Che cos'è un kit di exploit?
I kit di exploit sono stati sviluppati come un modo per sfruttare automaticamente e silenziosamente le vulnerabilità sui computer delle vittime durante l'esplorazione Web. Grazie alla loro natura altamente automatizzata, i kit di exploit sono diventati uno dei metodi più popolari di distribuzione di malware di massa o di strumenti di accesso remoto (RAT) da parte dei gruppi criminali, abbassando la barriera di ingresso per gli aggressori. I kit di exploit sono anche efficaci nel generare profitto per gli attori malintenzionati. I creatori di kit di exploit offrono queste campagne in affitto sui mercati criminali clandestini sotto forma di kit di exploit come servizio, dove il prezzo per i kit principali può raggiungere migliaia di dollari al mese.
Gli aggressori utilizzano i kit di exploit con l'obiettivo finale di stabilire il controllo di un dispositivo in modo automatizzato e semplificato. All'interno di un kit di exploit, deve verificarsi una serie di eventi affinché l'infezione abbia successo. A partire da una pagina di destinazione, all'esecuzione di un exploit e alla consegna di un carico utile, ogni fase deve essere completata con successo affinché l'aggressore possa ottenere il controllo dell'host.
Video correlati
Perché il phishing e altri attacchi basati su Web hanno ancora successo?
Pagina di atterraggio
I kit di exploit iniziano con un sito web che è stato compromesso. La pagina compromessa devierà discretamente il traffico web verso un'altra landing page. All'interno della landing page c'è un codice che profila il dispositivo della vittima alla ricerca di eventuali applicazioni vulnerabili basate sul browser. Se il dispositivo è completamente patchato e aggiornato, il traffico del kit di exploit cesserà. Se ci sono delle vulnerabilità, il sito web compromesso devia discretamente il traffico di rete verso l'exploit.
Sfruttare
L'exploit utilizza un'applicazione vulnerabile per eseguire segretamente il malware su un host. Le applicazioni prese di mira includono Adobe® Flash® Player; Java® Runtime Environment; Microsoft® Silverlight®, il cui exploit è un file; e il browser web, il cui exploit viene inviato come codice nel traffico web.
Carico utile
Se e quando un exploit ha successo, il kit di exploit invia un payload per infettare l'host. Il payload può essere un downloader di file che recupera altri malware o il malware stesso. Con i kit di exploit più sofisticati, il carico utile viene inviato in rete come binario crittografato che, una volta sull'host della vittima, viene decrittografato ed eseguito. Mentre il payload più comune è il ransomware, ce ne sono molti altri, tra cui il malware botnet, i ruba-informazioni e i Trojan bancari.
Un esempio recente è l'utilizzo del kit di exploit Neutrino per distribuire il ransomware Locky nella campagna Afraidgate. Le pagine del sito compromesso contengono uno script iniettato che reindirizza i visitatori al dominio Afraidgate. Una volta collegato all'URL compromesso, il server restituisce altro JavaScript con un iframe, che porta a una pagina di destinazione del kit di exploit Neutrino. Se l'exploit della vulnerabilità con JavaScript ha successo, verrà consegnato il payload del ransomware Locky e il sistema host bloccherà l'utente e darà il controllo all'attaccante.
Con i kit di exploit che stanno diventando lo strumento principale per gli aggressori con diverse abilità e obiettivi, è imperativo che i suoi sistemi siano in grado di proteggersi da questi attacchi. Ciò può essere ottenuto riducendo la superficie di attacco, bloccando il malware e gli exploit noti e identificando e bloccando rapidamente le nuove minacce. Palo Alto Networks Next Generation Platform blocca in modo proattivo le minacce conosciute, mentre utilizza tecniche di analisi statica e dinamica per identificare le minacce sconosciute. Tutti i file, le e-mail e i link sconosciuti vengono analizzati in un ambiente sandbox scalabile per determinare se sono dannosi o benigni. Se un file viene determinato come dannoso, le protezioni vengono create automaticamente e distribuite su tutte le tecnologie della piattaforma per una protezione completa, impedendo ai kit di exploit di progredire ulteriormente nel loro ciclo di vita.
