Blog

¿Qué es un kit de exploits (con ejemplos) y cómo lo utilizan los ciberdelincuentes?

¿Qué es un kit de exploits (con ejemplos) y cómo lo utilizan los ciberdelincuentes?



Los kits de explotación (o paquetes de explotación) son programas automatizados utilizados por atacantes para explotar vulnerabilidades conocidas en sistemas o aplicaciones. Ellos pueden ser utilizado para lanzar ataques en secreto mientras las víctimas navegan por la web, con el objetivo de descargar y ejecutar algún tipo de malware.

Debido a que los kits de exploits funcionan en segundo plano, puede resultar difícil saber cuándo estás bajo ataque. Sin embargo, existen medidas que pueden ayudarle a protegerse contra estos ataques, como evitar enlaces desconocidos y mantener el software actualizado.



En este artículo, explicamos más sobre qué son los kits de exploits, cómo funcionan y cómo los utilizan los ciberdelincuentes. También brindaremos consejos para prevenir ataques y la carga útil de malware resultante.

Qué es un kit de explotación

Un kit de explotación es un paquete utilizado por los ciberdelincuentes para distribuir malware. A continuación entraremos en detalles sobre cómo se ejecuta un ataque, pero lo esencial es que una víctima visita un sitio web comprometido y, si tiene ciertas vulnerabilidades en el software de su computadora, se puede llevar a cabo el exploit. Como resultado, el malware se descarga y ejecuta en el dispositivo de la víctima.



Una vulnerabilidad de software es un error o error en el código que permite a un atacante inmiscuirse en la aplicación de alguna manera, por ejemplo, en el caso de exploits, ejecutando una tarea no autorizada. Las vulnerabilidades conocidas se nombran en una lista de referencia de Vulnerabilidades y exposiciones comunes (CVE) . Por ejemplo, CVE-2018-8174 es una vulnerabilidad de Internet Explorer altamente explotada.

CVE-2018-8174

Los objetivos comunes de los exploits son software populares con muchas vulnerabilidades conocidas, como Adobe Flash, Oracle Java e Internet Explorer. Cuanto más popular sea la aplicación, mayores serán las posibilidades de que un atacante atraiga a una víctima adecuada.

Aquí es también donde los kits de exploits resultan especialmente útiles para sus usuarios. Los kits de explotación atacan múltiples vulnerabilidades al mismo tiempo y comprenden todo lo que el criminal necesita para llevar a cabo el ataque. Si un exploit no es adecuado, otro podría serlo, aumentando las posibilidades del ciberdelincuente de ejecutar un ataque exitoso.

El hecho de que estas cosas vengan como kits prediseñados también las hace fáciles de implementar y más atractivas para delincuentes con pocos conocimientos técnicos.

Cómo se implementa un kit de explotación

Hay varias etapas necesarias para que un exploit tenga éxito:

  1. Establecer contacto con el entorno de acogida a través de una página de destino.
  2. Redirija a una página de destino alternativa y detecte vulnerabilidades en el host que puedan explotarse.
  3. Realizar el exploit para difundir malware.
  4. Infecte el entorno del host ejecutando el malware.

El kit de explotación contiene todo el código necesario para llevar a cabo cada etapa. Si una etapa no tiene éxito, eso señala el final del ataque a ese dispositivo en particular. Aquí veremos estas etapas con más detalle y examinaremos qué criterios deben cumplirse en cada una.

1. Establecer contacto

La primera etapa del exploit utiliza la página de inicio de un sitio web que ha sido comprometido. Se anima a las víctimas a visitar este sitio, por ejemplo, a través de un enlace de correo electrónico, una ventana emergente o un malvertisement (anuncio malicioso).

Una vez el la víctima hace clic en el enlace al sitio o ingresa la URL en su navegador , se ha establecido el contacto inicial.

En este punto, puede haber algunos usuarios que no cumplan ciertos criterios, como aquellos que se encuentran en la ubicación incorrecta (a menudo determinada en función de la dirección IP o de las comprobaciones de idioma de instalación). Estos usuarios son filtrados y para ellos el ataque ha terminado.

2. Redirigir

Las víctimas restantes son redirigidas a una página de destino alternativa que ya no es el sitio web real. El código incrustado en esta página de inicio luego procede a determinar si el dispositivo de la víctima tiene alguna aplicación vulnerable basada en navegador que corresponda a los exploits del kit.

Si no se detectan vulnerabilidades (es decir, todo está actualizado y todos los agujeros parcheados), el ataque se detiene. Pero si se encuentra una vulnerabilidad , entonces el sitio web enviará tráfico al exploit.

3. Explotar

La razón para requerir una vulnerabilidad es que el kit de explotación necesita ejecutar malware en el entorno del host (el dispositivo de la víctima). La aplicación que se encontró vulnerable se utiliza para descargar el malware.

La forma en que se realiza el expolit depende de la aplicación. . Por ejemplo, si el objetivo son los propios navegadores web, el exploit se producirá en forma de código incrustado en la página web. Otro ejemplo es la aplicación comúnmente atacada Microsoft Silverlight, cuyo exploit es un archivo.

Página de inicio de Microsoft Silverlight.

El término 'kit de exploits' significa que hay múltiples exploits agrupados en un solo paquete. Se centrará en múltiples vulnerabilidades, lo que facilitará la ejecución y aumentará las posibilidades de éxito del delincuente.

4. Infectar

Después de una explotación exitosa, El malware se ejecuta en el entorno de la víctima. . En cuanto al efecto del malware, existen muchos escenarios diferentes. Los kits de exploits se pueden utilizar para propagar varios tipos de malware, incluidos ransomware y troyanos como troyanos de acceso remoto .

Un uso popular de los kits de exploits es ejecutar software de minería de criptomonedas. Esto secuestra los recursos informáticos de la víctima para usarlos en la extracción de bitcoins y otras criptomonedas, sin el permiso del usuario.

Ejemplos de kits de explotación

Debido a los parches de seguridad de los desarrolladores de software, cada exploit tendrá una vida útil limitada. Sin embargo, los desarrolladores de kits crean sus propias actualizaciones para que las nuevas versiones de un kit determinado aprovechen nuevas vulnerabilidades. Como tal, algunos kits existen desde hace un tiempo.

Los kits de explotación de Adobe Flash fueron extremadamente populares en el pasado, con la eliminación progresiva del software. supuestamente causando una fuerte caída en el desarrollo de kits de explotación. Estudios más recientes vemos un cambio hacia las vulnerabilidades de los productos de Microsoft. Dicho esto, un kit puede apuntar a más de una aplicación a la vez. También se puede utilizar para propagar más de un tipo de malware.

A continuación se muestran algunos ejemplos de kits de explotación:

PLATAFORMA

Entre el kits de exploits más populares En 2018, RIG utiliza una variedad de métodos de distribución y cargas útiles resultantes. Se ha utilizado para difundir mineros de monedas, troyanos bancarios, ransomware y más.

Gráfico de tendencia Mirco.
Este gráfico de un informe de Trend Micro de 2018 muestra el nivel de actividad de algunos kits de exploits comunes en la primera mitad de 2018.

GrandSoft

Si bien se reconoce como un kit más antiguo, resurgió en 2018. Se sabe que GrandSoft distribuye ransomware (específicamente GrandCrab), troyanos (AZORult y QuantLoader en particular) y mineros.

Magnitud

Magnitude se dirige a países asiáticos seleccionados y ofrece una carga útil específica. Existe desde hace mucho tiempo, pero ha cambiado de forma. Solía ​​incluir exploits para Flash Player, pero se ha adaptado para atacar únicamente las vulnerabilidades de Internet Explorer. El La versión de magnitud EK apunta a Corea del Sur (verificando la dirección IP y el idioma, entre otras cosas) y entrega un ransomware especial llamado Magniber.

Nuclear

Si bien no ha aparecido en las noticias por un tiempo, el kit de explotación nuclear alguna vez fue una gran fuente de ingresos para sus creadores. un informe de empresa de seguridad punto de control descubrió que el kit fue desarrollado por alguien en Rusia, y el equipo detrás de él ganaba alrededor de $100,000 por mes con el kit en ese momento.

La energía nuclear era más bien una “explotación como servicio” en la que los delincuentes alquilaban el equipo. Lo harían utilizar un panel de control en el que podrían subir malware y realizar un seguimiento de sus resultados.

¿Por qué tienen éxito los kits de exploits?

Teniendo en cuenta que los atacantes están utilizando vulnerabilidades conocidas, es posible que se pregunte cómo estas debilidades permanecen expuestas, permitiendo que los ataques tengan éxito.

A Informe Trend Micro 2018 [PDF] arroja algo de luz sobre una de las razones principales:

“La continua avalancha de vulnerabilidades recién descubiertas sólo hace que a las empresas les resulte mucho más difícil ponerse al día. A menudo, debido al volumen de vulnerabilidades y la prioridad competitiva de mantener la red disponible, necesitan hacer concesiones prácticas asignando importancia a ciertas vulnerabilidades y dejando parches abiertos para otras vulnerabilidades para un momento posterior”.

Esencialmente, simplemente hay demasiado para arreglarlo todo de una vez . Incluso si se han solucionado las vulnerabilidades y empresas como Microsoft y Adobe han publicado actualizaciones, las empresas no siempre pueden actualizar sus sistemas de inmediato.

Tienen que priorizar qué actualizaciones deben realizarse primero y esperar tomar las decisiones correctas, mientras los ciberdelincuentes esperan aprovechar cada debilidad. De manera similar, para los individuos, si alguien pospone una actualización o la pierde por algún motivo, entonces hay muchas más posibilidades de que un kit de exploits tenga éxito.

Un par de factores más contribuyen al éxito de los kits de exploits, uno de los cuales es que el contacto inicial se establece fácilmente, por ejemplo, cuando alguien hace clic en un anuncio fraudulento o en un enlace de un correo electrónico. Y en segundo lugar, una vez que se ha establecido el contacto inicial, es difícil saber si está sucediendo algo adverso.

Cómo protegerse contra los kits de exploits

Debido a que es tan difícil saber cuándo funcionan los kits de exploits y al hecho de que son tan variados, es mejor evitarlos en primer lugar. A continuación se ofrecen algunos consejos que le ayudarán:

  • Mantenga el software actualizado. Una de las razones más importantes por las que el software se actualiza periódicamente es para parchear las vulnerabilidades de seguridad.
  • No hagas clic en enlaces spam. Como siempre, debes evitar abrir correos electrónicos de personas que no conoces y definitivamente no hacer clic en enlaces sospechosos.
  • Evite anuncios y ventanas emergentes. Cuando se trata de ventanas emergentes y anuncios, puede ser difícil evitar hacer clic, ya que muchos de ellos están diseñados para engañarlo para que lo haga (por ejemplo, el botón 'cerrar' es difícil de ubicar o el anuncio se mueve). Un El bloqueador de anuncios puede ser útil. , ya que esto evitará que aparezcan anuncios y ventanas emergentes.
  • Utilice un antivirus. Un antivirus no es infalible de ninguna manera, pero puede detectar y eliminar muchas amenazas conocidas, incluidos virus y otros tipos de malware que llegan a su dispositivo.

Credito de imagen: ' Pared de grietas ”por Michael Krause con licencia CC BY 2.0

^