Проблема эксплойтов

Бизнес

Вендоры защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьёзных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в принципе. Постараемся объяснить и подробнее разобрать вопрос в этой статье.

Что такое эксплойт?

Эксплойты — это вредоносные программы или, скорее, их подвид. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.

Проще говоря, у вас есть браузер, и есть уязвимость в нём, которая позволяет исполнить «произвольный код», то есть установить и запустить некую вредоносную программу на вашей системе без вашего ведома или спровоцировать какое-либо иное непреднамеренное и неожиданное поведение системы. Чаще всего дело в наращивании привилегий злоумышленников, чтобы те могли делать в атакуемой системе, что в голову взбредёт.

Браузеры наряду с Flash, Java и Microsoft Office являются одними из самых подверженных атакам категорий программного обеспечения. Из-за их повсеместности их активно исследуют как эксперты по безопасности, так и хакеры, а вендоры вынуждены регулярно выпускать патчи для исправления уязвимостей. Лучше всего эти патчи устанавливать сразу, но, к сожалению, так происходит далеко не всегда.

Особую проблему, конечно, представляют собой эксплойты неизвестных уязвимостей, обнаруженных и использованных преступниками, — так называемые уязвимости нулевого дня. Может пройти много времени, прежде чем производители узнают о наличии проблемы и устранят её.

wide

Маршруты заражения

Следующая часть вполне техническая, так что не стесняйтесь проматывать, если только вам не в самом деле интересно, как это работает. Имейте в виду при этом, что киберпреступники часто предпочитают эксплойты прочим методам заражения, так как в отличие от социальной инженерии, в которой всё делается наудачу, эксплуатация уязвимостей неизменно даёт желаемый результат.

Есть два способа «скормить» пользователям эксплойты. Во-первых, при посещении ими сайта, содержащего вредоносный код эксплойта. Во-вторых, при открытии пользователем на вид вполне законного файла со скрытым вредоносным кодом. Как легко догадаться, доставляют эксплойты, как правило, спамом или фишинговым письмом.

Как поясняется в статье Securelist, эксплойты предназначены для атаки конкретных версий программного обеспечения, содержащего уязвимости. Таким образом, если у пользователя нужная версия программного обеспечения при открытии вредоносного объекта, или если веб-сайт использует это программное обеспечение для работы, то запускается эксплойт.

После того как он получает доступ посредством уязвимости, эксплойт загружает дополнительные вредоносные программы с сервера преступников, осуществляющие подрывную деятельность, такую как кража личных данных, использование компьютера в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак и т.д.

Эксплойты представляют угрозу даже для осторожных и добросовестных пользователей, которые регулярно обновляют своё программное обеспечение. Причина кроется во временном зазоре между открытием уязвимости и выходом патча для её исправления.

В этом интервале эксплойты могут свободно функционировать и угрожать безопасности почти всех интернет-пользователей при отсутствии установленных в системе автоматических средств предотвращения атак эксплойтов.

Эксплойты ходят стаями

Эксплойты часто упакованы вместе, так чтобы проверить систему-мишень на широкий спектр уязвимостей. Как только выявляются одна или несколько, в дело вступают соответствующие эксплойты. Наборы эксплойтов также широко используют обфускацию (запутывание) кода, чтобы избежать обнаружения и замести интернет-адреса с целью помешать исследователям их вычислить.

Среди наиболее известных:

Angler — один из самых сложных наборов на чёрном рынке, своим появлением изменил правила игры, после того как начал обнаруживать антивирусы и виртуальные машины (часто используемые экспертами по безопасности как приманки), и задействовать шифрованные файлы-дропперы. Это один из тех наборов эксплойтов, которые быстрее всего включают в свой функционал недавно открытые уязвимости нулевого дня, а его вредоносные программы работают в памяти, без записи на жёстких дисках жертв. С техническим описанием пакета можно ознакомиться здесь.

Nuclear Pack – поражает жертв эксплойтами Java и Adobe PDF, а также подсаживает Caphaw – печально известный банковский троян. Подробнее см. здесь.

Neutrino — русский набор, содержащий несколько эксплойтов Java, прославился в прошлом году в связи с тем, что владелец выставил его на продажу по очень скромной цене — $34 000. Скорее всего, это было сделано после ареста некоего Paunch, создателя…

Blackhole Kit — наиболее распространенная веб-угроза в 2012 году, нацеленная на уязвимости в старых версиях таких браузеров, как Firefox, Google Chrome, Internet Explorer и Safari, а также многих популярных плагинов, таких как Adobe Flash, Adobe Acrobat и Java. После того как жертву заманили или перенаправили на страницу подсадки, запутанный JavaScript определяет содержимое машины жертвы и загружает те эксплойты, для которых данный компьютер уязвим, а иногда ещё тег апплета Java, загружающий Java-троян. Если находится годный для использования эксплойт, он загружается и запускает свою боевую часть на компьютере жертвы, сообщая серверу Blackhole Kit, какой эксплойт сработал для доставки полезной нагрузки.

Он имеет полиморфный код, поэтому профилактика требует наличия надёжной системы предотвращения вторжений или технологии автоматического противодействия эксплойтам для отражения такой атаки. Системы обнаружения на сигнатурной основе не срабатывают.

Blackhole, в отличие от большинства других, удостоился отдельной статьи в Википедии, хотя после ареста Paunch сам набор почти вышел в тираж.

Вывод

Как сказано выше, эксплойты — подвид вредоносных программ, но они не всегда обнаруживаются защитными программами, если они не используют поведенческий анализ, который на деле является единственно верным методом борьбы с эксплойтами. Вредоносные программы могут быть многочисленными и разнообразными, но большинство из них имеют сходные поведенческие паттерны.

Automatic Exploit Prevention «Лаборатории Касперского» использует информацию о наиболее типичных повадках известных эксплойтов. Характерное поведение таких вредоносных программ помогает предотвратить инфекцию даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.

Эксплойты нередко предварительно загружают файлы до непосредственного заражения системы. Automatic Exploit Prevention отслеживает программы, обращающиеся к сети, и анализирует исходные файлы.

Более подробную информацию о технологии Automatic Exploit Prevention можно найти здесь.