Em um momento no passado não muito distante, exploits foram responsáveis por entregar o 80 por cento do malware para sistemas Das pessoas. Mas as façanhas parecem estar passando por um hiato hoje.
Isso significa que eles se foram para sempre e que todos podemos baixar a guarda? Ou é apenas a calmaria antes da tempestade? Vamos destruir essa ameaça furtiva para que você não apenas conheça seu inimigo, mas também esteja adequadamente preparado caso os ataques de exploração voltem.
Você também pode ler: O que é um worm de rede? Tipos e ataques significativos.
O que é um exploit?
Uma exploração é um programa ou pedaço de código que encontra e explora uma falha de segurança em um aplicativo ou sistema para que os cibercriminosos possam usá-la em seu benefício, ou seja, para explorá-la.
Os cibercriminosos costumam entregar exploits a computadores como parte de um kit, ou conjunto de exploits, que são hospedados em sites ou ocultos em páginas de destino invisíveis.
Quando chega a um desses sites, o kit de exploração tira automaticamente as impressões digitais do seu computador para ver em qual sistema operacional você está, quais programas e programas você está executando e, o mais importante, se algum deles tiver falhas de segurança, chama vulnerabilidades. Basicamente, ele procura em seu computador pontos fracos a serem explorados, não como os cavalos de Tróia fizeram com o calcanhar de Aquiles.
Depois de descobrir as vulnerabilidades, o kit de exploração usa seu código pré-construído para essencialmente forçar a abertura dos buracos e entregar o malware, contornando muitos programas de segurança.
Então, as explorações são uma forma de malware? Tecnicamente, não. As explorações não são malware em si, mas métodos de entrega de malware. Um kit de exploração não infecta seu computador. Mas abre a porta para permitir a entrada do malware.
Tipos de exploits
Os exploits podem ser agrupados em duas categorias: conhecidos e desconhecidos, também chamados de exploits de dia zero.
1. Explorações conhecidas
Explorações conhecidas são explorações que os pesquisadores de segurança já descobriram e documentaram. Essas explorações tiram proveito de vulnerabilidades conhecidas em programas e sistemas de software (que os usuários podem não atualizar há muito tempo).
Profissionais de segurança e desenvolvedores de software já corrigiram essas vulnerabilidades, mas pode ser difícil acompanhar todos os patches necessários para cada parte do software; portanto, essas façanhas populares continuam a ter tanto sucesso.
2. Explorações desconhecidas
Explorações desconhecidas ou de dia zero são usadas em vulnerabilidades que ainda não foram relatadas ao público em geral. Isso significa que os cibercriminosos detectaram a falha antes que os desenvolvedores a percebessem ou criaram uma exploração antes que os desenvolvedores tivessem a chance de corrigi-la.
Em alguns casos, os desenvolvedores podem nem mesmo encontrar a vulnerabilidade em seu programa que levou a uma exploração por meses, se não anos! Os dias zero são particularmente perigosos porque, mesmo que os usuários tenham seu software totalmente atualizado, eles ainda podem ser explorados e sua segurança pode ser violada.
Como os exploits atacam?
Os cibercriminosos costumam escolher sites populares e confiáveis para obter o melhor retorno do seu investimento. Isso significa que os sites de notícias que você lê, o site que usa para procurar imóveis ou a loja online onde compra seus livros são todos candidatos em potencial. Sites como yahoo.com, nytimes.com e msn.com foram comprometidos no passado.
Então você está navegando na web, passando por um site que você adora, e o site comprometido o redireciona em segundo plano, sem abrir nenhuma nova janela do navegador ou avisá-lo de qualquer outra forma para que possa ser verificado se há uma infecção. Com base nisso, você é selecionado para exploração ou descartado.
Como o seu site favorito está comprometido?
De duas maneiras: 1. O código malicioso está escondido à vista de todos no site (por meio de hacking à moda antiga). 2. Um anúncio exibido no site foi infectado. Esses anúncios maliciosos, conhecidos como malvertising, são especialmente perigosos porque os usuários nem precisam clicar no anúncio para se expor à ameaça.
Ambos os métodos, sites hackeados ou publicidade maliciosa, redirecionam você imediatamente (aponte seu navegador) para uma página de destino invisível que abriga o kit de exploração. Uma vez lá, se você tiver vulnerabilidades em seu computador, o jogo acabou.
O kit de exploração identifica vulnerabilidades e inicia as explorações apropriadas para remover cargas maliciosas. Essas cargas (o malware) podem ser executadas e infectar seu computador com todos os tipos de malware. Ransomware é uma das cargas favoritas de kits de exploração atualmente.
Qual software é vulnerável?
Em teoria, com tempo suficiente, cada pedaço de software é potencialmente vulnerável. As equipes de especialistas em crimes passam muito tempo removendo programas para encontrar vulnerabilidades.
No entanto, eles geralmente se concentram nos aplicativos com a maior base de usuários, pois apresentam os objetivos mais ricos. Como todas as formas de crime cibernético, é um jogo de números. Os principais alvos dos aplicativos incluem Internet Explorer, Flash, Java, Adobe Reader e Microsoft Office.
Como eles podem ser evitados?
As empresas de software entendem que os programas que desenvolvem podem conter vulnerabilidades. Como atualizações incrementais são feitas em programas para melhorar a funcionalidade, aparência e experiência, correções de segurança também são feitas para fechar vulnerabilidades.
Essas correções são chamadas de patches e costumam ser lançadas regularmente. Por exemplo, a Microsoft lança um conjunto de patches para seus programas na segunda terça-feira de cada mês, conhecido como Patch Tuesday.
As empresas também podem lançar patches para seus programas ad-hoc quando uma vulnerabilidade crítica é descoberta. Esses patches basicamente fecham o buraco para que os kits de exploração não encontrem o caminho e deixem seus pacotes maliciosos.
O problema com os patches é que geralmente não são lançados imediatamente após a descoberta de uma vulnerabilidade, de modo que os criminosos têm tempo para agir e explorar. O outro problema é que eles dependem de usuários baixando essas atualizações “incômodas” assim que elas são lançadas.
A maioria dos kits de exploração visa vulnerabilidades que já foram corrigidas por um longo tempo, porque eles sabem que a maioria das pessoas não é atualizada regularmente.
No caso de vulnerabilidades de software que ainda não foram corrigidas pela empresa que os fabrica, existem tecnologias e programas desenvolvidos por empresas de segurança cibernética que protegem programas e sistemas conhecidos como favoritos para exploração.
Essas tecnologias atuam essencialmente como barreiras contra programas vulneráveis e interrompem exploits em vários estágios de ataque, dessa forma, eles nunca têm a chance de deixar sua carga maliciosa.
As 3 façanhas mais poderosas
Os três kits de exploração mais ativos agora são chamados de RIG, Neutrino e Magnitude. O RIG continua sendo o kit mais popular e está sendo usado em campanhas de apropriação indébita e comprometimento de sites para infectar as máquinas das pessoas com ransomware.
Neutrino é um kit feito na Rússia que tem sido usado em campanhas de apropriação indébita contra grandes editoras, explorando vulnerabilidades em Flash e Internet Explorer (também para entregar ransomware). Magnitude também usa publicidade maliciosa para lançar seus ataques, embora seja estritamente voltada para países asiáticos.
Duas campanhas de exploração menos conhecidas, Pseudo-Darkleech e EITest, eles são atualmente os veículos de redirecionamento mais populares que usam sites comprometidos. Esses criminosos injetam código em sites como WordPress, Joomla ou Drupal e redirecionam automaticamente os visitantes para uma página de destino do kit de exploração.
Como todas as formas de ciberameaças, explorações, seus métodos de entrega e o malware que eles queda estão em constante evolução. É uma boa ideia acompanhar as maneiras mais comuns de garantir que os programas aos quais eles se destinam sejam corrigidos em seu computador.
Isso ocorre porque, em junho de 2016, o Angler, um kit de exploração sofisticado que foi responsável por quase 60 por cento de todos os ataques de exploração no ano anterior, foi encerrado. Não houve nenhum outro kit de exploração que acumulou o mesmo nível de participação de mercado desde então.
Os atores da ameaça têm sido um pouco tímidos em voltar aos kits de exploração, temendo outro ataque do Angler. Depois que o Angler foi desmantelado, os cibercriminosos voltaram a se concentrar em algumas formas mais tradicionais de ataque, como phishing e e-mails com anexos maliciosos (malspam).
Mas fique tranquilo, pois eles retornarão assim que um novo e mais confiável kit de exploração provar seu valor no mercado negro.
Como se proteger contra exploits?
O instinto pode ser o de tomar pouca ou nenhuma ação para se proteger contra exploits, já que não há muita atividade de crime cibernético relacionado a exploits no momento.
Mas isso seria como optar por não trancar as portas, já que não há um roubo na sua vizinhança há um ano. Algumas práticas simples de segurança podem ajudá-lo a se manter à frente do jogo.
Em primeiro lugar, certifique-se de manter seus programas de software, plug-ins e sistemas operacionais atualizados o tempo todo. Isso é feito simplesmente seguindo as instruções quando esses programas o lembram de que as atualizações estão prontas.
Você também pode verificar suas configurações de vez em quando para ver se há notificações de patches que podem ter desaparecido de seu radar.
Em segundo lugar, invista em segurança cibernética que protege contra exploits conhecidos e desconhecidos. Várias empresas de segurança cibernética de próxima geração, incluindo Malwarebytes, começaram a integrar a tecnologia anti-exploit em seus produtos.
Portanto, você pode relaxar e orar para que vejamos a última das façanhas. Ou você pode manter seus escudos atualizados atualizando constantemente seus programas e sistemas operacionais e usando programas de segurança anti-exploit de primeira linha. O dinheiro inteligente diz que as explorações vão voltar. E quando eles retornarem, você não terá um calcanhar fraco para expô-los.
Você também pode ler: 11 tipos de ataques mais comuns a computadores
