À une époque pas si lointaine, les exploits étaient chargés de livrer les 80 pour cent des logiciels malveillants sur les systèmes de personnes. Mais les exploits semblent connaître une pause aujourd’hui.
Cela signifie-t-il qu’ils sont partis pour toujours et que nous pouvons tous baisser la garde ? Ou est-ce juste le calme avant la tempête ? Détruisons cette menace furtive afin que vous connaissiez non seulement votre ennemi, mais que vous soyez également suffisamment préparé au cas où les attaques d’exploitation reviendraient.
Vous pouvez également lire : Qu’est-ce qu’un ver de réseau ? Types et attaques significatifs.
Qu’est-ce qu’un exploit ?
Un exploit est un programme ou un morceau de code qui trouve et exploite une faille de sécurité dans une application ou un système afin que les cybercriminels puissent l’utiliser à leur avantage, c’est-à-dire pour l’exploiter.
Les cybercriminels fournissent souvent des exploits aux ordinateurs dans le cadre d’un kit, ou d’un ensemble d’exploits, qui sont hébergés sur des sites Web ou cachés sur des pages de destination invisibles.
Lorsqu’il atterrit sur l’un de ces sites, le kit d’exploit prend automatiquement les empreintes digitales de votre ordinateur pour voir sur quel système d’exploitation vous êtes, quels programmes et programmes vous exécutez, et plus important encore, si l’un d’entre eux présente des failles de sécurité, appelle des vulnérabilités. Fondamentalement, il recherche sur votre ordinateur des faiblesses à exploiter, pas comme les chevaux de Troie l’ont fait avec le talon d’Achille.
Après avoir découvert les vulnérabilités, le kit d’exploitation utilise son code pré-construit pour essentiellement forcer les trous à s’ouvrir et diffuser le malware, en contournant de nombreux programmes de sécurité.
Les exploits sont-ils donc une forme de malware ? Techniquement, non. Les exploits ne sont pas des malwares en eux-mêmes, mais plutôt des méthodes de diffusion de malwares. Un kit d’exploit n’infecte pas votre ordinateur. Mais cela ouvre la porte pour laisser entrer le malware.
Types d’exploits
Les exploits peuvent être regroupés en deux catégories : connus et inconnus, également appelés exploits zero-day.
1. Exploits connus
Les exploits connus sont des exploits que les chercheurs en sécurité ont déjà découverts et documentés. Ces exploits tirent parti des vulnérabilités connues des logiciels et des systèmes (que les utilisateurs n’ont peut-être pas mis à jour depuis longtemps).
Les professionnels de la sécurité et les développeurs de logiciels ont déjà corrigé ces vulnérabilités, mais il peut être difficile de suivre tous les correctifs nécessaires pour chaque logiciel ; par conséquent, ces exploits populaires continuent d’être si réussis.
2. Exploits inconnus
Des exploits inconnus ou zero-day sont utilisés sur des vulnérabilités qui n’ont pas encore été signalées au grand public. Cela signifie que les cybercriminels ont détecté la faille avant que les développeurs ne la remarquent, ou ont créé un exploit avant que les développeurs aient eu la possibilité de la corriger.
Dans certains cas, les développeurs peuvent même ne pas trouver la vulnérabilité dans leur programme qui a conduit à un exploit pendant des mois, voire des années ! Les jours zéro sont particulièrement dangereux car, même si les utilisateurs ont leurs logiciels à jour, ils peuvent toujours être exploités et leur sécurité peut être violée.
Comment les exploits attaquent-ils ?
Les cybercriminels choisissent souvent des sites populaires et réputés pour en avoir le plus pour leur argent. Cela signifie que les sites d’actualités que vous lisez, le site Web que vous utilisez pour parcourir l’immobilier ou la boutique en ligne où vous achetez vos livres sont tous des candidats potentiels. Des sites comme yahoo.com, nytimes.com et msn.com ont été compromis dans le passé.
Vous naviguez donc sur le Web, parcourez un site Web que vous aimez, et le site compromis vous redirige en arrière-plan, sans ouvrir de nouvelle fenêtre de navigateur ni vous avertir d’une autre manière afin que vous puissiez être analysé pour une infection. . Sur cette base, vous êtes soit sélectionné pour l’exploitation, soit rejeté.
Comment votre site Web préféré est-il compromis ?
De deux manières : 1. Le code malveillant est caché à la vue de tous sur le site Web (grâce à un bon piratage à l’ancienne). 2. Une publicité affichée sur le site Web a été infectée. Ces publicités malveillantes, connues sous le nom de publicité malveillante, sont particulièrement dangereuses car les utilisateurs n’ont même pas besoin de cliquer sur la publicité pour s’exposer à la menace.
Les deux méthodes, sites piratés ou publicité malveillante, vous redirigent immédiatement (pointez votre navigateur) vers une page de destination invisible qui abrite le kit d’exploit. Une fois là-bas, si vous avez des vulnérabilités sur votre ordinateur, c’est fini.
Le kit d’exploit identifie les vulnérabilités et lance les exploits appropriés pour supprimer les charges utiles malveillantes. Ces charges utiles (les logiciels malveillants) peuvent alors s’exécuter et infecter votre ordinateur avec toutes sortes de logiciels malveillants. Le ransomware est l’une des charges utiles préférées des kits d’exploit de nos jours.
Quel logiciel est vulnérable ?
En théorie, avec suffisamment de temps, chaque logiciel est potentiellement vulnérable. Les équipes de spécialistes criminels passent beaucoup de temps à dépouiller des programmes pour trouver des vulnérabilités.
Cependant, ils se concentrent généralement sur les applications avec la plus grande base d’utilisateurs, car elles présentent les objectifs les plus riches. Comme toutes les formes de cybercriminalité, c’est un jeu de chiffres. Les principales cibles des applications incluent Internet Explorer, Flash, Java, Adobe Reader et Microsoft Office.
Comment les prévenir ?
Les éditeurs de logiciels comprennent que les programmes qu’ils développent peuvent contenir des vulnérabilités. Au fur et à mesure que des mises à jour incrémentielles sont apportées aux programmes pour améliorer les fonctionnalités, l’apparence et l’expérience, des correctifs de sécurité sont également apportés pour fermer les vulnérabilités.
Ces correctifs sont appelés correctifs et sont souvent publiés régulièrement. Par exemple, Microsoft publie un ensemble de correctifs pour ses programmes le deuxième mardi de chaque mois, appelé Patch Tuesday.
Les entreprises peuvent également publier des correctifs pour leurs programmes ad hoc lorsqu’une vulnérabilité critique est découverte. Ces correctifs cousent essentiellement le trou afin que les kits d’exploit ne puissent pas trouver leur chemin et laisser leurs packages malveillants.
Le problème avec les correctifs est qu’ils ne sont souvent pas publiés immédiatement après la découverte d’une vulnérabilité, de sorte que les criminels ont le temps d’agir et d’exploiter. L’autre problème est qu’ils dépendent du téléchargement par les utilisateurs de ces mises à jour « agaçantes » dès leur sortie.
La plupart des kits d’exploit ciblent des vulnérabilités qui ont déjà été corrigées depuis longtemps car ils savent que la plupart des gens ne sont pas régulièrement mis à jour.
Dans le cas des vulnérabilités logicielles qui n’ont pas encore été corrigées par l’entreprise qui les fabrique, il existe des technologies et des programmes développés par des entreprises de cybersécurité qui protègent les programmes et les systèmes connus comme favoris pour l’exploitation.
Ces technologies agissent essentiellement comme des barrières contre les programmes vulnérables et arrêtent les exploits à plusieurs étapes d’attaque, de cette façon, ils n’ont jamais la chance de quitter leur charge utile malveillante.
Les 3 exploits les plus puissants
Les trois kits d’exploit les plus actifs actuellement s’appellent RIG, Neutrino et magnitude. RIG reste le kit le plus populaire et est utilisé à la fois dans les campagnes de détournement de fonds et de compromission de sites Web pour infecter les machines des gens avec des ransomwares.
Neutrino est un kit de fabrication russe qui a été utilisé dans des campagnes de détournement de fonds contre de grands éditeurs, exploitant les vulnérabilités de Flash et Internet Explorer (également pour diffuser des ransomwares). Magnitude utilise également des publicités malveillantes pour lancer ses attaques, bien qu’il cible strictement les pays asiatiques.
Deux campagnes d’exploitation moins connues, Pseudo-Darkleech et EITest, ils sont actuellement les véhicules de redirection les plus populaires utilisant des sites Web compromis. Ces criminels injectent du code dans des sites comme WordPress, Joomla ou Drupal, et redirigent automatiquement les visiteurs vers une page de destination du kit d’exploit.
Comme toutes les formes de cybermenaces, les exploits, leurs méthodes de diffusion et les logiciels malveillants qu’ils baisse sont en constante évolution. C’est une bonne idée de se tenir au courant des moyens les plus courants pour s’assurer que les programmes qu’ils ciblent sont corrigés sur votre ordinateur.
En effet, en juin 2016, Angler, un kit d’exploit sophistiqué qui était responsable de près de 60% de toutes les attaques d’exploit de l’année précédente, a été fermé. Il n’y a eu aucun autre kit d’exploit qui a accumulé le même niveau de part de marché depuis lors.
Les acteurs de la menace ont un peu hésité à revenir aux kits d’exploitation, craignant une autre attaque d’Angler. Après le démantèlement d’Angler, les cybercriminels se sont à nouveau concentrés sur certaines formes d’attaques plus traditionnelles, telles que le phishing et les e-mails contenant des pièces jointes malveillantes (malspam).
Mais soyez assuré qu’ils reviendront une fois qu’un nouveau kit d’exploit plus fiable aura fait ses preuves sur le marché noir.
Comment se protéger des exploits ?
L’instinct peut être de prendre peu ou pas de mesures pour se protéger contre les exploits, car il n’y a pas beaucoup d’activité de cybercriminalité liée aux exploits en ce moment.
Mais ce serait comme choisir de ne pas verrouiller vos portes puisqu’il n’y a pas eu de cambriolage dans votre quartier depuis un an. Quelques pratiques de sécurité simples peuvent vous aider à garder une longueur d’avance.
Tout d’abord, assurez-vous de garder vos logiciels, plugins et systèmes d’exploitation à jour à tout moment. Cela se fait simplement en suivant les instructions lorsque ces programmes vous rappellent que les mises à jour sont prêtes.
Vous pouvez également vérifier vos paramètres de temps en temps pour voir s’il y a des notifications de correctifs qui ont peut-être disparu de votre radar.
Deuxièmement, investissez dans la cybersécurité qui protège contre les exploits connus et inconnus. Plusieurs sociétés de cybersécurité de nouvelle génération, dont Malwarebytes, ont commencé à intégrer une technologie anti-exploit dans leurs produits.
Alors vous pouvez vous détendre et prier pour que nous ayons vu le dernier des exploits. Ou, vous pouvez garder vos boucliers en place en mettant constamment à jour vos programmes et systèmes d’exploitation, et en utilisant des programmes de sécurité anti-exploit de premier ordre. L’argent intelligent dit que les exploits reviendront. Et quand ils reviendront, vous n’aurez pas un talon faible pour les exposer.
Vous pouvez également lire : 11 types d’attaques informatiques les plus courantes
