Co to jest Exploit? Jak działa?
Exploit to oprogramowanie, fragment danych lub sekwencja poleceń, która wykorzystuje błąd lub lukę w aplikacji czy systemie. Dzięki temu umożliwia intruzowi zdalny dostęp do sieci i uzyskanie wyższych przywilejów czy nawet przejście w głąb sieci. To właśnie exploity często wykorzystuje się jako część ataku wieloskładnikowego. Zamiast używania złośliwego pliku, exploit „upuszcza” inne złośliwe oprogramowanie, a te może już zawierać trojana, backdoora czy oprogramowanie szpiegujące, które zaczyna wykradać informacje o użytkowniku z zainfekowanych systemów.
Zwykle cyberprzestępcy infekują exploitem swoje ofiary poprzez socjotechnikę – najczęściej jest to wiadomość phishingowa lub spamowa, która zawiera zagrożenie (link do zainfekowanej strony czy załącznik w postaci pliku z ukrytym, złośliwym kodem).
Co to jest Zero Day Exploit?
Exploit typu Zero Day to atak na lukę, która jest znana tylko i wyłącznie hakerom, którzy stworzyli dany exploit zero day. Jest to zdecydowanie jeden z najgroźniejszych ataków, ponieważ może trwać (pozostawać nieznany) do momentu aż sprawca nie zostanie wykryty lub do momentu, w którym producent zaatakowanego oprogramowania zorientuje się, że jego produkt ma lukę i nie wyda poprawki łatającej w celu jej usunięcia.
Exploity - przykłady ataków
W marcu 2020 r. setki organizacji gwałtownie przeszło na pracę zdalną, wiele z nich nie było przygotowanych na takie okoliczności i wymagało szybkiego wdrożenia usług współpracy w chmurze takich jak np. Microsoft Office 365 (O365). Ze względu na pośpiech podczas wdrożenia, wiele organizacji zaniedbało poprawną konfigurację zabezpieczeń platformy O365. Skutkiem tych zaniedbań były coraz częstsze ataki cyberprzestępców, którzy wykorzystywali wysoce wyrafinowane, ukierunkowane kampanie phishingowe, udając ekrany logowania, przechwytywali biznesową pocztę e-mail, a następnie wykorzystywali te poświadczenia do przeprowadzania dalszych ataków.
Wiele szkód przyniosła również podatność w SMB v3 (zwana również SMBGhost, CoronaBlue, NexternalBlue, BluesDay). Pozwalała ona w Windows 10 na eskalację uprawnień oraz wywołanie Blue Screen na atakowanej maszynie. Ponadto dzięki tej luce atakujący mógł rozprzestrzenić złośliwy kod z jednego podatnego systemu na drugi bez ingerencji użytkownika.
Kolejnym trendem było atakowanie niezałatanych luk w wirtualnych sieciach prywatnych (VPN). Luka umożliwiająca wykonanie dowolnego kodu w urządzeniach Citrix VPN, znana jako CVE-2019-19781, umożliwiała atakującym dostęp bez konieczności uwierzytelniania.
Inna luka umożliwiająca odczyt plików na serwerach PulseSecure VPN, znana jako CVE-2019-11510, pozwalała wkraść się na niezałatane serwery, włamać się do sieci firmowych i zainstalować oprogramowanie ransomware REvil (Sodinokibi).
Na exploity możemy trafić również w grach video. Doświadczyła tego popularna gra CS:GO i inne produkcje oparte o silnik Source. Hakerom udało się wykraść różnego rodzaju dane graczy (hasła, skiny ect.) przy pomocy zaproszeń na platformie Steam.
Oczywiście nie możemy pominąć luk w systemie Android, gdyż problem ten narasta, a na całym świecie są już miliony ofiar. Swego czasu dzięki exploitowi stworzonemu na smartfony o nazwie QuadRoot, hakerzy mogli uzyskać pełen dostęp i kontrolę nad urządzeniem oraz danymi osobowymi.
Exploit - jak się zabezpieczyć?
Ochrona przed exploitami powinna być wielowarstwowa, dlatego:
- Koniecznie zastosuj narzędzia do aktualizacji oprogramowania i zarządzania podatnościami. Doskonałym rozwiązaniem jest WithSecure (dawniej F-Secure) Elements Vulnerability Management (dawniej WithSecure (dawniej F-Secure) Radar), który wskaże nam niezaktualizowane oprogramowanie i pozwoli podjąć dalsze działania naprawcze. Jest to świetny sposób, by zminimalizować ryzyko infekcji.
- Edukuj swoich użytkowników – to oni są najsłabszym ogniwem. Za pomocą modułów szkoleniowych Proofpoint Security Awareness Training opartych o grywalizację, możemy zmienić standardowe zachowania naszych użytkowników, dzięki czemu zredukujemy potencjalne ryzyko.
- Dodaj kolejną warstwę ochrony – zacznij polegać na rozwiązaniach ochrony niesygnaturowej CylancePROTECT oraz narzędziach do reakcji i zarządzania incydentami bezpieczeństwa CylanceOPTICS. Narzędzia oparte o uczenie maszynowe i sztuczną inteligencję pomogą nam w ochronie i monitorowaniu środowiska pod kątem aktywności związanej z wykorzystaniem luk w oprogramowaniu. Z reguły wykorzystanie exploitów wiąże się z pojawieniem różnego typu anomalii od strony chronionego hosta, których klasyczne systemy antywirusowe nie są w stanie wychwycić.
