کمییته رکن چهارم – اکسپلویت کیتها از جمله تهدیدات خودکاری هستند که از وبسایتهای آلوده برای انحراف مسیر ترافیک وب، شناسایی برنامههای کاربردی آسیبپذیر مبتنی بر مرورگر و اجرای حملات بدافزاری استفاده میکنند.
اکسپلویت کیتها به عنوان روشی برای بهرهبرداری (یا اکسپلویت کردن) آسیبپذیریهای موجود در سیستم قربانیان حین مرور وب، به صورت خودکار و مخفیانه ابداع شدهاند. به دلیل خودکار بودن اجرای اکسپلویت کیتها، این ابزار تبدیل به یکی از محبوبترین روش های توزیع بدافزار و ابزارهای دسترسی از راه دور (به اختصار RAT) برای مجرمان سایبری شده و می تواند موانع نفوذ را برای آنها کاهش دهد. علاوه بر این، اکسپلویت کیتها قابلیت درآمدزایی برای مهاجمان را هم دارند. سازندگان اکسپلویت کیتها تولیداتشان را به شکل «اکسپلویت کیت به صورت سرویس» در بازارهای سیاه زیرزمینی به فروش میرسانند که در این بازارها هزینه بعضی از کیتهای پیشرفته تا هزاران دلار در ماه هم میرسد.
مهاجمین از اکسپلویت کیتها برای کنترل دستگاهها به صورت خودکار و ساده استفاده میکنند. در یک اکسپلویت کیت باید یکسری اتفاق ها روی دهد تا فرایند آلوده سازی سیستم کاربر با موفقیت انجام شود. این مراحل، از یک صفحه لندینگ (یا فرود) شروع شده و به اجرای اکسپلویت و دریافت اطلاعات مورد نظر ختم میشود. برای این که مهاجم بتواند کنترل رایانه میزبان را به دست بگیرد باید همه مراحل با موفقیت سپری شوند.
صفحه لندینگ یا فرود
کار اکسپلویت کیت با یک وبسایت آلوده شروع میشود. صفحه آلوده، کاربران را به صورت مخفیانه به یک صفحه فرود هدایت میکند. در این صفحه فرود، کدی قرار دارد که مشخصات دستگاه قربانی و برنامههای کاربردی آسیبپذیر مبتنی بر مرورگر در سیستم وی را ثبت میکند. اگر سیستم، به صورت کامل وصله و به روز رسانی شده باشد، عملیات اکسپلویت کیت متوقف میشود اما در صورت وجود هرگونه آسیبپذیری و نقطه ضعفی در سیستم کاربر، وبسایت آلوده به صورت مخفیانه ترافیک رایانه وی را به سمت اکسپلویت هدایت میکند.
اکسپلویت
اکسپلویت از یک برنامه کاربردی آسیبپذیر برای اجرای مخفیانه بدافزار بر روی سیستم میزبان استفاده میکند. برنامههای کاربردی که مورد هدف قرار میگیرند معمولاً شامل Adobe® Flash® Player ،Java® Runtime Environment ،Microsoft® Silverlight® (که اکسپلویت آن به صورت یک فایل است) و مرورگر وب هستند. اکسپلویت مرورگر، امکان ارسال به صورت کدهایی در بین ترافیک وب را دارد.
بستههای اطلاعاتی (Payload)
وقتی اکسپلویت با موفقیت اجرا شود، یک بسته اطلاعاتی را برای آلوده کردن سیستم میزبان ارسال میکند. این بسته اطلاعاتی میتواند یک دانلود کننده فایل باشد که بدافزار دیگری یا خود بدافزار مورد نظر را در سیستم قربانی دانلود میکند. با توجه به افزایش پیچیدگی اکسپلویت کیتها، در حال حاضر معمولاً بستههای اطلاعاتی به صورت کدهای باینری رمزنگاری شده ارسال میشوند و تنها زمانی که به سیستم قربانی رسیدند، رمزگشایی و اجرا خواهند شد. هر چند متداولترین Payloadها باج افزارها هستند اما انواع دیگری مثل بدافزارهای مخصوص بات نت، سرقت اطلاعات و تروجانهای بانکی هم وجود دارد.
یک نمونه از این موارد، استفاده از اکسپلویت کیت Neutrino برای انتشار باج افزار Locky در کمپین Afraidgate بود. در این حمله، صفحات وب آلوده حاوی اسکریپتی بودند که بازدیدکنندگان را به دامنه Afraidgate هدایت میکردند. پس از اتصال به URL آلوده؛ سرور، کدهای جاوا اسکریپت را به همراه یک iframe ارسال میکرد تا بازدیدکننده را به صفحه فرود اکسپلویت کیت Neutrino هدایت کند. اگر استفاده از آسیبپذیری با جاوا اسکریپت موفقیت آمیز بود، بسته اطلاعاتی حاوی باج افزار Locky به سیستم میزبان ارسال میشد. در نهایت نیز سیستم مربوطه قفل شده و کنترل آن در اختیار مهاجم قرار میگرفت.
با توجه به این که میزان استفاده از اکسپلویت کیتها توسط مهاجمانی با اهداف و مهارتهای مختلف روزبهروز بیشتر میشود، ضروری است که کاربران هم توانایی محافظت از خودشان در برابر چنین حملاتی را داشته باشند. با شناسایی سریع و اقدام به موقع در برابر بدافزارها و اکسپلویتهای شناخته شده می توان به این هدف دست یافت.
منبع: فراست
