Эксплойты что это такое
Эксплойты и комплекты эксплойтов
Эксплойты используют уязвимости в программном обеспечении. Уязвимость — это как дыра в программном обеспечении, которое может использовать вредоносное ПО для получения на устройство. Вредоносные программы используют эти уязвимости, чтобы обойти защитные меры безопасности компьютера, чтобы заразить устройство.
Работа наборов эксплойтов и эксплойтов
Эксплойты часто являются первой частью более масштабной атаки. Хакеры сканируют устаревшие системы, содержащие критически важные уязвимости, которые они затем используют, развертывая целевые вредоносные программы. Эксплойты часто включают код оболочки, который является небольшой полезной нагрузкой вредоносных программ, используемых для загрузки дополнительных вредоносных программ из управляемых злоумышленниками сетей. Shellcode позволяет хакерам заражать устройства и проникать в организации.
Наборы эксплойтов — это более комплексные средства, содержащие коллекцию эксплойтов. Эти наборы сканируют устройства для различных типов уязвимостей программного обеспечения и, если они обнаружены, развертывают дополнительные вредоносные программы для дальнейшего заражения устройства. Наборы могут использовать эксплойты, нацеленные на различные программы, в том числе Adobe Flash Player, Adobe Reader, Internet Explorer, Oracle Java и Sun Java.
Наиболее распространенный метод, используемый злоумышленниками для распространения эксплойтов и наборов эксплойтов, — это веб-страницы, но они также могут поступать в сообщения электронной почты. Некоторые веб-сайты непреднамеренно и невольно размещают вредоносный код и эксплойт в своих объявлениях.
В приведенной ниже инфографике показано, как набор эксплойтов может пытаться использовать устройство после посещения скомпрометированной веб-страницы.
Рисунок 1. Пример работы с наборами
Несколько заметных угроз, в том числе Wannacry, используют уязвимость CVE-2017-0144 для запуска вредоносных программ.
Примеры наборов эксплойтов:
Дополнительные новости об эксплойтах читайте в этом сообщении в блоге о том, как разобрать двойной образец нулевого дня, обнаруженный в совместной охоте с ESET.
Как мы именуем эксплойтов
Мы классифицировать эксплойты в нашей энциклопедии вредоносных программ по целевой «платформе». Например, Exploit:Java/CVE-2013-1489. A — это эксплойт, нацеленный на уязвимость в Java.
Проект под названием «Общие уязвимости и воздействия (CVE)» используется многими поставщиками программного обеспечения безопасности. Проект предоставляет каждой уязвимости уникальный номер, например CVE-2016-0778. В части «2016» указывается год обнаружения уязвимости. The «0778» is a unique ID for this specific vulnerability.
Дополнительные тексты можно прочитать на веб-сайте CVE.
Защита от эксплойтов
Лучшей профилактикой эксплойтов является обновление программного обеспечения организации. Поставщики программного обеспечения предоставляют обновления для многих известных уязвимостей, поэтому убедитесь, что эти обновления применяются на всех устройствах.
Эксплойт
Содержание
Классификация
В зависимости от метода получения доступа к уязвимому программному обеспечению, эксплойты подразделяются на удалённые (англ. remote ) и локальные (англ. local ).
Атака эксплойта может быть нацелена на различные компоненты вычислительной системы — серверные приложения, клиентские приложения или модули операционной системы. Для использования серверной уязвимости эксплойту достаточно сформировать и послать серверу запрос, содержащий вредоносный код. Использовать уязвимость клиента немного сложнее — требуется убедить пользователя в необходимости подключения к поддельному серверу (перехода по ссылке в случае если уязвимый клиент является браузером).
Виды эксплойтов
Эксплойты, фактически, предназначены для выполнения сторонних действий на уязвимой системе и могут быть разделены между собой следующим образом:
Как выглядит эксплойт?
Эксплойты могут быть классифицированы также по типу используемой ими уязвимости, такой как: переполнение буфера, SQL-инъекция, межсайтовый скриптинг, подделка межсайтовых запросов и т. д.
Актуальность
Информация, полученная в результате обнаружения уязвимости, может быть использована как для написания эксплойта, так и для устранения уязвимости. Поэтому в ней одинаково заинтересованы обе стороны — и взломщик, и производитель взламываемого программного обеспечения. Характер распространения этой информации определяет время, которое требуется разработчику до выпуска заплатки.
Связки
Связки эксплойтов представляют из себя пакет эксплойтов сразу под несколько программ (версий) и/или под разные уязвимости в них. В последних версиях связок производится выбор эксплойта именно под конкретную программу пользователя.
См. также
Примечания
Ссылки
Полезное
Смотреть что такое «Эксплойт» в других словарях:
эксплойт — сущ., кол во синонимов: 1 • программа (114) Словарь синонимов ASIS. В.Н. Тришин. 2013 … Словарь синонимов
Эксплойт (компьютерная безопасность) — Эксплойт (фр. exploit эксплуатировать) это общий термин в сообществе компьютерной безопасности для обозначения фрагмента программного кода, который, используя возможности, предоставляемые ошибкой, отказом или уязвимостью, ведёт к повышению… … Википедия
Эксплоит — Эксплойт (фр. exploit эксплуатировать) это общий термин в сообществе компьютерной безопасности для обозначения фрагмента программного кода, который, используя возможности, предоставляемые ошибкой, отказом или уязвимостью, ведёт к повышению… … Википедия
Системное программное обеспечение PlayStation Portable — Системное программное обеспечение PlayStation Portable это официальная обновляемая прошивка для PlayStation Portable. Обновления добавляют новые возможности и вносят исправления в безопасность для предотвращения запуска программ без… … Википедия
Переполнение буфера — У этого термина существуют и другие значения, см. Переполнение. Переполнение буфера (Buffer Overflow) явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Переполнение буфера обычно… … Википедия
San Andreas Multiplayer — Разработчик The SA MP team Дата выпуска 10 мая 2006 Версия 0.3e (8 мая 2012[1]) Жанр Модификация Платформы … Википедия
SA-MP — San Andreas Multiplayer Разработчик The SA:MP team Издатель The SA:MP team Дата выпуска 0.2X: 20 ноября 2008 Платформы IBM PC: Windows Версия … Википедия
Patapon 2: Don Chaka — Разработчики Japan Studio, Pyramid Издатель Sony Computer Entertainment Дата выпуска … Википедия
Ньюфаундленд остров у берегов Северной Америки — (Newfoundland) остров у северо восточных берегов Северной Америки, к В от залива Св. Лаврентия, старейшая в Новом Свете колония Англии, занимает пространство в 110670 кв. км и, вместе с Антикости и берегом Лабрадора, образует одну… … Энциклопедический словарь Ф.А. Брокгауза и И.А. Ефрона
Ньюфаундленд (о-в) — (Newfoundland) остров на сев. вост. берегу Америки, к В от зал. Св. Лаврентия, старейшая в Новом Свете колония Англии, занимает пространство в 110670 кв. км и, вместе с Антикости и берегом Лабрадора, образует одну. административную единицу, под… … Энциклопедический словарь Ф.А. Брокгауза и И.А. Ефрона
Взлёты и падения рынка эксплойтов
В последние годы подпольный рынок эксплойтов сильно изменился. Если раньше их продажа была практически единственным способом заработать, то сейчас появились альтернативные способы монетизации. В течение двух лет мы изучали, как устроен подпольный рынок эксплойтов для различных уязвимостей, и в этом посте поделимся результатами нашего исследования жизненного цикла эксплойта на форумах киберпреступного андерграунда.
О терминологии
Прежде чем продолжать рассказ, обозначим, что под уязвимостью мы понимаем недостаток, слабость или ошибку в программном или аппаратном обеспечении. Если эта уязвимость ещё не была раскрыта публично или была раскрыта, но до сих пор не исправлена, мы называем её уязвимостью нулевого дня (0-day). Как только уязвимость становится публичной и для неё выпускается исправление, она переходит в разряд известных уязвимостей (N-day).
Эксплойт — это специальным образом написанный код, который позволяет использовать 0-day- или N-day-уязвимость для проникновения в систему, извлечения данных и/или даёт другие возможности её несанкционированного использования.
Что изменилось на рынке эксплойтов
Прежде рынок эксплойтов был более прибыльным. Об этом свидетельствует уменьшение количества объявлений на подпольных форумах, хотя одной из возможных причин этого явления может быть перемещение торговых площадок в более закрытые пространства, например, в даркнет.
Снижение прибыли от торговли эксплойтами также можно связать с ростом выплат по программам Bug Bounty — охоту за багами — объявили практически все известные вендоры.
Выплаты Microsoft по программам Bug Bounty. Источник: Microsoft Security Response Center
Например, Microsoft за 2019 год выплатила 13,7 млн долларов США исследователям, обнаружившим уязвимости. Самая большая выплата составила 200 тыс. долларов США — её получил эксперт, обнаруживший уязвимость в Hyper-V.
Возможность легально получить крупное вознаграждение приводит к частичной декриминализации рынка эксплойтов и делает его более скудным и переменчивым.
Ещё одна причина перемен — появление нового горячего товара, access-as-a-service, т. е. «доступ как услуга». Торговля доступом к системам оказывается более прибыльной, чем торговля N-day-эксплойтами, поскольку продавцы требуют за доступ более высокие цены, чем за полуфабрикат — эксплойт, которым ещё нужно суметь правильно воспользоваться. С точки зрения результата доступ как услуга имеет все преимущества эксплойта, но вся черновая и сложная техническая работа уже проделана за покупателя.
Тем не менее, рынок эксплойтов всё ещё далёк от полного угасания. Даже после раскрытия и исправления уязвимости эксплойты для неё продолжают продаваться на подпольных рынках в течение многих месяцев или даже лет.
Как показывает наше исследование, наибольшим спросом пользуются эксплойты для продуктов Microsoft — их разыскивают 47% покупателей. При этом 61% всех объявлений о продаже эксплойтов также посвящены уязвимостям в продуктах Microsoft.
Типичная цена, которую пользователи форумов готовы заплатить за запрошенные эксплойты N-day, составляла 2 тыс. долларов США. Эксплойты 0-day оценивались намного дороже — в 10 тыс. долларов США. Однако встречаются и значительно более бюджетные предложения — например, N-day-эксплойты для JavaScript за 40 долларов США или для Microsoft Word за 100 долларов США. Иногда мы встречали на англоязычных форумах бесплатные эксплойты. Стоит отметить, что цены на русскоязычных подпольных форумах обычно выше, чем на англоязычных.
Жизненный цикл эксплойта
Типичный жизненный цикл эксплойта 0-day-уязвимости выглядит следующим образом:
Разработчик представляет доказательство концепции эксплойта (Proof of Concept, PoC) или создаёт рабочий эксплойт.
Продавцы предлагают эксплойт на киберпреступных торговых площадках.
Об уязвимости становится известно пострадавшему вендору.
Вендор выпускает исправление для уязвимости.
a. продолжают продавать эксплойт в течение как минимум двух лет по более низкой цене, часто объединяя его с другими эксплойтами для получения большей прибыли;
b. прекращают продажу эксплойта.
Типичный жизненный цикл эксплойта. Источник (здесь и далее, если не указано иное): Trend Micro
Вот как выглядит жизненный цикл эксплойта для RCE-уязвимости CVE-2020-9054 в сетевых хранилищах Zyxel, который распространяется по крайней мере с февраля 2020 года. Эта уязвимость позволяет удалённо выполнить произвольный код (Remote Code Execution, RCE) в затронутых продуктах компании Zyxel.
Жизненный цикл эксплойта для уязвимости CVE-2020-9054 в Zyxel NAS. Источник: Trend Micro
Всего за шесть месяцев эксплойт подешевел в десять раз — с 20 тыс. до 2 тыс. долларов США.
Разработчики эксплойтов
Деятельность разработчиков эксплойтов нельзя назвать простой. Изучая форумы, которые занимались продажей эксплойтов в течение нескольких лет, мы убедились, что новым продавцам довольно сложно войти в этот бизнес, потому что их обычно тщательно проверяют и всё равно относятся с недоверием. Например, на форуме Hack Forums мы обнаружили нового разработчика эксплойтов, который пытался продать сборку эксплойтов PDF нулевого дня за 950 долларов США в сентябре 2020 года. Продавец был подвергнут сомнению за то, что он пробыл на Hack Forums всего месяц. Кроме того, пользователи не поверили ему, поскольку настоящий эксплойт нулевого дня стоит от 5 000 до 10 000 долларов США. В настоящее время этот пользователь больше не зарегистрирован на Hack Forums.
Многие опытные продавцы зарабатывают свою репутацию годами. Для этого они не только продают эксплойты, но и покупают их.
Пользователи форумов часто обсуждают легальные программы вознаграждения за ошибки в положительном ключе. На некоторых англоязычных форумах мы встретили пользователей, размещающих руководства и советы о том, как отправлять эксплойты в программы вознаграждения за баги. Мы также видели утечку курса организации SANS Institute по программам Bug Bounty и ответственному раскрытию информации, который распространялся бесплатно.
Однако другая часть участников форумов жалуются на программы Bug Bounty. Среди жалоб — долгое ожидание ответа, превышение допустимого количества заявок и проблемы с выплатами. Для некоторых разработчиков эксплойтов эти и другие недостатки программ Bug Bounty являются достаточной причиной для того, чтобы продавать свои эксплойты в киберпреступном подполье, а не мучиться с легальным багхантингом.
Пост с критикой программ Bug Bounty. Источник: Trend Micro
Небольшая группа недовольных багхантеров использует киберфорумы не только для продажи своих эксплойтов, но и для поиска желающих воспользоваться их навыками кодирования.
Например, мы видели пользователя на Hack Forums, который предоставил скриншоты своих заявок на участие в программе Bug Bounty, предложил свои услуги по кодированию и искал потенциальных покупателей своих эксплойтов. Другой пример — пользователь на RaidForums, который решил продать свои эксплойты для использования киберпреступниками вместо того, чтобы отправить их в Bug Bounty:
Объявление о продаже эксплойтов на RaidForums. Источник: Trend Micro
Спрос и предложение
Мы изучили объявления о продаже эксплойтов, отсеяв предположительно мошеннические или опубликованные участниками с низкой репутацией. Мы также посмотрели, какие эксплойты пользуются спросом.
Самые востребованные эксплойты на киберфорумах
Как уже было сказано выше, самыми востребованными (47%) оказались эксплойты для продуктов Microsoft. Эксплойты для устройств интернета вещей (IoT) искали лишь 5% покупателей, однако мы ожидаем, что с ростом количества подключённых устройств этот сегмент станет более прибыльным для злоумышленников, особенно с учётом того, что многие IoT-устройства с трудом поддаются исправлению, а на некоторых установка обновлений не предусмотрена в принципе.
Лидером среди выставленных на продажу эксплойтов также являются продукты Microsoft: Microsoft Office, Microsoft Windows, Internet Explorer и Microsoft Remote Desktop Protocol (RDP) имели совокупную долю рынка 61%.
Предлагаемые к продаже эксплойты
Средняя цена, которую пользователи были готовы заплатить за эксплойты, составила 2 тыс. долларов США. Но мы нашли в продаже на русскоязычных форумах несколько относительно бюджетных эксплойтов:
для Microsoft RDP — 200 долларов США,
для WinRAR — 200 долларов США;
для Cisco — 1000 долларов США.
На англоязычных форумах цены были ещё ниже: некоторые эксплойты для Microsoft Word и Excel стоили всего 35 долларов США.
В отличие от англоязычных форумов, где чаще всего рекламировались эксплойты для Microsoft Office и Adobe Acrobat Reader, разнообразие эксплойтов на русскоязычных форумах было значительно выше. Наибольшей популярностью пользовались «тихие» эксплойты, предназначенные для скрытного запуска в фоновом режиме при открытии файла, содержащего эксплойт, и автоматической установки вредоносного ПО без ведома жертвы. В идеале они совершенно необнаружимы во время выполнения и для антивирусных программ.
Мы также проследили, как список пожеланий потенциальных покупателей соотносится с реальными объявлениями о продаже эксплойтов для продуктов Microsoft на подпольных форумах киберпреступников. Мы заметили, что то, что запрашивалось, было более или менее похоже на то, что предлагалось, —предложение адаптировалось к тому, что требовали потребители.
Сравнение спроса и предложения на эксплойты для продуктов Microsoft
Cпрос на эксплойты и их доступность для покупки высоки, пока они относительно новые. Чуть меньше половины эксплойтов, которые ищут пользователи киберфорумов, и чуть больше половины проданных ими были предназначены для уязвимостей, которые были раскрыты в 2019 и 2020 годах. Большинство эксплойтов N-day, рекламируемых на англоязычных форумах, относятся к 2017 или 2018 годах, а те, что рекламируются на русскоязычных форумах, в основном годичной давности.
Распределение по годам эксплойтов, которые ищут пользователи киберфорумов
Устаревший не значит бесполезный
Как ни удивительно, эксплойты для самых старых уязвимостей продолжают продаваться. Киберпреступники хотят использовать самый дешёвый инструмент, и в большинстве случаев использование уязвимостей нулевого дня или недавно обнаруженных является бессмысленной роскошью. В связи с этим они обращаются к более устаревшим уязвимостям, в том числе десятилетней давности. Эксплойты для уязвимостей, которые были исправлены в течение многих лет, продаются по дешёвке, что позволяет значительно снизить расходы на подготовку кампании.
Например, варианты оригинальной программы WannaCry ransomware распространены и сегодня. WannaCry опирается на EternalBlue, эксплойт для CVE-2017-0144. Компания Microsoft выпустила исправление для этой уязвимости в бюллетене безопасности MS17-010 примерно за два месяца до первой вспышки эпидемии вымогательского ПО в мае 2017 года. Учитывая, что уязвимость была исправлена, вспышка не должна была затронуть много устройств. Однако по различным причинам многие организации не применили патч до сих пор.
Как отмечается в ежегодном отчёте Trend Micro по кибербезопасности, WannaCry был самым обнаруженным семейством вредоносных программ в 2020 году. А согласно данным Shodan, по состоянию на июнь 2021 года в сети всё ещё присутствует более 650 тыс. устройств, уязвимых к WannaCry.
Уязвимости по подписке
Доходность подписной модели оценили не только вендоры ПО, но и киберпреступники, которые предлагают подписку на свежие эксплойты за ежемесячную плату в размере от 60 до 2000 долларов США.
Прайс-лист на эксплойт-подписку
Один из таких продавцов предлагал месячную подписку на сборщик эксплойтов по цене от 60 долларов США. Сервис предлагал несколько категорий эксплойтов, включая эксплойты для Microsoft Word, Microsoft Excel и JavaScript, и гарантировал, что эксплойты являются «FUD» (Full UnDetectable — полностью необнаруживаемыми) и будут обновляться еженедельно. Подписчик мог выбрать, какие эксплойты использовать для файла, который он хотел бы использовать в качестве полезной нагрузки.
Эксплойт билдер — конструктор вредоносного ПО по подписке
Другой продавец предлагал за 1150 долларов США в месяц конструктор вредоносного ПО, включающий эксплойты для CVE-2017-11882, CVE-2017-8570 и CVE-2018-0802, с аналогичными гарантиями необнаружения во время выполнения и ежемесячными обновлениями.
Эти услуги по подписке обеспечивают быстрый доступ для менее искушённых пользователей, поскольку большая часть работы уже автоматизирована для них, что снижает барьер для входа в киберпреступность. Клиенты, похоже, довольны услугами, но они, похоже, не знают, что делают продавцы услуг, чтобы каждый месяц оставлять эксплойты необнаруженными.
Выводы и рекомендации
Одной из тенденций, которая может определить будущее рынка эксплойтов, является рост распространённости модели «доступ как услуга», в рамках которой «абоненты» получают нелегальный доступ к корпоративным сетям через RDP. Это даёт клиентам такие преимущества, как простота использования и прозрачность, а поставщикам — возможность требовать за лучший сервис более высокие цены, чем за эксплойты N-day. Помимо этого, поставщики доступа как услуги не подвергаются таким проверкам со стороны потенциальных покупателей, как продавцы эксплойтов.
Применение всех доступных исправлений для уязвимостей может быть практически невыполнимой задачей для любой организации. Другими словами, добиться полной неуязвимости систем нереально. Тем не менее, определяя приоритетность установки патчей, компаниям следует учитывать эксплойты, которые смогут использовать киберпреступники.
Один из способов выиграть время, необходимое командам безопасности для развёртывания необходимых обновлений, — виртуальные патчи. Этот инструмент особенно важен, когда речь идёт об уязвимостях нулевого дня, поскольку виртуальные патчи защищают системы и сети, выступая в качестве дополнительного слоя безопасности от известных и неизвестных эксплойтов.
Один из важнейших выводов нашего исследования состоит в том, что срок жизни ценного эксплойта значительно дольше, чем многие ожидают. Это чрезвычайно важная информация для всех, кто занимается установкой исправлений, поскольку устранение популярной «старой» уязвимости зачастую может быть приоритетнее, чем устранение сегодняшней критической уязвимости.
Эксплойт
Это вредоносный код, который использует уязвимости в системе безопасности программного обеспечения для распространения киберугроз.
Что такое эксплойт?
Стандартное определение характеризует «эксплойт» как программу или код, который использует недостатки в системе безопасности конкретного приложения для заражения устройства.
Пользователи могут ошибочно считать, что это отдельное вредоносное программное обеспечение. Однако на самом деле, это фрагмент кода программы, который позволяет проникать в систему компьютера и влиять на его работу.
Используя определенную уязвимость, данный инструмент предоставляет злоумышленникам необходимые разрешения для запуска вредоносных компонентов и заражения системы.
Особенности распространения
Злоумышленники постоянно совершенствуют свой инструментарий и находят новые способы заражения большого количества устройств. Одним из распространенных методов проникновения вредоносных программ на компьютеры жертв стало использование эксплойтов, которые обеспечивают быстрое распространение угрозы.
Также они позволяют получить доступ к программам и в дальнейшем заражать устройство пользователя через уязвимость в системе безопасности.
За последние годы наиболее активными были угрозы, которые используют уязвимости в продуктах Java, в программном обеспечении Adobe, а также операционной системе Windows.
Известные примеры
В последнее время эксплойты используются во многих известных кибератаках. Примером является масштабная атака вируса WannaCryptor (или WannaCry), которая стала крупнейшей цифровой угрозой в мире за последние годы. Стоит отметить, что во время этой атаки использовался эксплойт EternalBlue, который был якобы похищен группой киберпреступников в Агентстве национальной безопасности (NSA). EternalBlue был нацелен на уязвимость реализации протокола SMB в неактуальной версии Microsoft.
Кроме этого, EternalBlue также был инструментом во время известной атаки Diskcoder.C (Petya, NotPetya и ExPetya).
Узнать больше
Особой популярностью среди киберпреступников пользуются «0-дневные» уязвимости. Примером их применения является последняя кампания группы киберпреступников Buhtrap, которая начала использовать эксплойт с целью получения доступа для запуска своих вредоносных программ и осуществления шпионской деятельности в Восточной Европе и Центральной Азии.
Вредоносные компоненты доставляются с помощью документов, которые побуждают пользователей открыть их. Анализ таких документов-приманок дает подсказки о том, на кого может быть нацелена атака. Когда атаки направлены на коммерческие компании, документы-приманки, как правило, замаскированные под контракты или счета-фактуры.
Кроме этого, эксплойт использовался в атаках группы киберпреступников PowerPool. Вредоносный код был нацелен на уязвимость в Windows, а именно ALPC Local Privilege Escalation.