O que é um Exploit Kit?
Oskits de exploração foram desenvolvidos como uma forma de explorar automática e silenciosamente as vulnerabilidades nos computadores das vítimas durante a navegação na web. Devido à sua natureza altamente automatizada, os kits de exploração se tornaram um dos métodos mais populares de distribuição em massa de malware ou de ferramentas de acesso remoto (RAT) por grupos criminosos, reduzindo a barreira de entrada para os invasores. Os kits de exploração também são eficazes na geração de lucro para agentes mal-intencionados. Os criadores de kits de exploração oferecem essas campanhas para aluguel em mercados criminosos clandestinos na forma de kits de exploração como serviço, em que o preço dos principais kits pode chegar a milhares de dólares por mês.
Os invasores utilizam kits de exploração com o objetivo final de estabelecer o controle de um dispositivo de forma automatizada e simplificada. Em um kit de exploração, uma série de eventos deve ocorrer para que a infecção seja bem-sucedida. Começando com uma página de destino, passando pela execução de um exploit e pela entrega de uma carga útil, cada estágio deve ser concluído com êxito para que o invasor obtenha o controle do host.
Vídeo relacionado
Por que o phishing e outros ataques baseados na web ainda são bem-sucedidos?
Página de destino
Os kits de exploração começam com um site que foi comprometido. A página comprometida desviará discretamente o tráfego da Web para outra página de destino. Dentro da página de destino, há um código que traçará o perfil do dispositivo da vítima em busca de aplicativos vulneráveis baseados em navegador. Se o dispositivo estiver totalmente corrigido e atualizado, o tráfego do kit de exploração será interrompido. Se houver alguma vulnerabilidade, o site comprometido desvia discretamente o tráfego da rede para a exploração.
Exploração
A exploração usa um aplicativo vulnerável para executar secretamente um malware em um host. Os aplicativos visados incluem o Adobe® Flash® Player; o Java® Runtime Environment; o Microsoft® Silverlight®, cuja exploração é um arquivo; e o navegador da Web, cuja exploração é enviada como código no tráfego da Web.
Carga útil
Se e quando uma exploração for bem-sucedida, o kit de exploração envia uma carga útil para infectar o host. A carga útil pode ser um downloader de arquivo que recupera outro malware ou o próprio malware pretendido. Com kits de exploração mais sofisticados, a carga útil é enviada como um binário criptografado pela rede, que, uma vez no host da vítima, é descriptografado e executado. Embora a carga útil mais comum seja o ransomware, há muitas outras, incluindo malware de botnet, ladrões de informações e cavalos de Troia bancários.
Um exemplo recente disso é a utilização do kit de exploração Neutrino para entregar o ransomware Locky na campanha Afraidgate. As páginas do site comprometido contêm um script injetado que redireciona os visitantes para o domínio Afraidgate. Uma vez conectado ao URL comprometido, o servidor retorna mais JavaScript com um iframe, levando a uma página de destino do kit de exploração Neutrino. Se a exploração da vulnerabilidade com JavaScript for bem-sucedida, a carga útil do ransomware Locky será entregue, e o sistema host bloqueará o usuário e dará o controle ao invasor.
Com os kits de exploração se tornando a ferramenta preferida de atacantes com diferentes conjuntos de habilidades e objetivos, é imperativo que seus sistemas sejam capazes de proteger contra esses ataques. Isso pode ser alcançado por meio da redução da superfície de ataque, do bloqueio de malware e exploits conhecidos e da rápida identificação e interrupção de novas ameaças. A Plataforma de Próxima Geração da Palo Alto Networks bloqueia proativamente as ameaças conhecidas enquanto usa técnicas de análise estática e dinâmica para identificar ameaças desconhecidas. Todos os arquivos, e-mails e links desconhecidos são analisados em um ambiente de sandbox dimensionável para determinar se são mal-intencionados ou benignos. Se for determinado que um arquivo é mal-intencionado, as proteções são criadas automaticamente e fornecidas em todas as tecnologias da plataforma para proteção total, impedindo que os kits de exploração avancem ainda mais em seu ciclo de vida.
