• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Що таке експлойти і чому їх все так бояться?

    1. Що таке експлойт?
    2. Як відбувається зараження
    3. Експлойти ходять зграями
    4. висновок

    Розробники захисних рішень часто згадують в своїх публікаціях експлойти як одну з найсерйозніших проблем безпеки даних і систем, хоча і не завжди ясно, яка різниця між експлойта і шкідливими програмами в цілому. Спробуємо розібратися з цим питанням. Розробники захисних рішень часто згадують в своїх публікаціях експлойти як одну з найсерйозніших проблем безпеки даних і систем, хоча і не завжди ясно, яка різниця між експлойта і шкідливими програмами в цілому

    Що таке експлойт?

    Експлойти - це підвид шкідливих програм. Вони містять дані або виконуваний код, здатний скористатися однією або декількома уразливими в програмному забезпеченні на локальному або віддаленому комп'ютері.

    Наприклад, у вас є браузер, і є вразливість в ньому, яка дозволяє виконати «довільний код», тобто встановити і запустити якусь шкідливу програму на вашій системі без вашого відома або спровокувати будь-яке інше не очікуване вами поведінку системи. Найчастіше першим кроком зловмисників стає підвищення привілеїв, що дозволяє робити в атакується системі все, що на думку спаде.

    Браузери поряд з Flash, Java і Microsoft Office є одними з найбільш схильних до атакам категорій програмного забезпечення. Через їх повсюдності їх активно досліджують як експерти з безпеки, так і хакери, а розробники браузерів змушені регулярно випускати патчі для виправлення вразливостей. Найкраще ці патчі встановлювати відразу, але, на жаль, так відбувається далеко не завжди - адже при цьому доведеться закривати всі вкладки.

    Особливу проблему, звичайно, є експлойти невідомих вразливостей, виявлених і використаних злочинцями, - так звані уразливості нульового дня. Може пройти багато часу, перш ніж виробники дізнаються про наявність проблеми і усунуть її.

    Як відбувається зараження

    Наступна частина цілком технічна, так що не соромтеся промотувати, якщо тільки вам не справді цікаво, як це працює. Майте на увазі при цьому, що кіберзлочинці часто вважають за краще експлойти іншим методам зараження, так як, на відміну від соціальної інженерії, в якій все робиться навмання, експлуатація вразливостей незмінно дає бажаний результат.

    Є два способи «згодувати» користувачам експлойти. По-перше, під час відвідування ними сайту, що містить шкідливий код експлойта. По-друге, при відкритті користувачем нешкідливого на вигляд файлу з прихованим шкідливим кодом. Як легко здогадатися, в другому випадку для доставки експлойта, як правило, користуються спамом або фішингових листом .

    як пояснюється в статті Securelist , Експлойти призначені для атаки конкретних версій програмного забезпечення, що містить уразливості. Таким чином, якщо у користувача потрібна версія програмного забезпечення при відкритті шкідливого об'єкта або якщо веб-сайт використовує це програмне забезпечення для роботи, то запускається експлойт.

    Після того як він отримує доступ за допомогою вразливості, експлойт завантажує додаткові шкідливі програми з сервера злочинців, які здійснюють підривну діяльність, таку як крадіжка особистих даних, використання комп'ютера в якості елемента ботнету для розсилки спаму або виконання DDoS-атак і так далі.

    Експлойти становлять загрозу навіть для обережних і сумлінних користувачів, які регулярно оновлюють своє програмне забезпечення. Причина криється в тимчасовому проміжку між відкриттям уразливості і виходом патча для її виправлення.

    У цьому інтервалі експлойти можуть вільно функціонувати і загрожувати безпеці багатьох інтернет-користувачів за відсутності встановлених в системі автоматичних засобів запобігання атак експлойтів. Знову ж, не будемо забувати про синдром відкритих вкладок - своєчасне оновлення програм часто вимагає від користувача деяких жертв, на які не всі готові піти відразу в момент виходу заплатки.

    Експлойти ходять зграями

    Експлойти часто упаковані разом - так, щоб перевірити систему-мішень на широкий спектр вразливостей. Як тільки виявляються одна чи кілька, в справу вступають відповідні експлойти. Набори експлойтів також широко використовують спеціальні методи заплутування коду (фахівці називають це розумним словом «обфускація»), щоб уникнути виявлення і замести інтернет-адреси з метою перешкодити дослідникам їх вирахувати.

    Перерахуємо кілька найбільш відомих наборів експлойтів, або, як ще їх називають, експлойт-китів:

    Angler - один з найскладніших наборів на чорному ринку. Цей набір експлойтів своєю появою змінив правила гри, після того як почав виявляти антивіруси і віртуальні машини (часто використовувані експертами з безпеки як приманки) і задіяти шифровані файли для утруднення дослідження. Це один з тих наборів експлойтів, які швидше за все включають в свій арсенал недавно відкриті уразливості нульового дня, а його шкідливі програми працюють в пам'яті, без запису на жорстких дисках жертв. З технічним описом пакета можна ознайомитися тут .

    Nuclear Pack - вражає жертв експлойта Java і Adobe PDF, а також підсаджує Caphaw - сумнозвісний банківський троян . Детальніше читайте тут .

    Neutrino - набір від російськомовних розробників, що містить кілька експлойтів Java. Neutrino прославився в минулому році в зв'язку з тим, що власник виставив його на продаж за дуже скромною ціною - $ 34 тис. Швидше за все, це було зроблено після арешту якогось Paunch, творця наступного набору, про який ми хочемо поговорити.

    Blackhole Kit - найбільш поширена веб-загроза в 2012 році, націлена на уразливості в старих версіях браузерів Firefox, Chrome, Internet Explorer і Safari, а також багатьох популярних плагінів, таких як Adobe Flash, Adobe Acrobat і Java. Після того як жертву заманили або перенаправили на сторінку підсадки, заплутаний JavaScript визначає вміст машини жертви і завантажує ті експлойти, для яких даний комп'ютер вразливий.

    Blackhole, на відміну від більшості інших експлойт-китів, навіть удостоївся окремої статті в «Вікіпедії» , Хоча після арешту вищезгаданого Paunch сам набір практично вийшов в тираж .

    висновок

    Як сказано вище, експлойти - підвид шкідливих програм, але вони виявляються не всіма захисними програмами. Для успішного виявлення необхідно, щоб захисне рішення використовувало поведінковий аналіз - це єдиний надійний метод боротьби з експлойта. Шкідливі програми можуть бути численними і різноманітними, але більшість з них мають схожі риси поведінки.

    Подібний метод використовується в Kaspersky Internet Security та інших продуктах «Лабораторії Касперського» - відповідна частина наших захисних рішень називається «Автоматичний захист від експлойтів» (або AEP - Automatic Exploit Prevention). Характерна поведінка експлойтів допомагає запобігти зараженню навіть в разі експлуатації раніше невідомої уразливості нульового дня.

    Більш детальну інформацію про технології Automatic Exploit Prevention можна знайти тут .

    Що таке експлойт?
    Що таке експлойт?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua