Un kit de exploits es una herramienta que se utiliza para gestionar y desplegar automáticamente exploits contra un ordenador objetivo. Los kits de exploits permiten a los atacantes distribuir malware sin necesidad de tener conocimientos avanzados sobre los exploits que se utilizan. Normalmente se utilizan exploits para navegadores , aunque también pueden incluir exploits dirigidos a software común, como Adobe Reader , o al propio sistema operativo . La mayoría de los kits están escritos en PHP . [ 1 ]
Los kits de exploits se venden con frecuencia en el mercado negro , tanto como kits independientes como en forma de servicio .
Historia
Algunos de los primeros kits de exploits fueron WebAttacker y MPack , ambos creados en 2006. Se vendían en mercados negros, lo que permitía a los atacantes utilizar exploits sin conocimientos avanzados de seguridad informática . [ 2 ] [ 3 ]
El kit de exploits Blackhole se lanzó en 2010 y podía comprarse o alquilarse. [ 4 ] Malwarebytes afirmó que Blackhole fue el método principal de distribución de malware en 2012 y gran parte de 2013. [ 5 ] Tras el arresto de los autores a finales de 2013, el uso del kit disminuyó drásticamente. [ 5 ] [ 6 ] [ 7 ]
Neutrino se detectó por primera vez en 2012, [ 8 ] y se utilizó en varias campañas de ransomware . Explotaba vulnerabilidades en Adobe Reader , el entorno de ejecución de Java y Adobe Flash . [ 9 ] Tras una operación conjunta entre Cisco Talos y GoDaddy para interrumpir una campaña de publicidad maliciosa de Neutrino , [ 10 ] los autores dejaron de vender el kit y decidieron proporcionar únicamente soporte y actualizaciones a los clientes anteriores. A pesar de esto, el desarrollo del kit continuó y se añadieron nuevos exploits. [ 11 ] En abril de 2017, la actividad de Neutrino cesó. [ 12 ] El 15 de junio de 2017, F-Secure tuiteó "RIP Neutrino exploit kit. Te echaremos de menos (no)" con un gráfico que mostraba el declive total de las detecciones de Neutrino. [ 13 ]
Desde 2017, el uso de kits de exploits ha disminuido. Varios factores pueden haber contribuido a ello, entre ellos, la detención de ciberdelincuentes, las mejoras en la seguridad que dificultan la explotación y el hecho de que los ciberdelincuentes recurran a otros métodos de distribución de malware, como las macros de Microsoft Office y la ingeniería social . [ 14 ]
Existen numerosos sistemas que protegen contra ataques de kits de exploits. Entre ellos se incluyen antivirus de puerta de enlace , prevención de intrusiones y antispyware. También existen formas para que los suscriptores reciban estos sistemas de prevención de forma continua, lo que les ayuda a defenderse mejor contra los ataques. [ 15 ]
Descripción general
Proceso de explotación
El proceso general de explotación mediante un kit de exploits es el siguiente:
- La víctima accede a un sitio web infectado con un kit de exploits. Los enlaces a las páginas infectadas pueden propagarse mediante spam , publicidad maliciosa o comprometiendo sitios legítimos.
- La víctima es redirigida a la página de inicio del kit de exploits.
- El kit de exploits determina qué vulnerabilidades están presentes y qué exploit se debe desplegar contra el objetivo.
- Se implementa el exploit. Si tiene éxito, se puede implementar una carga útil elegida por el atacante (es decir, malware) en el objetivo. [ 1 ] [ 16 ]
Características
Los kits de exploits emplean diversas técnicas de evasión para evitar ser detectados. Algunas de estas técnicas incluyen la ofuscación del código, [ 17 ] y el uso de huellas digitales para garantizar que el contenido malicioso solo se entregue a objetivos probables. [ 18 ] [ 1 ]
Los kits de exploits modernos incluyen características como interfaces web y estadísticas, que rastrean el número de visitantes y víctimas. [ 1 ]
Véase también
Referencias
- 1 2 3 4 Cannell, Joshua (11 de febrero de 2013). "Herramientas del oficio: kits de explotación" . Malwarebytes Labs . Recuperado el 8 de abril de 2022 .
- ↑ Chen, Joseph; Li, Brooks. "Evolución de los kits de exploits" (PDF) . Trend Micro . Consultado el 8 de abril de 2022 .
- ↑ "Mercados de herramientas para el cibercrimen y datos robados" (PDF) . RAND Corporation . 2014.
- ↑ "Detienen al sospechoso del kit de exploits del malware Blackhole" . BBC News . 9 de octubre de 2013. Consultado el 8 de abril de 2022 .
- 1 2 Kujawa, Adam (4 de diciembre de 2013). "Informe de amenazas de Malwarebytes 2013" . Malwarebytes Labs . Recuperado el 8 de abril de 2022 .
- ↑ Zorabedian, John (9 de octubre de 2013). "¿Está terminado el kit de exploits Blackhole?" . Sophos News . Consultado el 3 de abril de 2022 .
- ↑ Fisher, Dennis (26 de noviembre de 2013). "Los kits de exploits Blackhole and Cool están casi extintos" . threatpost.com . Consultado el 3 de abril de 2022 .
- ↑ "Neutrino Exploit kit: Un recorrido por las campañas del kit de explotación que distribuyen diversos ransomware" . Cyware Labs . Consultado el 8 de abril de 2022 .
- ↑ "Neutrino" . Malwarebytes Labs . Consultado el 8 de abril de 2022 .
- ↑ "Campaña de publicidad maliciosa que presiona para que se cierre el kit de exploits Neutrino" . threatpost.com . Septiembre de 2016. Consultado el 8 de abril de 2022 .
- ↑ "El antiguo kit de exploits Neutrino, un actor importante, ha desaparecido" . Bleeping Computer . Consultado el 8 de abril de 2022 .
- ↑ Schwartz, Mathew (15 de junio de 2017). "Neutrino Exploit Kit: No hay señales de vida" . www.bankinfosecurity.com . Recuperado el 8 de abril de 2022 .
- ↑ F-Secure [@FSLabs] (15 de junio de 2017). "RIP Neutrino exploit kit. Te echaremos de menos (no)" ( Tweet ) – vía Twitter .
- ↑ "¿Dónde han ido a parar todos los kits de exploits?" . threatpost.com . 15 de marzo de 2017 . Consultado el 8 de abril de 2022 .
- ↑ Malecki, Florian (junio de 2013). "Protegiendo su negocio de los kits de exploits" . Computer Fraud & Security . 2013 (6): 19–20 . doi : 10.1016/S1361-3723(13)70056-3 .
- ↑ "kit de exploits - Definición" . Trend Micro . Consultado el 8 de abril de 2022 .
- ↑ "Los kits de exploits mejoran las técnicas de evasión" . Blog de McAfee . 12 de noviembre de 2014. Consultado el 8 de abril de 2022 .
- ↑ "El kit de exploits Angler sigue evadiendo la detección: más de 90.000 sitios web comprometidos" . Unit42 . 11 de enero de 2016. Consultado el 8 de abril de 2022 .
- Kits de herramientas de malware
- Software espía
- vulnerabilidades de seguridad informática