In un momento in un passato non così lontano, gli exploit erano responsabili della consegna del 80 percento di malware ai sistemi delle persone. Ma oggi sembra che gli exploit stiano vivendo una pausa.
Questo significa che se ne sono andati per sempre e che tutti possiamo abbassare la guardia? O è solo la calma prima della tempesta? Distruggiamo questa minaccia furtiva in modo che tu non solo conosca il tuo nemico, ma sia anche adeguatamente preparato nel caso in cui gli attacchi di exploit ritornino.
Puoi anche leggere: Che cos’è un worm di rete? Tipi significativi e attacchi.
Che cos’è un exploit?
Un exploit è un programma o una parte di codice che trova e sfrutta un difetto di sicurezza in un’applicazione o in un sistema in modo che i criminali informatici possano utilizzarlo a proprio vantaggio, ovvero per sfruttarlo.
I criminali informatici spesso forniscono exploit ai computer come parte di un kit, o insieme di exploit, che sono ospitati su siti Web o nascosti su pagine di destinazione invisibili.
Quando arriva su uno di questi siti, il kit di exploit prende automaticamente le impronte digitali del tuo computer per vedere su quale sistema operativo ti trovi, quali programmi e programmi hai in esecuzione e, soprattutto, se qualcuno di questi ha falle di sicurezza, chiama vulnerabilità. Fondamentalmente, cerca nel tuo computer i punti deboli da sfruttare, non come hanno fatto i Trojan con il tallone d’Achille.
Dopo aver scoperto le vulnerabilità, l’exploit kit utilizza il codice predefinito per forzare l’apertura dei buchi e distribuire il malware, aggirando molti programmi di sicurezza.
Quindi gli exploit sono una forma di malware? Tecnicamente, no. Gli exploit non sono malware in sé, ma piuttosto metodi per distribuire malware. Un kit di exploit non infetta il tuo computer. Ma apre la porta per far entrare il malware.
Tipi di exploit
Gli exploit possono essere raggruppati in due categorie: noti e sconosciuti, detti anche exploit zero-day.
1. Exploit noti
Gli exploit noti sono exploit che i ricercatori della sicurezza hanno già scoperto e documentato. Questi exploit sfruttano le vulnerabilità note nei programmi e nei sistemi software (che gli utenti potrebbero non aggiornare da molto tempo).
I professionisti della sicurezza e gli sviluppatori di software hanno già corretto queste vulnerabilità, ma può essere difficile tenere il passo con tutte le patch necessarie per ogni pezzo di software; quindi questi exploit popolari continuano ad avere così tanto successo.
2. Exploit sconosciuti
Gli exploit sconosciuti o zero-day vengono utilizzati su vulnerabilità che non sono ancora state segnalate al pubblico in generale. Ciò significa che i criminali informatici hanno rilevato il difetto prima che gli sviluppatori lo notassero o creassero un exploit prima che gli sviluppatori avessero la possibilità di risolverlo.
In alcuni casi, gli sviluppatori potrebbero non trovare nemmeno la vulnerabilità nel loro programma che ha portato a un exploit per mesi, se non anni! I giorni zero sono particolarmente pericolosi perché, anche se gli utenti hanno il software completamente aggiornato, possono comunque essere sfruttati e la loro sicurezza può essere violata.
Come attaccano gli exploit?
I criminali informatici spesso scelgono siti popolari e affidabili per ottenere il massimo dal loro investimento. Ciò significa che i siti di notizie che leggi, il sito web che usi per navigare nel settore immobiliare o il negozio online in cui acquisti i tuoi libri sono tutti potenziali candidati. Siti come yahoo.com, nytimes.com e msn.com sono stati compromessi in passato.
Quindi stai navigando sul Web, visitando un sito Web che ami e il sito compromesso ti reindirizza in background, senza aprire nuove finestre del browser o avvisarti in altro modo in modo che tu possa essere scansionato per un’infezione. . In base a questo, sei selezionato per lo sfruttamento o scartato.
Come viene compromesso il tuo sito web preferito?
In due modi: 1. Il codice dannoso è nascosto in bella vista sul sito web (attraverso il buon vecchio hacking). 2. Un annuncio visualizzato sul sito Web è stato infettato. Questi annunci dannosi, noti come malvertising, sono particolarmente pericolosi in quanto gli utenti non hanno nemmeno bisogno di fare clic sull’annuncio per esporsi alla minaccia.
Entrambi i metodi, siti compromessi o pubblicità dannosa, ti reindirizzano immediatamente (punta il tuo browser) a una pagina di destinazione invisibile che ospita il kit di exploit. Una volta lì, se hai delle vulnerabilità sul tuo computer, il gioco è finito.
L’exploit kit identifica le vulnerabilità e avvia gli exploit appropriati per rimuovere i payload dannosi. Questi payload (il malware) possono quindi eseguire e infettare il tuo computer con tutti i tipi di malware. Il ransomware è uno dei payload preferiti dei kit di exploit in questi giorni.
Quale software è vulnerabile?
In teoria, dato abbastanza tempo, ogni pezzo di software è potenzialmente vulnerabile. I team specializzati in criminali trascorrono molto tempo a eliminare i programmi per trovare le vulnerabilità.
Tuttavia, in genere si concentrano sulle applicazioni con la base di utenti più ampia, poiché presentano gli obiettivi più ricchi. Come tutte le forme di cybercrime, è un gioco di numeri. Gli obiettivi principali delle applicazioni includono Internet Explorer, Flash, Java, Adobe Reader e Microsoft Office.
Come si possono prevenire?
Le società di software comprendono che i programmi che sviluppano possono contenere vulnerabilità. Poiché vengono effettuati aggiornamenti incrementali ai programmi per migliorare la funzionalità, l’aspetto e l’esperienza, vengono apportate anche correzioni di sicurezza per chiudere le vulnerabilità.
Queste correzioni sono chiamate patch e spesso vengono rilasciate regolarmente. Ad esempio, Microsoft rilascia una serie di patch per i suoi programmi il secondo martedì di ogni mese, nota come Patch Tuesday.
Le aziende possono anche rilasciare patch per i loro programmi ad hoc quando viene scoperta una vulnerabilità critica. Queste patch essenzialmente cuciono il buco in modo che i kit di exploit non possano trovare la loro strada e lasciare i loro pacchetti dannosi.
Il problema con le patch è che spesso non vengono rilasciate immediatamente dopo la scoperta di una vulnerabilità, quindi i criminali hanno il tempo di agire e sfruttare. L’altro problema è che dipendono dagli utenti che scaricano quegli aggiornamenti “fastidiosi” non appena escono.
La maggior parte degli exploit kit prende di mira le vulnerabilità che sono già state corrette da molto tempo perché sanno che la maggior parte delle persone non viene aggiornata regolarmente.
Nel caso di vulnerabilità del software che non sono ancora state riparate dall’azienda che le produce, ci sono tecnologie e programmi sviluppati da società di sicurezza informatica che proteggono programmi e sistemi noti come preferiti per lo sfruttamento.
Queste tecnologie agiscono essenzialmente come barriere contro i programmi vulnerabili e bloccano gli exploit in più fasi di attacco, in questo modo non hanno mai la possibilità di lasciare il loro payload dannoso.
I 3 exploit più potenti
I tre kit di exploit più attivi in questo momento si chiamano RIG, Neutrino e magnitudo. RIG rimane il kit più popolare e viene utilizzato sia nelle campagne di appropriazione indebita che in quelle di compromissione di siti Web per infettare i computer delle persone con ransomware.
neutrino è un kit di fabbricazione russa che è stato utilizzato in campagne di appropriazione indebita contro i principali editori, sfruttando le vulnerabilità di Flash e Internet Explorer (anche per fornire ransomware). Magnitude utilizza anche pubblicità dannosa per lanciare i suoi attacchi, sebbene si rivolga rigorosamente ai paesi asiatici.
Due campagne di sfruttamento meno conosciute, Pseudo-Darkleech e EITest, sono attualmente i veicoli di reindirizzamento più popolari che utilizzano siti Web compromessi. Questi criminali iniettano codice in siti come WordPress, Joomla o Drupal e reindirizzano automaticamente i visitatori a una pagina di destinazione del kit di exploit.
Come tutte le forme di minacce informatiche, gli exploit, i loro metodi di consegna e il malware che drop sono in continua evoluzione. È una buona idea tenere il passo con i modi più comuni per assicurarsi che i programmi a cui prendono di mira siano corretti sul tuo computer.
Questo perché, nel giugno 2016, Angler, un sofisticato kit di exploit che era responsabile di quasi il 60 percento di tutti gli attacchi di exploit nell’anno precedente, è stato chiuso. Non ci sono stati altri kit di exploit che hanno accumulato lo stesso livello di quota di mercato da allora.
Gli attori delle minacce sono stati un po’ timidi nel tornare a sfruttare i kit, temendo un altro attacco da parte di Angler. Dopo lo smantellamento di Angler, i criminali informatici sono tornati a concentrarsi su alcune forme di attacco più tradizionali, come il phishing e le e-mail con allegati dannosi (malspam).
Ma stai certo che torneranno una volta che un nuovo e più affidabile kit di exploit avrà dimostrato il suo valore sul mercato nero.
Come proteggersi dagli exploit?
L’istinto potrebbe essere quello di intraprendere poche o nessuna azione per proteggersi dagli exploit, poiché in questo momento non c’è molta attività di criminalità informatica correlata agli exploit.
Ma sarebbe come scegliere di non chiudere a chiave le porte poiché non c’è stato un furto con scasso nel tuo quartiere da un anno. Alcune semplici pratiche di sicurezza possono aiutarti a stare al passo con il gioco.
Prima di tutto, assicurati di mantenere i tuoi programmi software, plugin e sistemi operativi sempre aggiornati. Questo viene fatto semplicemente seguendo le istruzioni quando quei programmi ti ricordano che gli aggiornamenti sono pronti.
Puoi anche controllare le tue impostazioni di volta in volta per vedere se ci sono notifiche di patch che potrebbero essere scomparse dal tuo radar.
In secondo luogo, investi in una sicurezza informatica che protegga da exploit noti e sconosciuti. Diverse società di sicurezza informatica di nuova generazione, tra cui Malwarebytes, hanno iniziato a integrare la tecnologia anti-exploit nei loro prodotti.
Quindi puoi rilassarti e pregare che abbiamo visto l’ultima delle imprese. Oppure, puoi mantenere i tuoi scudi aggiornando costantemente i tuoi programmi e sistemi operativi e utilizzando programmi di sicurezza anti-exploit di prim’ordine. Il denaro intelligente dice che gli exploit torneranno. E quando torneranno, non avrai un tallone debole per esporli.
Puoi anche leggere: 11 tipi di attacchi informatici più comuni
