АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Эксплойт-кит

Эксплойт-кит (англ. exploit kit) — это программный инструмент для автоматизированного управления и развёртывания эксплойтов против целевого компьютера. Эксплойт-киты позволяют злоумышленникам распространять вредоносное ПО, не обладая глубокими знаниями о самом эксплойте. Наиболее часто используются браузерные эксплойты, однако встречаются и атаки на распространённое программное обеспечение, такое как Adobe Reader, или непосредственно на операционные системы. Большинство эксплойт-китов пишутся на PHP[1].

Эксплойт-киты часто продаются на чёрном рынке, как в виде самостоятельных наборов, так и по модели программного обеспечения как услуги.

История

К первым эксплойт-китам относятся и MPack, оба появились в 2006 году. Они распространялись на чёрных рынках, позволяя преступникам использовать эксплойты без специализированных знаний в области информационной безопасности[2][3].

Blackhole был представлен в 2010 году и предлагался как для полной покупки, так и в аренду за плату. Данные Malwarebytes указывают, что Blackhole был основным способом доставки вредоносных программ в 2012 году и большую часть 2013 года[4]. После ареста его авторов в конце 2013 года активность кита резко снизилась[4][5][6].

Эксплойт-кит Neutrino был впервые зафиксирован в 2012 году[7], и активно применялся при распространении криптовымогателей. Он задействовал уязвимости в Adobe Reader, Java Runtime Environment и Adobe Flash[8]. После общих действий Cisco Talos и GoDaddy по прекращению одной из кампаний с использованием Neutrino[9], авторы перестали продавать кит и ограничились поддержкой существующих клиентов. Тем не менее, развитие продолжилось, и в Neutrino добавлялись новые эксплойты[10]. По состоянию на апрель 2017 года активность Neutrino прекратилась[11]. 15 июня 2017 года компания F-Secure опубликовала в соцсетях сообщение: «R.I.P. Neutrino exploit kit. We’ll miss you (not)» с графиком, показывающим полное исчезновение обнаружений Neutrino.

С 2017 года распространённость эксплойт-китов резко снизилась. Среди причин называют аресты киберпреступников, повышение уровня защиты систем, что затрудняет эксплуатацию уязвимостей, а также смещение внимания злоумышленников к иным способам заражения (например, макровирусы в Microsoft Office и социальная инженерия)[12].

Для противодействия эксплойт-китам применяются различные средства защиты: сетевые антивирусы, системы предотвращения вторжений, антишпионское ПО. Некоторые решения предоставляются подписчикам на постоянной основе, что позволяет эффективнее защищаться от атак[13].

Обзор

Процесс эксплуатации

Общий процесс эксплуатации с применением эксплойт-кита выглядит следующим образом:

  1. Потерпевший переходит на сайт, заражённый эксплойт-китом. Ссылки на такие ресурсы могут распространяться через Спам, malvertising или взломанные легитимные сайты.
  2. Пользователь автоматически перенаправляется на «лендинг» (страницу приземления) эксплойт-кита.
  3. Эксплойт-кит определяет присутствующие уязвимости и подбирает подходящий эксплойт.
  4. Производится попытка эксплуатации. В случае успеха на устройство жертвы загружается вредоносная программа по выбору атакующего[1][14].

Особенности

Эксплойт-киты используют разнообразные методы обхода защиты, чтобы избежать обнаружения. Среди них — обфускация кода[15], а также применение фингерпринтинга — вредоносное содержимое выдаётся только подходящим по характеристикам целям[16][1].

Современные эксплойт-киты обычно оснащаются web-интерфейсом, системой статистики — ведут учёт посетителей и жертв[1].

Примечания