Category: bezpieczeństwo sieci

Exploit Kit – sposoby zapobiegania

Wobec ponad 400.000 unikalnych próbek złośliwych programów tworzonych każdego dnia i tysięcy
nowych luk odkrywanych każdego roku wielkim wyzwaniem jest zapobieganie atakom. Ta eksplozja wzrostu wariantów złośliwego oprogramowania wymaga nowych i innowacyjnych rozwiązań w walce z cyberprzestępcami.
Dogłębna analiza współczesnego przemysłu cyberprzestępczości pokazuje możliwość
asymetrycznej obrony. Jak się okazuje, mimo niekończącej się parady nowych
ataków, istnieje tylko około 20 technik, które mogą być wykorzystane w celu wykorzystania luk oprogramowania.

Tak więc trzeba opracowywać podejście, które jest w stanie przeciwdziałać tym 20 technikom eksploitów – zamiast kierowania wysiłków na zwalczanie każdego z eksloitów osobno – w tym tkwi maksymalna siła zwalczania ich.

Co więcej: w zależności od podatności ofiary, atakujący napastnicy często wykorzystują kilka technik razem by osiągnąć etap, na którym mogą dostarczyć złośliwe oprogramowanie do ofiary. Techniki te nie zmieniają się znacznie z roku na rok, może jedna lub dwie sztuczki są dodawane do listy dostępnych technik. Jest wiele produktów klasy Security oferowanych przez różnych producentów, ale jest zaskakujący brak znaczących postępów w technologiach zwalczania eksploit kitów.

Niektórzy z producentów twierdzą, że oferują produkty klasy Security nowej generacji (Next Gen Security) wspierające zwalczanie eksploitów, lecz zakres działania ich rozwiązań jest mocno zawodny.

Eksploit kit – lista technik hakerskich.

Poniżej podajemy listę 23 technik, które są wykorzystywane przez cyberprzestępców jak i organizacji państwowych.
Minimalizowanie zadziałania zagrożenia wnoszonego przez te techniki jest różne w zależności od producenta. Ważne jest, aby wiedzieć, że  większość rozwiązań po prostu chroni przed częścią tylko z powszechnie stosowanych metod eksploitów.

Tylko firma Sophos zapewnia prawdziwie wszechstronne zabezpieczenie.

Enforce Data Execution Prevention (DEP)

Zapobieganie wykonywaniu danych (DEP) to zestaw technologii sprzętowych i programowych, które
wykonują dodatkowe testy pamięci, aby zapobiec przepełnieniu bufora. Bez DEP,
atakujący może próbować wykorzystać lukę oprogramowania i przedostać się do złośliwego kodu
(Shellcode) w miejscu pamięci, w którym atakujący umieścił szkodliwy kod.

Bez DEP, regiony pamięci ze złośliwym kodem są zwykle oznaczone jako plik wykonywalny, więc hakerski kod będzie się w stanie uruchomić.
DEP jest opcja opt-in dla systemu Windows XP i wyższych, które muszą być ustawione przez producenta oprogramowania podczas tworzenia aplikacji. Ponadto, ataki są możliwe poprzez pominięcie wbudowanej ochrony DEP i jako takie, uzależnionie od systemu operacyjnego

Producenci skutecznie zwalczający tę cyberprzestępczą technikę: Sophos Intercept X, Microsoft Emet, malware Bytes Anti-Exploit, Palo Alto Networks Pułapki, Crowdstrike Falcon.

Exploit kit  – rynek eksploitów.

Firma Sophos- jeden z kluczowych producentów zabezpieczeń sieci i danych, dla wielu platform: serwerów, komputerów osobistych i urządzeń mobilnych wyjaśnia, że stworzony został : rynek Eksploitów – Crimeware as a Service !

Dzięki wykorzystaniu eksploitów, twórcy szkodliwego oprogramowania nie muszą się martwić, jak znaleźć błędy w naszych instalacjach Java lub Silverlight lub Flash, jak potem wbudować te błędy w nowe eksploity, jak znaleźć
niezabezpieczone serwery www i wykorzystać je do hostowania min-pułapek do potencjalnych ofiar.

Autorzy eksploitów nie muszą się martwić o pisanie rozwiniętego złośliwego oprogramowania, nie muszą uruchamiać serwerów do śledzenia zainfekowanych komputerów lub martiwić się o sposób zbierania pieniędzy od indywidualnych ofiar, nie muszą się angażować w eksfiltrację skradzionych danych lub sprzedaży tych danych.

Rynek cyberprzestępczości jest obecnie wyceniany na wiele miliardów USD, który wzrośnie do prawie 2 bilion USD w żądanych od poszkodowanych do 2019. Każdy aspekt ataku został uprzemysłowiony.

Cyberprzestępcy mają luksus specjalizowania się w jednej lub kilku formach całego obszaru zagrożeń w to, co stało się znane żartobliwie jako CaaS – lub “crimeware as a Service”.

W tej branży pojawili się brokerzy eksploitów: kupują eksploity od programistów, którzy je odkryli i sprzedają tym, którzy chcą z nich korzystać, bez względu na to czy są to agencje rządowe, czy hakerzy.

Kupujący eksploita zawsze zachowuje swoje cele dla siebie. Kevin Mitnick, założyciel
Absolute Zero Day Mitnick jest Exploit Exchange, wyjaśnił : “Kiedy mamy
klienta, który chce lukę zero-day z jakiegokolwiek powodu, nie pytamy po co, a w rzeczywistości i tak by nam nikt tego nie powiedział.”

Przeczytaj dalsze artykuły serii “Eksploit Kit – poradnik”, aby dowiedzieć się więcej o Eksploit Kitach, o tym w jaki sposób działają i jaką profilaktykę stosować, by się przed nimi bronić.

 

Exploit Kit  – co to jest i jak działa

To zestaw hakerskiego oprogramowania przeznaczony do uruchomienia na komputerach osobistych i serwerach sieciowych, w celu zidentyfikowania luk w zabezpieczeniach i przesyłaniu na nie i wykonanie złośliwego kodu.

Exploit Kity – jak się chronić, kto jest ofiarą działania?

Exploity wykorzystują słabości legalnych produktów oprogramowania, takich jak Adobe Flash i Microsoft Office w celu infekowania komputerów do celów przestępczych. Są one powszechnie wykorzystywane przez cyberprzestępców w celu przeniknięcia systemów obronnych organizacji.

Cele tych przestępców są zróżnicowane: kradzież danych, zaszyfrowanie ich dla okupu, rekonesans by stworzyć podstawy do poźniejszego ataku, lub po prostu jako ścieżka dla wgrania bardziej tradycyjnego złośliwego oprogramowania.

Jest udowodnione, że znalezienie exploity wykorzystywane są jako część cyberataku: okazuje się że w ponad 90% zgłoszonych naruszeń danych exploit jest stosowany w jednym lub kilku punktach w łańcuchu ataku. Jest więc niezwykle istotne by zapobieganie atakowi przez eksploity było częścią kompleksowego systemu obrony bezpieczeństwa firmy.
Exploity znane są już od ponad 30 lat, więc prawie każdy z głównych dostawców rozwiązań zabezpieczających sieć firmy i dane firmy oferuje pewien poziom zabezpieczeń i zapobiegania atakom. Istotne jest jednak to, że wymiar tej ochrony dla różnych producentów np. Sophos, Eset, Stormshield, Fortinet, Cisco, Symantec, Kaspersky, F-secure jest bardzo różny. Dla niektórych jest to zaledwie element który częściowo potrafią zidentyfikować, a dla innych jest głównym punktem do działania – identyfikacji, odseparowania, sunięcia.

Przeczytaj dalsze artykuły serii “Eksploit Kit – poradnik”, aby dowiedzieć się więcej o Eksploit Kitach, o tym w jaki sposób działają i jaką profilaktykę stosować, by się przed nimi bronić.

 

Symantec ostrzega o atakach ransomware!

Ransomware przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Kliknięcie w niego powoduje uruchomienie podstawionego programu i który np. może wyświetlić fałszywe ostrzeżenie, może zawierać prostą aplikację przeznaczoną do zablokowania lub ograniczenia dostępu do systemu do momentu dokonania płatności. Najgroźniejsze wersje szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu.

Ataki tego typu szybko wyrosły na jedno z największych zagrożeń cybernetycznych, z którym mają do czynienia zarówno firmy, jak i zwykli konsumenci!
Straty, które przynoszą, liczone są już w setkach milionów dolarów.

Ostatnie 12 miesięcy to okres, w którym ransomware przeszło na zupełnie nowy poziom dojrzałości i zagrożenia. Większe gangi zajmujące się tą formą cyber przestępczości są w stanie przesyłać złośliwe oprogramowanie do milionów komputerów.

Użytkownicy, którzy natrafią na ransomware, mogą oczekiwać blokady swoich cennych danych zabezpieczonej silnym, często niemożliwym do złamania szyfrowaniem.

Złamanie większości stosowanych algorytmów szyfrujących jest praktycznie niemożliwe bez dostępu do systemów komputerowych o bardzo wysokiej mocy obliczeniowej.

Celem hakerów posługujących się trojanami ransomware przeważnie jest próba wyłudzenia płatności, w zamian za którą obiecują ofierze usunięcie ransomware (co niekoniecznie musi nastąpić). Taka “pomoc” polega albo na dostarczeniu programu do odszyfrowania plików, lub na wysłaniu kodu odblokowującego, który cofa zmiany dokonane przez zawartość wirusa. Z punktu widzenia atakującego, kluczową zaletą ataku za pomocą ransomware jest wygodny i trudny do namierzenia system płatności. W celu uzyskania “okupu” wykorzystywane są najróżniejsze metody płatności, m.in. przelewy, wiadomości sms o podwyższonej opłacie, usługi pre-paidowe jak np. Paysafecard, a także cyfrowa waluta Bitcoin.

Dowiedz się więcej o ataku: https://pl.wikipedia.org/wiki/Ransomware

Przeczytaj RAPORT , który opisuje zjawisko.