Тайные загрузки в Интернете
Есть десятки способов проникновения вредоносных программ на компьютер и мобильные устройства. Чаще всего заражение связано с действием пользователя, например, с открытием вредоносного вложения или запуском exe-файла из Интернета.
В других случаях можно заразиться вредоносным ПО даже не открывая файл и не загружая никаких файлов, а просто посетив взломанный сайт. Здесь мы покажем, как выполняются тайные загрузки и как можно защититься от этой угрозы.
Что такое тайная (попутная, drive-by) загрузка?
Тайная загрузка — это загрузка вредоносного ПО на ваше устройство без вашего согласия. Если другие вредоносные программы обманом заставляют открыть вредоносную ссылку или загрузить вредоносный файл, то тайные загрузки происходят без участия пользователей на сайтах злоумышленников, на взломанных сайтах и через вредоносную рекламу, отображаемую на сайтах, которые в остальном безопасны.
Да, можно заразиться вредоносным ПО просто посетив какой-то сайт.
Многие типы тайных загрузок возможны из-за использования известных уязвимостей в ОС, браузере и плагинах браузера. Эти изъяны в ИБ возможны из-за плохой практики кибербезопасности — многие предприятия и пользователи не применяют важные исправления безопасности, а это позволяет злоумышленникам применять эксплойты.
Что такое набор эксплойтов?
Атаки с тайной загрузкой обычно связаны с использованием набора эксплойтов. Набор эксплойтов (англ. Exploit kit, EK) — это предварительно упакованный набор эксплойтов, которые пытаются автоматически заражать цели, используя множество различных методов атаки.
Наборы эксплойтов просты в использовании и часто содержат такие функции, как консоль управления, дополнительные функции и техническая поддержка, которые позволяют киберпреступникам с любым уровнем технической подготовки запустить вредоносную кампанию. Разработчики эксплойтов получают прибыль, сдавая свои EK в аренду другим киберпреступникам — эта модель называется "набор эксплойтов как услуга" или "эксплойт как услуга" (англ. EaaS).
Самые популярные наборы эксплойтов стоят тысячи долларов в месяц.
Большинство современных наборов эксплойтов работают, сканируя систему посетителя сайта — операционную систему, IP-адрес, браузер, плагины и т. д., чтобы определить, какие системы уязвимы для взлома. Затем набор эксплойтов автоматически выбирает метод атаки в соответствии с обнаруженной уязвимостью и запускает последовательность действий, которая приводит к доставке вредоносной "полезной нагрузки" (пейлоада).
Как работают тайные (попутные) загрузки?
Рассмотрим типичную анатомию их атаки:
1. Развертывание набора эксплойтов. Злоумышленники развертывают набора эксплойтов на своем собственном сервере, на взломанном легитимном сайте или через сторонние рекламные службы.
2. Контакт с сайтом. Для распространения вредоносного контента злоумышленники должны направлять трафик на страницу с набором эксплойтов.
Способы генерации трафика различаются в зависимости от того, где развернут эксплойт:
- Сервер злоумышленника: непросто привлечь посетителей на новый сайт, поэтому для увеличения трафика запускаются кампании в социальных сетях или используется email-фишинг.
- Легитимный веб-сайт: у легитимных сайтов уже есть собственные источники трафика, что облегчает привлечение потенциальных жертв.
- Вредоносная реклама: вредоносный контент распространяется через рекламные службы, которые показывают рекламу на легитимных сайтах.
3. Отпечаток пальца. Когда пользователь заходит на страницу c набором эксплойтов, анализируется отпечаток пальца с его устройства, чтобы определить потенциальные уязвимости в его программном стеке и определить, являются ли они подходящей целью.
4. Эксплуатация. Если пользователь считается подходящей целью, набор эксплойтов автоматически использует обнаруженные уязвимости, чтобы инициировать поэтапную загрузку. Цели без подходящих уязвимостей могут игнорироваться или перенаправляться на целевую страницу, которая использует тактику социальной инженерии, чтобы заставить пользователя загрузить вредоносное ПО.
5. Выполнение. Вредоносный файл запускается. Часто это может быть многоступенчатая атака, при которой начальная тайная загрузка используется для развертывания других типов вредоносных программ. Методы запутывания обычно используются для предотвращения обнаружения на протяжении всей атаки.
Какие типы вредоносных программ могут быть установлены при атаке методом попутной загрузки?
Злоумышленники используют тайные загрузки как способ установления контроля над устройством. Поскольку взаимодействие с пользователем не требуется, тайные загрузки могут быть эффективным способом для злоумышленников незаметно получить доступ к устройству и использовать первоначальное заражение в качестве трамплина для выполнения дальнейших вредоносных действий.
Тип вредоносного ПО, который доставляется в виде тайной загрузки, зависит от цели атаки. В некоторых случаях целью является тайная загрузка. В других случаях это просто первая фаза многоступенчатой атаки — возможность для злоумышленников закрепиться в целевой среде перед тем, как сделать следующий шаг.
Поэтому, тайные загрузки могут в итоге использоваться для развертывания практически любого типа вредоносного ПО, включая программы-вымогатели, кейлоггеры, бэкдоры и многое другое.
Следующие передовые практики могут быть полезны для снижения риска атак с тайными загрузками:
1. Своевременно устанавливайте обновления для системы безопасности. Большинство атак с тайной загрузкой работают за счет использования известных недостатков безопасности. Чтобы снизить этот риск, всегда устанавливайте обновления безопасности для своего веб-браузера, расширений, операционной системы и других приложений, как только они будут доступны.
2. Избегайте сомнительных сайтов. Хотя автоматическая загрузка теоретически может произойти где угодно в Интернете, вы с большей вероятностью подвергнетесь атаке на сайтах, которые специализируются на программном пиратстве и контенте для взрослых. Уменьшите риск заражения, посещая надежные и хорошо зарекомендовавшие себя сайты.
3. Удалите неиспользуемые приложения. Уменьшение площади атаки снижает риск заражения. Потратьте несколько минут, чтобы просмотреть свои приложения и расширения браузера и удалить все, что вы редко используете или что кажется вам незнакомым. Приложения, которые больше не получают обновления, особенно опасны и должны быть удалены.
4. Остерегайтесь фишинга. Злоумышленники используют фишинг для направления трафика на вредоносную целевую страницу, содержащую набор эксплойтов. Ознакомьтесь с языком фишинга, остерегайтесь нежелательных писем, которые пытаются передать ощущение срочности, и всегда дважды проверяйте URL-адреса, прежде чем нажимать на ссылки.
5. Используйте блокировщик рекламы. Тайные загрузки файлов часто распространяются через рекламные сети. Эффективный способ блокировать этот вектор атаки — установить надежный блокировщик рекламы (например, AdBlock или Adblock Plus). Вы не обязаны смотреть рекламу, которую вам навязывают, тем более, если она мешает просмотру и не закрывается.
Вывод
Правда, что вы можете заразиться вредоносным ПО, просто посетив веб-сайт. Используя наборы эксплойтов, размещенные на вредоносных или взломанных легитимных сайтах, злоумышленники могут проводить атаки с тайной загрузкой вредоносного ПО на ваше устройство, даже без вашего разрешения.
Поддержание актуальности ваших приложений, использование хорошего антивирусного программного обеспечения, установка блокировщика рекламы и внимание к попыткам фишинга могут значительно снизить риск стать жертвой атаки с тайной загрузкой.
Thanks to Jareth for the article.
© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна.
© Amigo-A (Andrew Ivanov): All blog articles.
