делаем паузу, чтобы признать скромный маленький ноль. Если бы только это было правдой. На самом деле, эксплойт нулевого дня, также известный как эксплойт нулевого часа, - это уязвимость программного обеспечения, о которой не знает никто, кроме создавшего ее киберпреступника, и для которой нет доступного исправления. Как только эксплойт становится общеизвестным, он перестает быть "нулевым днем". Иногда известный эксплойт называют эксплойтом n-day, что означает, что с момента обнародования эксплойта прошло один или несколько дней.
Когда информация об эксплойте нулевого дня становится достоянием общественности, производители программного обеспечения начинают гонку с преступниками, чтобы успеть поставить заплатку до того, как преступники смогут воспользоваться ею и извлечь выгоду. К счастью, исследователи не скупятся. Если исследователи находят эксплойт раньше преступников, они обычно сообщают об этом производителю и дают ему шанс исправить ошибку, прежде чем о ней узнает широкая общественность (и преступники).
Для некоторых хакеров активный поиск эксплойтов стал настоящим спортом. На ежегодном соревновании Pwn2own эксперты по эксплойтам получают деньги и призы за успешный взлом популярного программного обеспечения в различных категориях, включая веб-браузеры и корпоративные приложения. Демонстрируя свою заинтересованность в безопасности программного обеспечения, компании Microsoft и VMware выступили спонсорами мероприятия Pwn2own в 2018 году.
Дэвид Санчес (David Sanchez), главный инженер-исследователь сайта Malwarebytes , сказал: "Действительно, Microsoft и другие производители программного обеспечения прилагают все усилия для защиты своих приложений, таких как Office, и их использование стало практически невозможным. Security злоумышленники и киберпреступники все равно находят способ успешно их использовать. Стопроцентная безопасность - это иллюзия, но приложения Malwarebytes защищают людей настолько, насколько это возможно".
История компьютерных эксплойтов
Эксплойтам столько же лет, сколько и компьютерам. Как мы уже отмечали, уязвимости есть во всем программном обеспечении, и за прошедшие годы произошло несколько настоящих сенсаций. Вот краткая информация о некоторых наиболее известных компьютерных эксплойтах.
Наше исследование величайших (то есть худших) эксплойтов в мире начинается в 1988 году с червя Морриса, одного из первых компьютерных червей и эксплойтов. Названный в честь своего создателя Роберта Таппана Морриса, одноименный червь был призван выяснить, насколько велик был интернет в те первые годы становления, используя различные уязвимости для доступа к учетным записям и определения количества компьютеров, подключенных к сети.
Червь вышел из-под контроля, заражая компьютеры множество раз, запуская одновременно несколько копий червя, пока не осталось ресурсов для легальных пользователей. Червь Morris фактически превратился в DDOS-атаку.
Червь SQL Slammer захватил мир в 2003 году, собрав в свой ботнет около 250 000 серверов с программным обеспечением SQL Server от Microsoft. После заражения сервера червь использовал атаку по принципу "разброса", генерируя случайные IP-адреса и рассылая по ним зараженный код. Если на целевом сервере был установлен SQL Server, он тоже заражался и добавлялся в ботнет. В результате атаки SQL Slammer 13 000 банкоматов Bank of America были выведены из строя.
Червь Conficker, появившийся в 2008 году, примечателен по нескольким причинам. Во-первых, он объединил в свой ботнет огромное количество компьютеров - по сообщениям, 11 миллионов устройств в период своего расцвета. Во-вторых, Conficker популяризировал тип уловок, которые используют вирусы, чтобы избежать обнаружения, называемый алгоритмом генерации доменов (Domain Generating Algorithm, DGA). Вкратце, технология DGA позволяет вредоносной программе бесконечно общаться со своим командно-контрольным сервером (C&C), генерируя новые домены и IP-адреса.
Разработанный для атаки на ядерную программу Ирана, червь Stuxnet 2010 года использовал многочисленные уязвимости нулевого дня в Windows , чтобы получить доступ к системе. После этого червь смог самовоспроизводиться и распространяться от одной системы к другой.
Обнаруженный в 2014 году, эксплойт Heartbleed использовался для атаки на систему шифрования, позволяющую компьютерам и серверам вести конфиденциальный разговор. Другими словами, с помощью этого эксплойта злоумышленники могли подслушивать ваши цифровые разговоры. Система шифрования, называемая OPEN SSL, использовалась на 17,5 % или полумиллионе "безопасных" веб-серверов. Это очень много уязвимых данных.
Поскольку это проблема веб-сайтов, которые вы посещаете (на стороне сервера), а не проблема вашего компьютера (на стороне клиента), исправление этого эксплойта возлагается на администраторов сети. Большинство авторитетных веб-сайтов исправили эту проблему несколько лет назад, но не все, поэтому о ней все еще следует знать.
2017 год стал знаменательным для программ-вымогателей. Атаки WannaCry и NotPetya воспользовались эксплойтами EternalBlue/DoublePulsar Windows , чтобы проникнуть на компьютеры и взять данные в заложники. В совокупности эти две атаки нанесли ущерб на 18 миллиардов долларов по всему миру. В частности, атака NotPetya временно вывела из строя, помимо многих других, шоколадную фабрику Cadbury и производителя презервативов Durex. Гедонисты по всему миру затаили дыхание, пока эксплойт не был исправлен.
Атаки на Equifax в 2017 году можно было бы избежать, если бы кредитное бюро приложило больше усилий для поддержания своего программного обеспечения в актуальном состоянии. В данном случае недостаток программного обеспечения, который злоумышленники использовали для взлома сети данных Equifax, был уже известен, и для него было выпущено исправление. Но вместо того, чтобы исправить ситуацию, Equifax и их устаревшее программное обеспечение позволили киберпреступникам украсть личные данные сотен миллионов американских клиентов. "Спасибо".
Прежде чем вы, пользователи Apple, начнете думать, что компьютеры Mac не подвержены атакам с использованием эксплойтов, вспомните о вызывающей ужас ошибке root в 2017 году, которая позволяла злоумышленникам просто ввести слово "root" в поле имени пользователя и дважды нажать кнопку return, чтобы получить полный доступ к компьютеру. Эта ошибка была быстро исправлена, прежде чем злоумышленники успели ею воспользоваться, но это лишь показывает, что в любом программном обеспечении могут быть ошибки, которые можно использовать. Напомним, мы сообщали, что число эксплойтовMac растет. К концу 2017 года на платформе Mac было обнаружено на 270 % больше уникальных угроз, чем в 2016 году.
В последнее время в мире эксплойтов для браузеров было мало новостей. С другой стороны, наборы эксплойтов для Office имеют тенденцию к росту. С 2017 года мы заметили рост использования наборов эксплойтов для Office. Еще осенью того года мы впервые сообщили о нескольких инновационных эксплойтах для Word, в том числе об одном, спрятанном в поддельных уведомлениях налоговой службы, и еще одной атаке нулевого дня, скрытой в документах Word, для запуска которой жертве не требовалось практически никаких действий.
Появился новый тип набора эксплойтов для Office, который не полагается на макросы, то есть специальный код, встроенный в документ, для выполнения своей грязной работы. Этот набор эксплойтов использует документ в качестве приманки и запускает автоматическую загрузку, которая развертывает эксплойт.
В последнее время киберпреступники внедряют безфайловые вредоносные программы, названные так потому, что для их работы не требуется код, установленный на целевом компьютере. Вместо этого безфайловые вредоносные программы используют уже установленные на компьютере приложения, эффективно вооружая компьютер против себя и других компьютеров.
Эксплойты на мобильных устройствах: Android и iOS
Наибольшее беспокойство у пользователей мобильных устройств вызывает установка приложений, не одобренных Google и Apple. Загрузка приложений вне Google Play Store и Apple App Store означает, что они не были проверены соответствующими компаниями. Эти непроверенные приложения могут попытаться использовать уязвимости в iOS/Android , чтобы получить доступ к вашему мобильному устройству, украсть конфиденциальную информацию и выполнить другие вредоносные действия.
Как защитить себя от эксплойтов?
Эксплойты могут быть страшными. Означает ли это, что мы должны выбросить наши маршрутизаторы в окно и притвориться, что наступили темные века до появления Интернета? Конечно же, нет. Вот несколько советов, если вы хотите активно защищаться от эксплойтов.
- Следите за обновлениями. Регулярно ли вы обновляете свою операционную систему и все установленные приложения? Если вы ответили отрицательно, вы можете стать потенциальной жертвой киберпреступников. После того как производитель программного обеспечения узнает об эксплойте "нулевого дня" и выпускает соответствующее исправление, ответственность за исправление и обновление программного обеспечения ложится на плечи отдельных пользователей. На самом деле эксплойты "нулевого дня" становятся более опасными и распространенными после того, как о них становится известно общественности, поскольку ими пользуется более широкая группа угроз. Проверьте, нет ли обновлений или исправлений у поставщиков программного обеспечения. Если возможно, зайдите в настройки программного обеспечения и включите автообновление, чтобы эти обновления происходили автоматически в фоновом режиме без каких-либо дополнительных усилий с вашей стороны. Это устранит задержку между объявлением об уязвимости и ее исправлением. Киберпреступники охотятся на людей, которые забывают или просто не знают, что нужно обновлять и исправлять свое программное обеспечение.
- Обновите свое программное обеспечение. В некоторых случаях программное приложение становится настолько старым и громоздким, что производитель прекращает его поддержку(abandonware), а это значит, что все обнаруженные дополнительные ошибки не будут исправлены. Следуя предыдущему совету, убедитесь, что ваше программное обеспечение все еще поддерживается производителем. Если это не так, обновите его до последней версии или перейдите на что-то другое, что делает то же самое.
- Обеспечьте безопасность в Интернете. Убедитесь, что в выбранном вами веб-браузере включена функция Microsoft SmartScreen или Google Safe Browsing. Браузер будет проверять каждый посещаемый вами сайт по черным спискам, которые ведут Microsoft и Google, и отводить вас от сайтов, известных своими вредоносными программами. Эффективные средства защиты от вредоносного ПО, такие как Malwarebytesнапример, блокируют вредоносные сайты, обеспечивая многоуровневую защиту.
- Используй или потеряй. Хакеры будут взламывать. Мы мало что можем с этим поделать. Но если нет программного обеспечения, то нет и уязвимости. Если вы больше не используете программу, удалите ее с компьютера. Хакеры не могут взломать то, чего нет.
- Устанавливайте авторизованные приложения. Когда речь идет о безопасности на мобильном устройстве, пользуйтесь только авторизованными приложениями. В некоторых случаях вы можете захотеть выйти за пределы App Store и Google Play Store, например, при бета-тестировании нового приложения, но в этом случае вы должны быть уверены, что можете доверять его создателю. В общем, придерживайтесь одобренных приложений, которые прошли проверку Apple и Google.
- Используйте программное обеспечение для защиты от эксплойтов. Итак, вы приняли все необходимые меры предосторожности, чтобы избежать атак на основе эксплойтов. А как насчет эксплойтов нулевого дня? Помните, что эксплойт нулевого дня - это уязвимость в программном обеспечении, о которой знают только киберпреступники. Мы мало что можем сделать, чтобы защитить себя от угроз, о которых не знаем. А может, и есть? Хорошая программа для защиты от вредоносного ПО, например Malwarebytes для Windows, Malwarebytes для Mac, Malwarebytes для Android или Malwarebytes для iOS, может проактивно распознавать и блокировать вредоносные программы, использующие уязвимости на вашем компьютере, используя эвристический анализ атаки. Другими словами, если подозрительная программа по структуре и поведению похожа на вредоносное ПО, Malwarebytes отметит ее и поместит в карантин.
Как эксплойты влияют на мой бизнес?
Во многих отношениях ваш бизнес представляет собой более ценную цель для киберпреступников и эксплойтов, чем индивидуальный потребитель: больше данных для кражи, больше выкупа и больше конечных точек для атаки.
Возьмем, к примеру, утечку данных Equifax. В этом случае злоумышленники использовали эксплойт в Apache Struts 2, чтобы получить доступ к сети Equifax и повысить свои пользовательские привилегии. Оказавшись в сети, злоумышленники сделали себя системными администраторами, получив доступ к конфиденциальным данным миллионов потребителей. Никто не знает, каковы будут последствия атаки Equifax, но в итоге она может обойтись кредитному бюро в миллионы долларов. В настоящее время готовится коллективный иск, а частные лица подают на Equifax в суд по мелким искам, выигрывая до 8 000 долларов в каждом случае.
Помимо повышения привилегий, эксплойты могут использоваться для распространения других вредоносных программ, как это было в случае с атакой NotPetya ransomware. NotPetya распространилась по всему Интернету, атакуя как частных лиц, так и компании. Используя эксплойты EternalBlue и MimiKatz Windows , NotPetya закрепилась в сети и распространялась от компьютера к компьютеру, блокируя каждую конечную точку, шифруя пользовательские данные и останавливая бизнес. Компьютеры, смартфоны, настольные телефоны VOIP, принтеры и серверы были выведены из строя. Total Ущерб, нанесенный предприятиям по всему миру, оценивается в 10 миллиардов долларов.
Как же защитить свой бизнес? Вам нужно избавиться от слабых мест в вашей системе с помощью хорошей стратегии управления исправлениями. Вот некоторые моменты, о которых следует помнить, когда вы решаете, что лучше всего подходит для вашей сети.
- Внедрите сегментацию сети. Распределение данных по небольшим подсетям уменьшает площадь атаки - меньшие цели труднее поразить. Это поможет ограничить утечку данных лишь несколькими конечными точками, а не всей инфраструктурой.
- Применяйте принцип наименьших привилегий (PoLP). Короче говоря, предоставляйте пользователям тот уровень доступа, который необходим им для выполнения работы, и не более того. Опять же, это поможет снизить ущерб от взлома или атак с использованием выкупа.
- Следите за обновлениями. Следите за вторником патчей и планируйте соответствующие действия. Центр реагирования Microsoft Security ведет блог со всей последней информацией об обновлениях. Вы также можете подписаться на их электронную рассылку, чтобы быть в курсе того, что исправляется каждый месяц.
- Определите приоритет обновлений. День после "вторника патчей" иногда называют "средой эксплойтов". Киберпреступники узнали о потенциальных эксплойтах, и начинается гонка за обновлением систем до того, как у злоумышленников появится шанс атаковать. Чтобы ускорить процесс обновления, следует рассмотреть возможность запуска обновлений на каждой конечной точке с одного центрального агента, а не оставлять это на усмотрение каждого конечного пользователя.
- Проверяйте обновления после их установки. Патчи призваны исправлять программное обеспечение, но иногда они приводят к поломкам. Стоит проследить за тем, чтобы исправления, которые вы распространили по сети, не ухудшили ситуацию, и при необходимости удалить их.
- Избавьтесь от устаревшего программного обеспечения. Иногда трудно избавиться от старого программного обеспечения с истекшим сроком годности - особенно в крупном бизнесе, где цикл закупок проходит со скоростью ленивца, - но устаревшее ПО - это действительно худший сценарий для любого сетевого или системного администратора. Киберпреступники активно ищут системы с устаревшим и неактуальным программным обеспечением, поэтому замените его как можно скорее.
- Конечно, хорошее программное обеспечение для защиты конечных точек является неотъемлемой частью любой программы защиты от эксплойтов. Рассмотрим Malwarebytes. С Malwarebytes Endpoint Protection и Malwarebytes Endpoint Detection and Response у нас есть решение для всех потребностей вашей компании в области безопасности.
Наконец, если все это не утолило вашу жажду знаний об эксплойтах, вы всегда можете прочитать больше об эксплойтах в блоге Malwarebytes Labs .
Новости об эксплойтах
- Нулевой день Log4j "Log4Shell" появился как раз вовремя, чтобы испортить вам выходные
- Windows Уязвимость в установщике становится активно эксплуатируемой "нулевого дня
- Заплати сейчас! Серверы Exchange атакованы "нулевыми днями" Hafnium
- Открытие "нулевого дня" в Zoom делает звонки безопаснее, а хакеров - богаче на 200 000 долларов
- Android Выпущены патчи для 4 "диких" ошибок, но когда вы их получите?
- Примите меры! Многочисленные уязвимости Pulse Secure VPN используются в дикой природе
- Обновитесь сейчас! Chrome исправляет "нулевой день", который использовался в дикой природе.
- Большой вторник исправлений: Microsoft и Adobe исправляют "дикие" эксплойты
- Обновите свой iOS прямо сейчас! Apple исправляет три уязвимости нулевого дня
- Руководство по "нулевым дням" на 2020 год: Последние атаки и передовые методы их предотвращения
Обзоры наборов эксплойтов:
Наборы эксплойтов: обзор весны 2019 года
Наборы эксплойтов: обзор зимы 2019 года
Наборы эксплойтов: обзор осени 2018 года
Наборы эксплойтов: обзор лета 2018 года
Наборы эксплойтов: обзор весны 2018 года
Наборы эксплойтов: обзор зимы 2018 года
Читайте другие новости об эксплойтах и уязвимостях в блоге Malwarebytes Labs .