Эксплойты

Что нужно знать о компьютерных эксплойтах?

Компьютерные эксплойты. Что это и почему это важно?

Замечали ли вы, как разработчики программного обеспечения постоянно исправляют и обновляют свои продукты — иногда выпуская обновления через несколько дней после изначального релиза?

Это потому, что в каждом программном обеспечении, которым вы владеете или когда-либо будете владеть, есть уязвимости, которые киберпреступники могут обнаружить и использовать — другими словами, эксплуатировать. Не существует программного обеспечения без уязвимостей — всегда будут недостатки. Программное обеспечение так же прочно, как кусок швейцарского сыра.

С помощью эксплойтов киберпреступники могут получить доступ к вашему компьютеру, украсть конфиденциальную информацию или установить вредоносное ПО. Несмотря на снижение активности эксплойтов, киберпреступники продолжают использовать этот скрытый метод атаки. Учитывая это, сейчас самое время ознакомиться с темой эксплойтов и защитить себя соответствующим образом. Итак, прокрутите страницу вниз, читайте дальше и узнайте все, что вам нужно знать о компьютерных эксплойтах.

Что такое эксплойт? Определение эксплойта

Компьютерный эксплойт – это вид вредоносного ПО, который использует ошибки или уязвимости, чтобы дать киберпреступникам нелегальный доступ к системе. Эти уязвимости скрыты в коде операционной системы и ее приложений и ждут, чтобы быть обнаруженными и использованными киберпреступниками. Наиболее часто атакуемое программное обеспечение включает в себя саму операционную систему, браузеры, Microsoft Office и сторонние приложения. Иногда эксплойты собираются в так называемые наборы эксплойтов киберпреступными группами. Наборы эксплойтов упрощают работу для преступников с ограниченными техническими знаниями, позволяя им использовать эксплойты и распространять вредоносное ПО.

Чтобы лучше понять что такое эксплойты, можно вспомнить дорогие вело- и ноутбучные цилиндрические замки, популярные в начале 2000-х. Люди тратили до 50 долларов на эти замки, думая, что они защищают их ценности, пока кто-то не выложил в интернет видео, показывающее, как открыть эти замки за считанные секунды с помощью дешевой и доступной ручки Bic.

Это вынудило производителей замков обновить свои замки, а потребители должны были перейти на новые, устойчивые к взлому замки. Это осязаемый пример эксплуатации физической системы безопасности. Что касается программного обеспечения, киберпреступники ищут такие же хитрые приемы, как и тот парень с ручкой Bic, которые позволят им получить доступ к компьютерам, мобильным устройствам и сетям других людей.

Атаки с помощью эксплойтов часто начинаются с вредоносной спам-рассылки и загрузок без ведома пользователя. Киберпреступники обманывают ничего не подозревающих жертв, чтобы они открыли зараженное вложение электронной почты или кликнули по ссылке, которая перенаправляет их на вредоносный сайт. Зараженные вложения, часто в виде документа Word или PDF, содержат код эксплойта, предназначенный для использования уязвимостей приложений.

Drive-by downloads используют уязвимости вашего браузера, например Internet Explorer или Firefox, или плагинов, работающих в браузере, таких как Flash. Вы можете зайти на сайт, который раньше посещали безопасно, но в этот раз сайт был взломан, а вы об этом даже не узнаете. Кроме того, вы можете нажать на вредоносную ссылку в спаме, которая приведет вас на поддельную версию знакомого сайта.

А в некоторых хитроумных случаях вы можете посещать легитимный сайт, отображающий рекламу или всплывающее окно, зараженное вредоносным ПО — это также называется мальвертайзинг. При посещении сайта, вредоносный код на веб-странице работает незаметно на заднем плане, загружая вредоносное ПО в ваш компьютер.

Киберпреступники используют эксплойты как средство для достижения какой-либо злонамеренной цели, начиная от досадной проблемы и заканчивая калечащей неприятностью. Киберпреступники могут попытаться задействовать ресурсы вашего компьютера в зомби-ботнете для DDoS-атаки или для добычи биткоинов (криптоджекинг).

Кроме того, киберпреступники могут попробовать установить рекламное ПО и заполнить ваш рабочий стол рекламой. Киберпреступники могут захотеть попасть на вашу систему и просто украсть данные или установить вредоносное ПО, чтобы тайно собирать данные от вас с течением времени (шпионское ПО). В конце концов, киберпреступники могут установить вредоносное ПО, которое зашифрует все ваши файлы и запросит оплату за ключ для расшифровки (вымогательское ПО).

Что такое эксплойт нулевого дня?

Нулевой день! Единственный день в году, когда мы делаем паузу, чтобы признать это смиренное маленькое ноль. Если бы только это было правдой. На самом деле, эксплойт нулевого дня, также известный как эксплойт нулевого часа, — это уязвимость программного обеспечения, о которой никто, кроме создавшего её киберпреступника, не знает и для которой нет доступного исправления. Как только эксплойт становится общеизвестным, он перестает считаться эксплойтом нулевого дня. Иногда известный эксплойт называют n-дневным эксплойтом, указывая на количество дней, прошедших с момента его обнародования.

Как только эксплойт нулевого дня становится публичной информацией, производители программного обеспечения начинают гонку с преступниками в попытке исправить эксплойт до того, как преступники смогут воспользоваться им и получить выгоду. К счастью, исследователи ориентированы на этику. Если исследователи находят эксплойт раньше преступников, они обычно сообщают о дефекте производителю и дают возможность его исправить, прежде чем информировать широкую общественность (и преступников).

Проактивный поиск эксплойтов превратился для некоторых хакеров в спорт hackers. На ежегодном соревновании Pwn2own эксперты по эксплойтам получают деньги и призы за успешный взлом популярного программного обеспечения в различных категориях, включая веб-браузеры и корпоративные приложения. Демонстрируя свою заинтересованность в безопасности программного обеспечения, компании Microsoft и VMware выступили спонсорами мероприятия Pwn2own в 2018 году.

Что касается того, что производители программного обеспечения проактивно находят и исправляют уязвимости, Дэвид Санчес, главный инженер по исследованиям Malwarebytes, сказал: «Это правда, что Microsoft и другие разработчики софта работают очень усердно, чтобы защитить свои приложения, такие как Office, и эксплуатировать их стало трудно — почти невозможно. Тем не менее, специалисты по безопасности и киберпреступники все еще находят способы успешно использовать эти уязвимости. 100-процентная безопасность — это всего лишь иллюзия, но приложения Malwarebytes защищают пользователей максимально близко к этой 100-процентной защите.»

"Стопроцентная безопасность - это всего лишь иллюзия. Приложения Malwarebytes защищают людей настолько близко к этим 100 процентам, насколько это возможно".
- Дэвид Санчес
Главный инженер-исследовательMalwarebytes

История компьютерных эксплойтов

Эксплойты столь же стары, как и вычислительная техника. Как мы уже упоминали, у любого программного обеспечения есть уязвимости, и за эти годы были некоторые весьма впечатляющие. Вот краткий обзор некоторых из наиболее известных компьютерных эксплойтов.

Наше исследование величайших (то есть худших) эксплойтов в мире начинается в 1988 году с червя Морриса, одного из первых компьютерных червей и эксплойтов. Названный в честь своего создателя Роберта Таппана Морриса, одноименный червь был призван выяснить, насколько велик был интернет в те первые годы становления, используя различные уязвимости для доступа к учетным записям и определения количества компьютеров, подключенных к сети.

Червь вышел из-под контроля, заражая компьютеры множество раз, запуская одновременно несколько копий червя, пока не осталось ресурсов для легальных пользователей. Червь Морриса фактически превратился в DDOS-атаку.

Червь SQL Slammer захватил мир в 2003 году, собрав в свой ботнет около 250 000 серверов с программным обеспечением SQL Server от Microsoft. После заражения сервера червь использовал атаку по принципу "разброса", генерируя случайные IP-адреса и рассылая по ним зараженный код. Если на целевом сервере был установлен SQL Server, он тоже заражался и добавлялся в ботнет. В результате атаки SQL Slammer 13 000 банкоматов Bank of America были выведены из строя.

Червь Conficker, появившийся в 2008 году, примечателен по нескольким причинам. Во-первых, он объединил в свой ботнет огромное количество компьютеров - по сообщениям, 11 миллионов устройств в период своего расцвета. Во-вторых, Conficker популяризировал тип уловок, которые используют вирусы, чтобы избежать обнаружения, называемый алгоритмом генерации доменов (DGA). Вкратце, технология DGA позволяет вредоносной программе бесконечно общаться со своим командно-контрольным сервером (C&C), генерируя новые домены и IP-адреса.

Созданный для атаки на ядерную программу Ирана, червь Stuxnet 2010 года использовал несколько уязвимостей нулевого дня в Windows для получения доступа к системе. После этого червь мог самовоспроизводиться и распространяться с одной системы на другую.

Обнаруженный в 2014 году, эксплойт Heartbleed использовался для атаки на систему шифрования, позволяющую компьютерам и серверам вести конфиденциальный разговор. Другими словами, с помощью этого эксплойта злоумышленники могли подслушивать ваши цифровые разговоры. Система шифрования, называемая OPEN SSL, использовалась на 17,5 % или полумиллионе "безопасных" веб-серверов. Это очень много уязвимых данных.

Поскольку это проблема для вебсайтов, которые вы посещаете (на стороне сервера), а не для вашего компьютера (на стороне клиента), администраторы сетей должны устранить эту уязвимость. Многие уважаемые сайты устранили эту уязвимость годы назад, но не все, так что это все еще остается проблемой, требующей внимания.

2017 год выдался удачным для программ-вымогателей. Атаки WannaCry и NotPetya использовали эксплойты Windows EternalBlue/DoublePulsar, чтобы проникнуть на компьютеры и взять данные в заложники. В сумме эти две атаки причинили ущерб в $18 миллиардов по всему миру. Атака NotPetya особенно временно вывела из строя — среди прочих — шоколадную фабрику Cadbury и компанию-производителя презервативов Durex. Наслаждающиеся жизнью по всему миру затаили дыхание, пока эксплойт не был устранен.

Атака на Equifax в 2017 году могла быть предотвращена, если бы кредитное агентство сделало больше усилий, чтобы поддерживать свое программное обеспечение в актуальном состоянии. В данном случае, уязвимость в программном обеспечении, использованная киберпреступниками для проникновения в сеть Equifax, была уже хорошо известна, и исправление было доступно. Вместо того чтобы исправить ситуацию, Equifax и их устаревшее программное обеспечение позволили киберпреступникам украсть личную информацию сотен миллионов клиентов в США. «Спасибо.»

Теперь, перед тем как пользователи Apple начнут думать, что компьютеры Mac не подвержены атакам на базе эксплойтов, вспомните об ошеломляющем ошибке root 2017 года, которая позволяла киберпреступникам просто вводить слово «root» в поле имени пользователя и дважды нажать Enter, чтобы получить полный доступ к компьютеру. Эта ошибка была быстро исправлена до того, как киберпреступники могли этим воспользоваться, но это лишь показывает, что любое программное обеспечение может содержать уязвимые ошибки. Действительно, мы сообщили о том, что эксплойты на Mac растут. К концу 2017 года на платформе Mac было на 270 процентов больше уникальных угроз, чем в 2016 году.

В последнее время мало новостей из мира эксплойтов браузеров. С другой стороны, растет число наборов эксплойтов Office. С 2017 года мы заметили рост использования наборов эксплойтов, основанных на Office. Осенью того года мы впервые сообщили о нескольких инновационных эксплойтах Word, в том числе одном, скрытом в поддельных уведомлениях от IRS, и другом атаке нулевого дня, скрытом в документах Word, которые требовали от жертвы минимального взаимодействия для запуска.

Теперь мы наблюдаем новый тип набора эксплойтов для Office, который не полагается на макросы; т.е. на специальный код, встроенный в документ, для выполнения своих грязных дел. Этот набор эксплойтов, вместо этого, использует документ в качестве отвлекающего маневра, в то время как он запускает автоматическую загрузку, которая разворачивает эксплойт.

В последнее время киберпреступники начали использовать бесфайловое вредоносное ПО, так называемое, потому что этот вид вредоносного ПО не зависит от кода, установленного на целевом компьютере, для своей работы. Вместо этого, бесфайловое вредоносное ПО эксплуатирует уже установленные на компьютере приложения, фактически превращая компьютер в оружие против самого себя и других компьютеров.

«Бесфайловое вредоносное ПО эксплуатирует уже установленные на компьютере приложения, фактически превращая компьютер в оружие против самого себя и других компьютеров.»

Эксплойты на мобильных устройствах: Android и iOS

Основная забота для мобильных пользователей — это установка приложений, не одобренных Google и Apple. Скачивание приложений вне магазина Google Play и App Store Apple означает, что приложения не были проверены соответствующими компаниями. Эти недоверенные приложения могут попытаться использовать уязвимости iOS/Android для доступа к вашему мобильному устройству, кражи конфиденциальной информации и выполнения других злонамеренных действий.

Как защитить себя от эксплойтов?

Эксплойты могут быть пугающими. Означает ли это, что нам стоит выбросить наши роутеры в окно и притвориться, что это темные века до интернета? Конечно нет. Вот несколько советов, если вы хотите защититься от эксплойтов.

Держите всё в актуальном состоянии. Вы регулярно обновляете свою операционную систему и все установленные приложения? Если ответ отрицательный, вы становитесь потенциальной жертвой киберпреступников. После того как эксплойт нулевого дня становится известен вендору и выпущен патч, ответственность за установку и обновление программного обеспечения лежит на пользователе. Более того, эксплойты нулевого дня становятся ещё опаснее и распространяются шире после того, как они становятся общеизвестными, потому что теперь более широкая группа вредоносных пользователей может использовать эксплойт. Регулярно проверяйте наличие обновлений и патчей у ваших поставщиков программного обеспечения. Если возможно, зайдите в настройки вашего программного обеспечения и включите автоматическое обновление, чтобы эти обновления происходили автоматически в фоновом режиме без лишних усилий с вашей стороны. Это поможет сократить время между анонсированием уязвимости и её устранением. Киберпреступники охотятся на тех, кто забывает или просто не знает о необходимости обновления и исправления своего программного обеспечения.
Обновляйте своё программное обеспечение. В некоторых случаях приложение становится настолько устаревшим и громоздким, что производитель прекращает его поддержку (заброшенное ПО), что означает, что любые дополнительные ошибки, которые будут обнаружены, не будут исправлены. Следуя предыдущему совету, убедитесь, что ваше программное обеспечение остаётся поддерживаемым. Если нет, обновитесь до последней версии или переключитесь на что-то другое, обеспечивающее ту же функциональность.
Обеспечьте безопасность в Интернете. Убедитесь, что в выбранном вами веб-браузере включена функция Microsoft SmartScreen или Google Safe Browsing. Браузер будет проверять каждый посещаемый вами сайт по черным спискам, которые ведут Microsoft и Google, и отводить вас от сайтов, известных своими вредоносными программами. Эффективные средства защиты от вредоносного ПО, такие как Malwarebytesнапример, также блокируют вредоносные сайты, обеспечивая вам несколько уровней защиты.
Используете или удаляйте. Хакеры всегда будут пытаться. С этим мало, что можно сделать. Но если программное обеспечение отсутствует, нет и уязвимости. Если вы больше не используете программу — удалите её с компьютера. Хакеры не могут взломать то, чего нет.
Устанавливайте только разрешённые приложения. Чтобы оставаться в безопасности на вашем мобильном устройстве, придерживайтесь только разрешённых приложений. Бывают случаи, когда вы хотите загрузить приложение вне магазина App Store и Google Play, например, при бета-тестировании нового приложения, но вы должны быть дважды уверены в надежности разработчика приложения. Однако, как правило, придерживайтесь одобренных приложений, которые были проверены Apple и Google.
Используйте программное обеспечение для защиты от эксплойтов. Итак, вы приняли все необходимые меры предосторожности, чтобы избежать атак на основе эксплойтов. А как насчет эксплойтов нулевого дня? Помните, что эксплойт нулевого дня - это уязвимость в программном обеспечении, о которой знают только киберпреступники. Мы мало что можем сделать, чтобы защитить себя от угроз, о которых не знаем. А может, и есть? Хорошая антивирусная программа, например Malwarebytes для Windows, Malwarebytes для Mac, Malwarebytes для Android или Malwarebytes для iOS, может проактивно распознавать и блокировать вредоносные программы, использующие уязвимости на вашем компьютере, используя эвристический анализ атаки. Другими словами, если подозрительная программа по своей структуре и поведению похожа на вредоносное ПО, Malwarebytes отметит ее и поместит в карантин.

Как эксплойты влияют на мой бизнес?

Во многих отношениях ваш бизнес представляет собой более ценную цель для киберпреступников и эксплойтов, чем отдельные потребители — больше данных для кражи, больше для взятия в заложники и больше конечных точек для атаки.

Возьмем, к примеру, утечку данных Equifax. В этом случае злоумышленники использовали эксплойт в Apache Struts 2, чтобы получить доступ к сети Equifax и повысить свои пользовательские привилегии. Оказавшись в сети, злоумышленники сделали себя системными администраторами, получив доступ к конфиденциальным данным миллионов потребителей. Никто не знает, каковы будут последствия атаки Equifax, но в итоге она может обойтись кредитному бюро в миллионы долларов. В настоящее время готовится коллективный иск, а частные лица подают на Equifax в суд по мелким искам, выигрывая до 8 000 долларов в каждом случае.

Помимо повышения привилегий, эксплойты могут использоваться для распространения других вредоносных программ, как это было в случае с атакой NotPetya ransomware. NotPetya распространилась по всему Интернету, атакуя как частных лиц, так и компании. Используя эксплойты EternalBlue и MimiKatz Windows , NotPetya закрепилась в сети и распространялась от компьютера к компьютеру, блокируя каждую конечную точку, шифруя пользовательские данные и останавливая бизнес. Компьютеры, смартфоны, настольные телефоны VOIP, принтеры и серверы были выведены из строя. Total ущерб, нанесенный предприятиям по всему миру, оценивается в 10 миллиардов долларов.

Так как же защитить свой бизнес? Необходимо избавиться от слабых мест в вашей системе с помощью хорошей стратегии управления патчами. Вот на что стоит обратить внимание, выбирая лучшее для вашей сети.

Внедрите сегментацию сети. Распределение данных по небольшим подсетям уменьшает поверхность атаки — небольшие цели труднее поразить. Это может помочь ограничить пробой лишь несколькими конечными точками, а не всей вашей инфраструктурой.
Примените принцип наименьших привилегий (PoLP). Вкратце, предоставляйте пользователям только тот уровень доступа, который им необходим для выполнения их работы, и ничего более. Это также помогает ограничить убытки от пробоев или атак программ-вымогателей.
Следите за обновлениями. Следите за вторником патчей и планируйте соответствующие действия. Центр реагирования на угрозы безопасности Microsoft ведет блог со всей последней информацией об обновлениях. Вы также можете подписаться на их электронную рассылку, чтобы быть в курсе того, что исправляется каждый месяц.
Расставьте приоритеты для ваших обновлений. День после Patch Tuesday иногда в шутку называют Exploit Wednesday. Киберпреступники узнают о потенциальных уязвимостях, и начинается гонка, чтобы обновить системы до того, как они смогут атаковать. Чтобы ускорить процесс обновления, стоит запустить обновления на каждом конечном устройстве из одного центрального агента, а не оставлять на усмотрение каждого пользователя.
Проведите аудит ваших обновлений постфактум. Обновления призваны исправлять программное обеспечение, но иногда они могут что-то сломать. Поэтому стоит проверять, что обновления не навредили вашей сети, и при необходимости удалить их.
Избавьтесь от outdated программ. Иногда трудно избавиться от старого ПО, особенно в крупных компаниях, где цикл закупок медленный, но прекращение использования устаревшего софта — худший сценарий для любого системного администратора. Киберпреступники активно ищут системы, использующие такие программы, так что замените их как можно скорее.
Конечно, хорошее программное обеспечение для защиты конечных точек является неотъемлемой частью любой программы защиты от эксплойтов. Обратите внимание на Malwarebytes. Благодаря Malwarebytes Endpoint Protection и Malwarebytes Endpoint Detection and Response у нас есть решение для всех потребностей вашей компании в безопасности.

Наконец, если все это не утолило вашу жажду знаний об эксплойтах, вы всегда можете прочитать больше об эксплойтах в блоге Malwarebytes Labs.