Черная дыра стала ближе: "Лаборатория Касперского" изучила распространенный эксплойт-пак BlackHole
Уязвимости в легитимном ПО являются одним из самых популярных у
злоумышленников способов заражения пользовательских устройств и
корпоративных сетей. По статистике "Лаборатории
Касперского", чаще всего компьютеры атакуют эксплойты,
использующие уязвимости в Java. При этом киберпреступники, как правило,
задействуют не один эксплойт, а целые наборы подобных зловредов -
эксплойт-паки. Эксперты "Лаборатории Касперского"
внимательно изучили один из таких наборов - широко
распространенный BlackHole, исследовав как процесс заражения компьютера
с помощью этого эксплойт-пака, так и механизмы защиты от него и подобных
ему зловредов, использующих уязвимости в ПО.
Любовь злоумышленников к эксплойт-пакам объясняется просто: в отличие от
отдельных вредоносных программ такие наборы значительно повышают
результативность атаки, поскольку наличие сразу нескольких разных
эксплойтов увеличивает шансы на то, что подходящая уязвимость в ПО будет
найдена. В частности, в эксплойт-пак BlackHole входят 3 эксплойта для
Oracle Java и 4 для Adobe Flash Player и Adobe Reader. При этом для
поддержания этого "инструмента" в рабочем состоянии
злоумышленники постоянно меняют набор эксплойтов, а также вносят
изменения в код для того, чтобы усложнить детектирование зловредов
антивирусными решениями.
Как правило, эксплойт-пак содержит стартовую страницу, которая
используется для того, чтобы определить параметры компьютера (версию
операционной системы и браузера, наличие плагинов и определенных
программ и т.п.) и подобрать соответствующие эксплойты для атаки. Затем,
если зловред находит подходящую брешь в программном обеспечении,
начинается непосредственный запуск эксплойта.
Эксперты "Лаборатории Касперского" отмечают, что
злоумышленники предпринимают немалые усилия для того, чтобы усложнить
задачу разработчикам защитного ПО. В частности они шифруют программный
код и периодически меняют этот шифр, а также добавляют мелкие,
незначительные изменения в код, которые могут помешать сигнатурному
детектированию.
Но несмотря на все эти уловки современные защитные решения могут
эффективно противостоять атакам с использованием эксплойтов, причем
распознавание угроз и их предупреждение осуществляется на всех этапах
срабатывания эксплойт-пака. К примеру, решения "Лаборатории
Касперского" блокируют возможность перехода на зараженный сайт,
ведущий на стартовую страницу эксплойта, а также распознают зловредов,
сверяя код всех запускаемых программ с обширной базой данных
вредоносного ПО или анализируя поведение программ. Кроме того, отдельная
технология "Защита от эксплойтов", встроенная в продукты
"Лаборатории Касперского", позволяет вовремя распознать
эксплойт среди всех других программ и предотвратить его запуск на
компьютере.
"Эксплойт-паки - это комплексная система проникновения на
компьютер жертвы. И если раньше эксплойты и загружаемые с их помощью
вредоносные программы создавались одними и теми же людьми, то сегодня в
этой киберпреступной индустрии наблюдается распределение труда: кто-то
создает и продает эксплойт-паки, кто-то обеспечивает приход
пользователей на стартовые страницы эксплойтов, кто-то пишет
распространяемые в ходе атак вредоносные программы. Так что теперь
злоумышленнику, желающему заразить компьютеры пользователей, достаточно
просто купить готовый эксплойт-пак и сопутствующие ему
"сервисы". В таких условиях качественное защитное ПО,
обладающее проактивными технологиями защиты, становится жизненно
необходимым", - рассказывает Вячеслав Закоржевский,
руководитель группы исследования уязвимостей "Лаборатории
Касперского".
Подробнее о том, как действуют эксплойт-паки, почему злоумышленники
шифруют код и какие приемы они для этого используют, как происходит
заражение компьютера и каким образом антивирусное ПО может распознать
эксплойт и защитить пользователя, читайте в статье Вячеслава
Закоржевского на сайте
www.securelist.com/ru/analysis/208050809/Kak_zakryt_chernuyu_dyru.
Комментарии