Какие существуют эксплойты?

Хакеры используют ради контроля над компьютерными устройствами пользователей любые лазейки. Они обратили внимание на недочеты в программном обеспечении компьютера. Например, ваш браузер может скачать и запустить вредоносную программу, а вы даже об этом не узнаете. Вы просто открываете файл, не подозревая, что этим запускаете на устройство опасный вирус. При передаче данных может произойти аналогичная ситуация. Значит, вас атаковал эксплойт.

Это от английского «exploit» – эксплуатировать. Эксплойтами называют тип вредоносного кода, использующего бреши во вполне официальных программах и даже операционных системах. Причины распространенности эксплойтов можно отнести к программным недочетам разработчиков программного обеспечения. К сожалению, недочеты не видны сразу. Проходит время, прежде чем разработчик обнаружит уязвимость и выпустит патч – устанавливаемое пользователем приложение, устраняющее одну или сразу несколько проблем. Так, после многих тревожных сигналов, компания Microsoft «залатала» 41 брешь в Internet Explorer. Но эти меры не остановили волну атак с применением этих опасных вирусов, поскольку уязвимости остались.
Эксплойт использует уязвимости, содержит исполняемый код и некоторые данные, может использовать всего один недостаток в программе. По мнению создателей антивирусов и защитных приложений, эксплойты представляют самую серьезную угрозу для безопасности данных и операционных систем. Каждая выявленная брешь открывает злоумышленникам возможность написать не одну зловредную программу-эксплойт. Даже есть черные рынки, где торгуют таким сомнительным «товаром».

Самыми беззащитными оказались браузеры, а также такое ПО, как Java, Microsoft Office, Flash. Разработчики не сидят «сложа руки», периодически выпускают патчи, чтобы исправить ту или иную проблему. Поэтому мы рекомендуем устанавливать обновления сразу. Но, даже если вы весьма осторожны, регулярно обновляете на своем ПК программное обеспечение – эксплойт все равно представляет большую угрозу. Ведь между открытием наличия бреши и появлением патча проходит некоторое время.

Говоря о видах эксплойтов, выделим самые опасные из них. Это код, написанный под уязвимость нулевого дня. Так называют пока не проявленную, не устраненную производителем “дыру” в программном обеспечении. Это дает злоумышленнику преимущество, заключающееся в неожиданности. Скорее всего, последует атака, которую никто не ожидает. Если напрямую достичь своей неблаговидной цели не получится – существует рынок, на котором уязвимость нулевого дня будет охотно приобретена другими хакерами. 

К сожалению, на поиск недочета в программном коде у производителей ПО обычно уходит много времени. Хакеры могут получить доступ к важным, но незащищенным данным, внедрить вредоносный вирус, который вызовет в работе системы сбой, выкрадет конфиденциальные сведения или спровоцирует рассылку спама с вашего ПК.

Существует несколько классификаций эксплойтов, в зависимости от того, какие их признаки принимать к сведению:

• по объекту, через который они внедряются: бывают нацеленные на приложения, на браузер, а также действующие на уровне ядра;

• по типу выбора бреши: эксплойты используют какой-то конкретный тип уязвимостей – это может быть, к примеру, протокол связи или операционная система;

• локальными или удаленными эти вирусы бывают по способу распространения – вредоносная программа может распространяться через локальную сеть или Интернет (удаленный эксплойт), либо атаковать компьютер напрямую;

• по цели применения - они могут использоваться, чтобы получить конфиденциальные и секретные сведения, чтобы взломать сеть или с целью установки шпионского программного обеспечения;

• эксплойты могут преследовать разные цели: перехватывать трафик, осуществлять фишинг, SQL-инъекции и другое.

Виды эксплойтов

Шансы злоумышленника добиться намеченного значительно возрастают, когда используется не одиночный эксплойт, а целый пакет вирусов. Такая массивная атака позволяет прощупать сразу несколько системных уязвимостей. Более того, в пакетах применяются хитроумные методики, в частности, запутывающие коды. Приведем примеры существующих наборов, которые встречаются на специализированных черных рынках:

1. Самый популярный -  Metasploit Framework, собравший много готовых вирусных кодов, а также вспомогательных инструментов, направленных на программные недочеты разных видов.

1. Не менее распространенный пакет под названием Exploit Pack.

2. CANVAS – это коммерческий набор, подобранный специально для тестирования на способность проникать в компьютер, используя уязвимости; им пользуются белые хакеры, а также инженеры и программисты, определяющие бреши в операционных системах – пентестеры.

3. Еще одна коммерческая платформа называется Core Impact, в ее составе несколько мощных пакетов и дополнительных инструментов, она создана с целью тестирования на проникновение;

4. SET или Social-Engineer Toolkit закупается и применяется, как правило, чтобы проводить атаки на основе социальной инженерии, то есть с участием человеческого фактора, и содержит многие дополнительные инструменты, с которыми составляются фишинговые письма, фейковые сайты, и прочее.

Теперь расскажем о некоторых наборах эксплойтов, наделавших много шумихи:

1. Nuclear Pack всерьез способствовал внедрению нашумевшего банковского троянского вируса под названием Caphaw.

2. Angler – набор не менее скандальный: он использует шифрованные файлы, наделен способностью обнаруживать антивирусы и поставленные экспертами по вопросам безопасности приманки – виртуальные машины; содержит эксплойт нулевого дня для Flash, обладает особенностью не записываться на жесткий диск пользователя, но сохраняться в памяти его компьютера.

3. Набор под названием Neutrino, в который входят несколько эксплойтов Java - его создавали русскоязычные разработчики, он был сделан вскоре после ареста создателя скандального вирусного пакета Paunch.

4. Много шума наделал в 2012 году некий Blackhole Kit – пакет, использующий бреши в старых версиях популярных браузеров, а также плагинов (Adobe Acrobat, Adobe Flash, Java). Этот пакет локальных эксплойтов начинал атаку на компьютер: он изменял код JavaScript, проникал со страницы подсадки в систему, получал права администратора и подгружал другие аналогичные вирусы, которые брали компьютер под контроль.

Как избежать заражения

Видимо, эксплойты «не выйдут из моды» у злоумышленников. Пользоваться уязвимостями им с руки - это практически всегда приводит к заражению. Нужно лишь заслать вредоносный файл в устройство пользователя. Он может проникнуть, когда вы посещаете зараженный кодом сайт либо при скачивании или открытии вполне себе безобидного на вид файла.

Далее подключаются другие опасные программы, то есть высылается пакет, ведущий “подрывную деятельность”. Как следует из написанного выше, главный элемент защиты – регулярное обновление программного обеспечения. Помните, производитель прибегает к обновлению не только ради добавления новых функций – обновление исправляет уязвимости.

Риск заразиться этими вирусами снижается, если вы используете брандмауэр и антивирус. Защитные приложения выявят потенциально опасные программы и сайты, заблокируют доступ к ним, проведут очистку от вируса. Поскольку очень часто к заражению приводит человеческий фактор, следует обучить персонал своей компании правилам безопасного поведения в сети.

Например, полезно прибегать к принципу наименьших привилегий. Он касается и электронных приложений, и людей. У каждого сотрудника должны быть немного ограничены права доступа – надо оставить лишь те, которые нужны, чтобы выполнять свои задачи. То же самое относится и уровней доступа к приложениям.

Мы рекомендуем использовать антивирус PRO32 Total Security нашей компании. Программа регулярно обновляется - все системы защиты “держат руку на пульсе”, адекватны сложившейся ситуации. Этим продуктом гарантирована надежная защита от эксплойтов. Спам-рассылка подвергается блокировке, антивирус предупреждает об опасных страницах, попытках фишинга. Защитное решение от компании PRO32 проводит поведенческий анализ. Это очень важно для эффективности борьбы. Вредоносных кодов очень много, но у них прослеживаются схожие черты поведения.