Šta je Exploit Kit?

Exploit Kit je automatizovana pretnja koja preko kompromitovanih sajtova preusmerava saobraćaj, skenira ranjive aplikacije u browseru i ubacuje malver u sistem žrtve.

Šta je Exploit Kit?

Exploit Kit (EK) je automatizovana pretnja koja preko kompromitovanih sajtova preusmerava saobraćaj, skenira ranjive aplikacije u browseru i ubacuje malver u sistem žrtve.

Exploit Kit predstavlja sredstvo za automatsko i tajno eksploatisanje ranjivosti na računaru žrtve dok žrtva surfuje internetom. Zbog visokog stepena automatizacije, EK su postali omiljeno sredstvo sajber kriminalaca za masovno širenje malvera i za distribuciju softvera za pristup i/ili kontrolu računara sa udaljene lokacije (RAT - remote access tool). Pored toga, oni značajno olakšavaju napadaču da dođe do računara žrtve i obezbeđuju generisanje profita. Njihovi kreatori iznajmljuju EK drugim sajber kriminalcima na crnom sajber tržištu, a cena dostiže i nekoliko hiljada dolara mesečno.

Krajnji cilj napadača je da uspostave kontrolu nad uređajem (računarom) na jednostavan i automatizovan način. Da bi Exploit Kit dao rezultat, potrebno je da se desi nekoliko stvari. Počinje se sa odredišnom stranicom (landing page), zatim ide izvršenje exploita i isporuka payloada. Svaka faza mora biti uspešno izvedena kako bi napadač stekao kontrolu nad računarom žrtve.

Odredišna stranica

Početna faza u radu Exploit Kita je kompromitovana web stranica. Kompromitovana stranica diskretno preusmerava saobraćaj na drugu odredišnu stranicu. Na odredišnoj stranici se nalazi kod koji skenira ranjive aplikacije u browseru računara žrtve. Ukoliko je uređaj uredno ažuriran i sa najnovijim zakrpama, EK prestaje sa radom. Ukoliko postoji bilo koja ranjivost, kompromitovani sajt diskretno preusmerava saobraćaj ka exploitu.

Exploit

Exploit iskorišćava ranjivu aplikaciju kako bi u tajnosti pokrenuo malver na računaru žrtve. Ciljaju se aplikacije poput Adobe Flash Player, Java Runtime Environment, Microsoft Silverlight, kod kojih je exploit fajl, i web browseri, kod kojih se exploit šalje kao kod u okviru saobraćaja.

Payload

Ukoliko je exploit uspešan, onda se šalje payload kako bi se inficirao računar žrtve. Payload može biti fajl downloader koji donosi druge malvere ili payload može biti sam malver. Kod sofisticiranih EK-a, payload se šalje kao kriptovani binary preko mreže, a kada dođe na računar žrtve, binary se dekriptuje i izvršava. Najčešća vrsta payloada je ransomware, ali postoje i drugi kao što su botnet malveri, bankarski trojanci, trojanci koji kradu informacije sa računara žrtve itd.

S obzirom na to da brojni napadači različitih veština i sa različitim ciljevima koriste Exploit Kit, vrlo je važno da zaštitite svoj sistem. Zaštita podrazumeva smanjivanje površine za napad, blokiranje poznatih malvera i exploita i brzo identifikovanje i zaustavljanje novih pretnji.

Palo Altova platforma nove generacije proaktivno blokira poznate pretnje dok istovremeno identifikuje nove pretnje koristeći statičke i dinamičke tehnike za analizu. Svi nepoznati fajlovi, imejlovi i linkovi se analiziraju u skalabilnom sandbox (izolovanom) okruženju kako bi se utvrdilo da li su maliciozni ili bezbedni. Ukoliko se utvrdi da je fajl maliciozan, automatski se kreira zaštita koja se primenjuje na sve tehnologije u okviru platforme kako bi se obezbedila puna zaštita i sprečilo dalje delovanje EK-a.

Izvor: Palo Alto Networks