stringtranslate.com

Набор для эксплуатации

Набор эксплойтов — это инструмент, используемый для автоматического управления и развертывания эксплойтов против целевого компьютера. Наборы эксплойтов позволяют злоумышленникам доставлять вредоносное ПО без глубоких знаний об используемых эксплойтах. Обычно используются эксплойты браузера , хотя они также могут включать эксплойты, нацеленные на распространенное программное обеспечение, такое как Adobe Reader , или на саму операционную систему . Большинство наборов написаны на PHP . [1]

Наборы эксплойтов часто продаются на черном рынке как в виде отдельных наборов, так и в качестве услуги .

История

Одними из первых наборов эксплойтов были WebAttacker и MPack , оба созданные в 2006 году. Они продавались на черном рынке, что позволяло злоумышленникам использовать эксплойты без глубоких знаний в области компьютерной безопасности . [2] [3]

Набор эксплойтов Blackhole был выпущен в 2010 году и мог быть либо куплен напрямую, либо арендован за плату. [4] Malwarebytes заявила, что Blackhole был основным методом доставки вредоносного ПО в 2012 году и большую часть 2013 года. [5] После ареста авторов в конце 2013 года использование набора резко сократилось. [5] [6] [7]

Neutrino был впервые обнаружен в 2012 году [8] и использовался в ряде кампаний по вымогательству . Он использовал уязвимости в Adobe Reader , Java Runtime Environment и Adobe Flash . [9] После совместной операции Cisco Talos и GoDaddy по прерыванию вредоносной рекламной кампании Neutrino [10] авторы прекратили продажу набора, решив предоставлять поддержку и обновления только предыдущим клиентам. Несмотря на это, разработка набора продолжалась, и добавлялись новые эксплойты. [11] По состоянию на апрель 2017 года активность Neutrino прекратилась. [12] 15 июня 2017 года F-Secure написала в Twitter: «Покойся с миром, набор эксплойтов Neutrino. Мы будем скучать по тебе (нет)». с графиком, показывающим полное снижение обнаружений Neutrino. [13]

Начиная с 2017 года использование наборов эксплойтов сократилось. Существует ряд факторов, которые могли стать причиной этого, включая аресты киберпреступников, улучшения в безопасности, затрудняющие эксплуатацию, и обращение киберпреступников к другим методам доставки вредоносного ПО, таким как макросы Microsoft Office и социальная инженерия . [14]

Существует множество систем, которые работают для защиты от атак с помощью эксплойт-китов. К ним относятся шлюзовые антивирусы , предотвращение вторжений и антишпионское ПО. Также есть способы для подписчиков получать эти системы профилактики на постоянной основе, что помогает им лучше защищаться от атак. [15]

Обзор

Процесс эксплуатации

Общий процесс эксплуатации с помощью набора эксплойтов выглядит следующим образом:

  1. Жертва переходит на сайт, зараженный набором эксплойтов. Ссылки на зараженные страницы могут распространяться через спам , вредоносную рекламу или путем компрометации легитимных сайтов.
  2. Жертва перенаправляется на целевую страницу набора эксплойтов.
  3. Набор эксплойтов определяет, какие уязвимости присутствуют и какой эксплойт следует применить против цели.
  4. Эксплойт развернут. В случае успеха полезная нагрузка по выбору злоумышленника (т.е. вредоносное ПО) может быть развернута на цели. [1] [16]

Функции

Наборы эксплойтов используют различные методы уклонения , чтобы избежать обнаружения. Некоторые из этих методов включают в себя запутывание кода, [17] и использование отпечатков пальцев, чтобы гарантировать, что вредоносный контент будет доставлен только вероятным целям. [18] [1]

Современные наборы эксплойтов включают в себя такие функции, как веб-интерфейсы и статистика, отслеживающая количество посетителей и жертв. [1]

Смотрите также

Ссылки

  1. ^ abcd Каннелл, Джошуа (11 февраля 2013 г.). «Инструменты торговли: наборы эксплойтов». Malwarebytes Labs . Получено 8 апреля 2022 г.
  2. ^ Чен, Джозеф; Ли, Брукс. «Эволюция наборов эксплойтов» (PDF) . Trend Micro . Получено 8 апреля 2022 г. .
  3. ^ «Рынки инструментов киберпреступности и украденных данных» (PDF) . RAND Corporation . 2014.
  4. ^ "Подозреваемый в использовании набора эксплойтов вредоносного ПО Blackhole арестован". BBC News . 9 октября 2013 г. Получено 8 апреля 2022 г.
  5. ^ ab Kujawa, Adam (4 декабря 2013 г.). "Malwarebytes 2013 Threat Report". Malwarebytes Labs . Получено 8 апреля 2022 г.
  6. ^ Зорабедян, Джон (9 октября 2013 г.). «Завершен ли набор эксплойтов Blackhole?». Sophos News . Получено 3 апреля 2022 г.
  7. Фишер, Деннис (26 ноября 2013 г.). «Blackhole and Cool Exploit Kits Nearly Extinct». threatpost.com . Получено 3 апреля 2022 г. .
  8. ^ "Neutrino Exploit kit: пошаговое руководство по кампаниям набора эксплойтов, распространяющим различные программы-вымогатели". Cyware Labs . Получено 8 апреля 2022 г.
  9. ^ "Neutrino". Malwarebytes Labs . Получено 8 апреля 2022 г.
  10. ^ «Кампания вредоносной рекламы, продвигающая отключение набора эксплойтов Neutrino». threatpost.com . Сентябрь 2016 г. Получено 8 апреля 2022 г.
  11. ^ "Former Major Player Neutrino Exploit Kit Has Gone Dark". Bleeping Computer . Получено 8 апреля 2022 г. .
  12. ^ Шварц, Мэтью (15 июня 2017 г.). «Neutrino Exploit Kit: No Signs of Life». www.bankinfosecurity.com . Получено 8 апреля 2022 г. .
  13. ^ F-Secure [@FSLabs] (15 июня 2017 г.). «Покойся с миром, набор эксплойтов Neutrino. Мы будем скучать по тебе (нет)» ( Твит ) – через Twitter .
  14. ^ «Куда делись все наборы эксплойтов?». threatpost.com . 15 марта 2017 г. Получено 8 апреля 2022 г.
  15. ^ Малецки, Флориан (июнь 2013 г.). «Защита вашего бизнеса от наборов эксплойтов». Computer Fraud & Security . 2013 (6): 19–20. doi :10.1016/S1361-3723(13)70056-3.
  16. ^ "exploit kit - Definition". Trend Micro . Получено 8 апреля 2022 г. .
  17. ^ «Exploit Kits Improve Evasion Techniques». Блог McAfee . 12 ноября 2014 г. Получено 8 апреля 2022 г.
  18. ^ «Angler Exploit Kit продолжает обходить обнаружение: более 90 000 веб-сайтов скомпрометированы». Unit42 . 11 января 2016 г. Получено 8 апреля 2022 г.