Что такое exploit это вирус

В удаленной теме про вирусы было сообщение:

> автор не знает чем эксплоиты от вирусов отличаются?

> сервер просто взломали

Мне-то от этого не легче, да и в чем принципиальная разница? В обоих вариантах на _моей_ системе был выполнен код, который мне совершенно неподконтролен и мог нарушить (или нарушил?) безопасность системы. Нашли дырку в roundcube, а через нее вирь (да, именно вирь) уже начинает лезть дальше, попутно запуская другие эксплоиты. В чем я ошибаюсь?

В чем отличие вируса от эксплоита?



>Мне-то от этого не легче, да и в чем принципиальная разница?

Если тебе по ICQ придёт сообщение с просьбой выполнить от root'а команду rm -rf /* и ты сделаешь - ты тоже операционную систему будешь винить?

>Нашли дырку в roundcube, а через нее вирь (да, именно вирь) уже начинает лезть дальше

И пока ты подобные вещи не понимаешь, делать тебе на сервере нечего.

в фак, сукины дети!


тем что вирус живет в программе и модифицирует другие программы

Ну типа вирь это такая фигня, которая умеет распространяться сама, заражая тем или иным способом систему, а эксплоит, подозреваю, не умеет.

И да, при этом ему нужен носитель, как уже замечено выше.

Т.е. вирус (компьютерный) не зря вирусом назвали, основные признаки теже самые, что и у настоящего вируса.


Ппц, братья, ну и линуксоид сегодня пошел.

Вирус имеет способность к размножению, эксплоит нет.
А вообще это сравнение теплого с мягким.


>Ну типа вирь это такая фигня, которая умеет распространяться сама

Не обязательно. Троянские кони - частный случай вирусов, но сами не обязательно распространяются.


>А вообще это сравнение теплого с мягким.

Угу. Это сравнение лошади и упряжи.


> ты тоже операционную систему будешь винить?

Нет, ибо сам виноват. А тут оно САМО.

Некоторым и busybox достаточно. Но вот чудо: ставим софт (любой) и сразу появляются потенциальные проблемы. Что же это за диво-дивное?

> И пока ты подобные вещи не понимаешь, делать тебе на сервере нечего.

Я то понимаю, только кто на каждом углу кричит "в лялехе вирусов нет и не будет"?


щаз придет шома с касперычем и расскажет про вирусы ))


В таком случае roundcube - это вирус/троян


я таки думаю, что *нечто* ломающее тебя через дырявые скрипты на пехепе нельзя назвать вирусом, и даже трояном с натяжкой


> Ну типа вирь это такая фигня, которая умеет распространяться сама, заражая тем или иным способом систему, а эксплоит, подозреваю, не умеет.

Дык это САМО прилетело. А мне говорят, что таки не вирус.


>Дык это САМО прилетело.
Просто так ничего не бывает и САМО ничего не летает. Самая большая дыра на твоем сервере это админ ;)


>Нет, ибо сам виноват. А тут оно САМО.

Как это? В Linux сам собой roundcube завёлся?

>Но вот чудо: ставим софт (любой) и сразу появляются потенциальные проблемы.

В _таком_ варианте они неизбежны в любой системе.

>Я то понимаю, только кто на каждом углу кричит "в лялехе вирусов нет и не будет"?

Не знаю, кто кричит. Пионеры какие-то, краем уха про другую ОС услышавшие. Линуксоиды хоть с каким-то опытом, о таком не кричат. Они просто знают, что под Linux вирусы в широком ассортименте есть. Но система к ним несравнимо устойчивее, чем Win. А ещё эти линуксоиды прекрасно осознают разницу между ОС и прикладным софтом, торчащим голой жопой в Интернет. Заблокируй доступ к своей машине по HTTP-порту и даже roundcube твой уже никто не поломает. Распиши жёсткие ограничения по правам или посади Apache в Jail - и взомавший roundcube не будет иметь ни к чему остальному доступа.

>В чем отличие вируса от эксплоита?

Надеюсь вы знаете, что такое Баг (bug)

так вот, эксплойт, это "пример использования" бага.
т.е. программа, которая использую баг, что-то там может (повышение привилегий, доступ в рестриктед, выполнение произвольного кода, итд)


а вирус - это обычная программа, просто прозвали её так. суть - вредоносный контекст. обычно это бэкдор, чтобы компьютер стал частью ботнета.

так вот, вирус, по мимо вредоносного контекста обычно содержит код для "самовоспроизводства", такой тип популярен в win32 системах.

русским языком, это значит - что программа-вирус ищет возможность заразить другие PC.

а заражает он их через эксплойты (или, читай - реализация багов)


вот тебе и разница


А что одмин? Одмин поставил почтовую морду "на посмотреть" (выбрал опенсорс, типа глобально, надежно и открыто) и забыл про нее, ибо неинтересной показалась. И даже считал ее снесенной. Кто же знал, что через год про нее вспомнят злые хакиры?

Что же делать админу? Да еще на своем собственном компе.


>я таки думаю, что *нечто* ломающее тебя через дырявые скрипты на пехепе нельзя назвать вирусом

Есть уникальный случай - phpBB. Под него был написан именно классический саморазмножающийся вирус :) Искал через Гугль phpBB-доски и автоматически ломал/заражал их.

По-моему, единственная эпидемия скриптового вируса была :)


Эксплойт - используется для проникновения злоумышленника в твою систему, используя дырку в к-либо программе, дает прорывающимуся доступ к шеллу к-либо юзера (это в идеале), а так - выполняет произвольный код, который может понадобиться злоумышленнику именно чтобы доступ к консоли получить.

Как пример - баг scanf, если величина массива char в который передается результат функции scanf например 255, а было передано в stdin 256 символов - будет вызвано переполнение буфера, как следствие - злоумышленник может пропихнуть в адресное пространство убитой таким действием проги свой код с привилегиями запустившего программу пользователя. Так делали ЕМНИП с какой-то версией апача, который на большинстве систем естественно запускался из-под рута.

Та же фигня и в твоем случае: нашли баг в программе, обрушили, пропихнули свой код в ее адресное пространство.

Не пинайте: объясняю как умею


>А что одмин? Одмин поставил почтовую морду "на посмотреть" (выбрал опенсорс, типа глобально, надежно и открыто) и забыл про нее, ибо неинтересной показалась. И даже считал ее снесенной. Кто же знал, что через год про нее вспомнят злые хакиры?

Ну говорю же -- админ дыра, с таким отношением у тебя проломают даже самую безбажную и защищенную ОСь. И не надо на лялех гнать волну.


ну может и так, но тогда это уже вирус не спецефичный для ОС

Эксплойтом называется любая несанкционированная и противоправная атака, совершаемая с использованием уязвимости в программном обеспечении, сетях или оборудовании. Атака, как правило, осуществляется с помощью компьютерной программы, фрагмента программного кода или последовательности команд с целью захвата контроля над системой, нарушения ее функционирования или получения хранимых в сети данных.

На стадии разработки во все программы и сети встраиваются механизмы защиты от хакеров по типу замков, предупреждающих несанкционированные посягновения извне. Уязвимость же похожа на открытое окно, пробраться через которое не составит большого труда для злоумышленника. В случае с компьютером или сетью злоумышленники могут установить вредоносное ПО, воспользовавшись уязвимостью, с целью получить контроль или инфицировать систему в своих корыстных целях с соответствующими последствиями. Чаше всего все это происходит без ведома пользователя.


Эксплойты вызываются ошибками в процессе разработки программного обеспечения, в результате которых в системе защиты программ оказываются уязвимости, которые успешно используются киберпреступниками для получения неограниченного доступа к самой программе, а через нее дальше - ко всему компьютеру. Эксплойты классифицируются в соответствии с типом уязвимости, которая используется хакером: нулевого дня, DoS, спуфинг или XXS. Разумеется, разработчики программ в скором времени выпустят обновления безопасности с целью устранения найденных дефектов, однако до этого момента программа является по-прежнему уязвимой для злоумышленников.

Так как эксплойты используют бреши в механизмах безопасности программ, у рядового пользователя практически нет шансов определить их наличие. Именно поэтому чрезвычайно важно поддерживать установленные программы обновленными, в особенности своевременно устанавливать обновления безопасности, выпускаемые разработчиками программ. В случае, если разработчик ПО выпустит обновление безопасности для устранения известной уязвимости в своем ПО, но пользователь не установит его, то, к сожалению, программа не получит необходимые самые последние вирусные определения.

Ввиду того, что эксплойты являются последствием совершенных недочетов, их устранение входит в прямые обязанности разработчиков, поэтому именно авторы должны будут подготовить и разослать исправление ошибок. Тем не менее, обязанность поддерживать установленные программы обновленными и своевременно устанавливать пакеты обновлений, чтобы не дать хакерам шансов воспользоваться уязвимостями, лежит полностью на пользователе программы. Одним из возможных способов не пропустить самые свежие обновления - использовать менеджер приложений, который позаботится о том, чтобы все установленные программы были обновлены, или - что еще лучше - воспользоваться инструментом автоматического поиска и установки обновлений.

  • Убедитесь, что вы установили самые свежие обновления безопасности и патчи для всех программ
  • Чтобы быть в безопасности онлайн и оставаться в курсе событий, устанавливайте все обновления сразу после их выпуска
  • Установите и используйте антивирус класса премиум, который способен автоматически обновлять установленные программы

Полагайтесь на здравый смысл и следуйте базовым правилам безопасной работы в Интернете. Хакеры могут воспользоваться уязвимостью только в том случае, если им удастся получить доступ к вашему ПК. Не открывайте вложения в подозрительных сообщениях и не загружайте файлы из неизвестных источников. Поддерживайте установленные программы обновленными, а также своевременно устанавливайте обновления безопасности. Если хотите максимально упростить эту задачу, скачайте антивирус Avast, который не только обеспечит надежную защиту от всех типов вредоносного ПО, но и поможет с установкой самых свежих обновлений для сторонних программ.


Наш журнал не назывался бы так, как он называется, если бы с завидной регулярностью мы не анализировали ситуацию в мире эксплойт-паков и drive-by-загрузок (см., например, ][ № 162). С момента последнего обзора много изменений коснулись средств для доставки вредоносного кода. В частности, люди, в чьи обязанности входит оберегать простых трудящихся от всяческих опасностей всемирной паутины, не спали, и арест небезызвестного Paunch’а — автора некогда самого популярного набора эксплойтов Black Hole — наверняка повлиял на перераспределение основных игроков на рынке эксплойт-паков.

WARNING!

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

В нашем сегодняшнем списке будет представлено девять наиболее популярных наборов эксплойтов. При этом стоит отметить, что такого явного лидера, каким в свое время был Black Hole, среди них нет, а популярность того или иного представителя разными исследователями и антивирусными компаниями оценивается не всегда одинаково. Тем не менее общая картина выглядит примерно таким образом:

  • Angler Exploit kit;
  • Sweet Orange Exploit kit;
  • Nuclear Exploit kit;
  • Fiesta Exploit kit;
  • Magnitude Exploit kit;
  • Neutrino Exploit kit;
  • Astrum Exploit kit;
  • RIG Exploit kit;
  • Archie Exploit kit.

Состав эксплойт-паков из сегодняшнего обзора

Angler Exploit kit

Лидер нашего сегодняшнего обзора. Появился в конце прошлого года, и, по некоторым данным, многие пользователи Black Hole Exploit Kit перешли на использование этого эксплойт-пака после ареста Paunch’а. На сегодняшний день имеет в своем арсенале эксплойты к двенадцати уязвимостям (причем две из них весьма свежие).

Первая (CVE 2015-0311) позволяет выполнить произвольный код во Flash версий до 16.0.0.287 для Windows и OS X, вторая (CVE 2015-0310) — обойти ограничения безопасности в Adobe Flash Player, отключить ASLR и выполнить произвольный код.


Angler EK на malwaredomainlist.com

Перед началом своей вредоносной деятельности Angler EK проверяет, не запущена ли атакуемая машина в виртуальной среде (распознаются VMware, VirtualBox и Parallels Workstation по наличию соответствующих драйверов) и какие антивирусные средства установлены (определяются различные версии Касперского, антивирусы от Trend Micro и Symantec, антивирусная утилита AVZ). Помимо перечисленного, еще проверяется наличие web-дебаггера Fiddler.


Проверка наличия виртуалок, аверов и прочего палева в Angler EK

Кстати говоря, такого рода проверки в той или иной степени нынче реализованы во многих эксплойт-паках, в том числе и из нашего сегодняшнего обзора.

Код Angler EK, как и положено, очень хорошо обфусцирован и закриптован, а авторы регулярно чистят код эксплойт-пака (по мере попадания его в антивирусные базы).

Sweet orange Exploit kit

Хотя этот эксплойт-пак не так уж молод (появился он еще в 2012 году), он может похвастаться не самой малой популярностью (особенно после октября 2013 года) и эксплуатацией одной свежей уязвимости. По заявлениям некоторых исследователей, пробив эксплойт-пака составляет около 15%. На данный момент включает в себя эксплойты для десяти уязвимостей, и, в отличие от Angler EK, Sweet Orange эксплуатирует несколько уязвимостей к Java (CVE 2012-1723, CVE 2013-2424, CVE 2013-2460, CVE 2013-2471).


Инсталлер для Sweet Orange EK

Sweet Orange использует алгоритм генерации случайных доменных имен каждые несколько минут, что затрудняет обнаружение и исследование этого эксплойт-пака. К примеру, имена поддоменов могут иметь такой вид:

Для проверки доменных имен и IP-адресов на их наличие в блек-листах разных антивирусов используется сервис scan4you.net, пользователь связки может указать и другой сервис проверки.

Авторы этого эксплойт-пака крайне неохотно делятся информацией о деталях своего творения и практически не дают возможности подглядеть хотя бы кусочек кода.


Кусочек обфусцированного кода Sweet Orange EK

Цена связки — 2500 WMZ плюс первые две недели чисток и смены доменов бесплатно.

  • Чистка: один месяц — 1000 WMZ.
  • Смена доменов:
    • ограничение по количеству, цена указана за один домен:
      • до 10 — 25 WMZ;
      • от 10 до 30 — 15 WMZ;
      • от 30 — 10 WMZ.
    • ограничение по времени (в днях):
      • 10 — 300 WMZ;
      • 20 — 400 WMZ;
      • 30 — 600 WMZ.
  • Смена сервера: 20 WMZ.

Nuclear Exploit kit

Первые версии этой связки эксплойтов появились еще в 2009 году. На сегодняшний день самый заряженный эксплойт-пак из всех представленных в обзоре и включает в себя эксплойты к двенадцати уязвимостям (стоит заметить, что далеко не все из них первой свежести).


Nuclear Exploit kit собственной персоной

В большинстве случаев для заражения используется трехуровневый редирект по следующей схеме: первый уровень — скомпрометированная веб-страница с внедренным iframe, второй уровень — ссылка на эксплойт-пак и третий — непосредственно сама связка.

Код эксплойт-пака очень сильно обфусцирован, присутствует большое количество объявленных в разных местах переменных и функций, которые не используются.

Для деобфускации кода при выполнении Nuclear EK использует примерно вот такие функции (думаю действия, которые выполняют эти функции, понятны без пояснений):

Ко всему прочему код некоторых функций, в частности скрипт определения платформы и версий плагинов браузера (для определения плагинов используется JS-библиотека PluginDetect), генерируется динамически:

Стоимость аренды авторы оценили таким образом (в зависимости от трафика и времени пользования):

  • 50k — 500 WMZ;
  • 100k — 800 WMZ;
  • 200k — 1200 WMZ;
  • 300k — 1600 WMZ.

  • 50k — 300 WMZ;
  • 100k — 500 WMZ;
  • 200k — 700 WMZ;
  • 300k — 900 WMZ.

  • 100k — 300 WMZ;
  • 200k — 400 WMZ;
  • 300k — 500 WMZ.

Самая старая уязвимость в нашем обзоре — CVE 2010-0188, эксплойт к которой есть в составе Nuclear EK, позволяет с помощью специально сформированного PDF-файла выполнить произвольный код на атакуемой системе.


PDF-эксплойт LibTiff к уязвимости CVE 2010-0188 из состава Nuclear EK

Fiesta Exploit kit

Этот эксплойт-пак начал свой путь с эксплойта к уязвимости CVE-2007-5659 в далеком 2008 году. На сегодня несет на борту девять эксплойтов, уязвимости к которым датируются 2010–2013 годами. Самые свежие из них уязвимости Silverlight, позволяющие выполнить произвольный код в системе из-за ошибки двойного разыменовывания указателя (CVE 2013-0074) или из-за некорректной обработки объектов в памяти (CVE 2013-3896).


Эксплойт к уязвимостям Silverlight из состава Fiesta EK

Проверка на наличие нужных версий Silverlight и AdobeFlash производится таким образом:

Если обе эти функции генерируют исключение, то происходит попытка эксплуатации других уязвимостей (Java или IE).


Одна из функций расшифровки строк в Fiesta EK

Код эксплойт-пака сильно обфусцирован и вдобавок использует шифрование большинства строк с помощью случайных чисел и последовательностей.

Magnitude Exploit kit

Связка появилась на рынке в начале 2013 года и поначалу была известна как PopAds Exploit Kit.


Страничка статистики от Magnitude EK

Несмотря на не самые свежие эксплуатируемые уязвимости (всего в этом наборе на сегодняшний момент их семь), этот эксплойт-пак дает вполне приемлемый пробив.

Деобфусцировать код связки можно с помощью метода String.fromCharCode, в качестве аргумента которого выступают элементы зашифрованной XOR’ом последовательности. Для того чтобы отделить элементы в этой последовательности друг от друга, используется символ %.


Деобфускация кода Magnitude EK

В отличие от других эксплойт-паков, Magnitude EK нельзя арендовать, к примеру на неделю или на месяц. Создатели этой связки в качестве оплаты берут некоторый процент зараженных компьютеров от общего трафика заказчика.

Neutrino Exploit kit


Кусочек объявления об аренде Neutrino EK

Код эксплойт-пака обфусцирован примерно по такому же принципу, как и в Magnitude EK. Для деобфускации используется вот такая функция:

Стоимость аренды эксплойт-пака на общем сервере с общими чистками:

  • день — 40 долларов;
  • неделя — 150 долларов;
  • месяц — 450 долларов.

Таблица статистики для Neutrino EK

Astrum Exploit kit

Самый молодой набор эксплойтов в нашем сегодняшнем обзоре. По данным некоторых антивирусных компаний, дата его первого выхода в свет — приблизительно середина сентября 2014 года.

Код эксплойт-пака сильно обфусцирован и имеет внутри себя проверку на наличие различных хакерских утилит на заражаемой машине, антивирусных программ, а также факта запуска в виртуальной машине. Помимо этого, отдельной проверки удостоился плагин защиты экранной клавиатуры от Касперского:


Проверка наличия антивирусных и хакерских утилит в Astrum EK

В своем составе имеет эксплойты к семи уязвимостям (Silverlight, Flash, LibTiff и IE).

RIG Exploit kit


Объявление про RIG EK

На страницу с эксплойт-паком пользователи перенаправляются с помощью JS-скрипта, внедренного на скомпрометированную страницу, который на основе текущей даты (от нее берется CRC32-хеш) генерирует доменные имена, где и размещен код эксплойт-пака.


Генерация доменного имени в RIG EK

Наличие антивирусных продуктов эта связка эксплойтов тоже проверяет (правда, только Касперского и Trend Micro) — определяя, есть ли следующие драйверы:

  • c:\\Windows\\System32\\drivers\\kl1.sys
  • c:\\Windows\\System32\\drivers\\tmactmon.sys
  • c:\\Windows\\System32\\drivers\\tmcomm.sys
  • c:\\Windows\\System32\\drivers\\tmevtmgr.sys
  • c:\\Windows\\System32\\drivers\\TMEBC32.sys
  • c:\\Windows\\System32\\drivers\\tmeext.sys
  • c:\\Windows\\System32\\drivers\\tmnciesc.sys
  • c:\\Windows\\System32\\drivers\\tmtdi.sys

Стоимость этого набора эксплойтов:

  • день — 40 долларов;
  • неделя — 100 долларов;
  • месяц — 500 долларов.

Archie Exploit kit

Этот эксплойт-пак появился относительно недавно (по данным компании F-Secure — приблизительно в конце июля прошлого года). Его создатели не стали утруждать себя самостоятельной разработкой кода и взяли за основу эксплойт-модули из Metasploit Framework, а для получения информации о версиях Silverlight, Flash и прочего используется JS-библиотека PluginDetect.

Первые версии Archie не баловали своих пользователей ни обфускацией, ни какими-либо другими хитростями, однако в более поздних версиях появились как запутывание кода и шифрование URL’ов и названий файлов, так и проверка на наличие виртуальных машин и антивирусных программ.


Проверка наличия виртуалки и антивирусных программ в Archie EK

Заключение

Капитан Очевидность из своей суфлерской будки подсказывает мне, что с течением времени уязвимостей и эксплойт-паков меньше не становится. Поэтому, подводя итог, можно сделать несколько выводов:

  • авторы большинства эксплойт-паков от прямой продажи перешли к аренде на своих серверах, при этом зачастую они предоставляют полный цикл услуг — от чистки до постоянной смены доменных имен и проверок на обнаружение антивирусами;
  • почти во всех эксплойт-паках стали очень активно эксплуатироваться уязвимости Java и Silverlight;
  • многие эксплойт-паки стали обзаводиться функциями распознавания наличия виртуальных машин, антивирусов и разных хакерских утилит;
  • уязвимость CVE 2013-2551 пользуется большой популярностью и используется во всех наборах эксплойтов из нашего обзора.

Совсем недавно исходные коды RIG Exploit Kit утекли в свободный доступ. Про это можно прочитать на Хабре.

Разработчики защитных решений часто упоминают эксплойты как одну из самых серьёзных проблем безопасности данных и систем, хотя и не всегда ясно, почему. Попробуем разобраться в этом вопросе



Разработчики защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьезных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в целом. Попробуем разобраться с этим вопросом.

Эксплойты — это подвид вредоносных программ. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.

Браузеры наряду с Flash, Java и Microsoft Office являются одними из самых подверженных атакам категорий программного обеспечения. Из-за их повсеместности их активно исследуют как эксперты по безопасности, так и хакеры, а разработчики браузеров вынуждены регулярно выпускать патчи для исправления уязвимостей. Лучше всего эти патчи устанавливать сразу, но, к сожалению, так происходит далеко не всегда — ведь при этом придется закрывать все вкладки.

Особую проблему, конечно, представляют собой эксплойты неизвестных уязвимостей, обнаруженных и использованных преступниками, — так называемые уязвимости нулевого дня. Может пройти много времени, прежде чем производители узнают о наличии проблемы и устранят ее.

Следующая часть вполне техническая, так что не стесняйтесь проматывать, если только вам не в самом деле интересно, как это работает. Имейте в виду при этом, что киберпреступники часто предпочитают эксплойты прочим методам заражения, так как, в отличие от социальной инженерии, в которой все делается наудачу, эксплуатация уязвимостей неизменно дает желаемый результат.

Как поясняется в статье Securelist, эксплойты предназначены для атаки конкретных версий программного обеспечения, содержащего уязвимости. Таким образом, если у пользователя нужная версия программного обеспечения при открытии вредоносного объекта или если веб-сайт использует это программное обеспечение для работы, то запускается эксплойт.

После того как он получает доступ посредством уязвимости, эксплойт загружает дополнительные вредоносные программы с сервера преступников, осуществляющие подрывную деятельность, такую как кража личных данных, использование компьютера в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак и так далее.

Эксплойты представляют угрозу даже для осторожных и добросовестных пользователей, которые регулярно обновляют свое программное обеспечение. Причина кроется во временном зазоре между открытием уязвимости и выходом патча для ее исправления.

В этом интервале эксплойты могут свободно функционировать и угрожать безопасности почти всех интернет-пользователей при отсутствии установленных в системе автоматических средств предотвращения атак эксплойтов. Опять же, не будем забывать про синдром открытых вкладок — своевременное обновление программ зачастую требует от пользователя некоторых жертв, на которые не все готовы пойти сразу в момент выхода заплатки.

Перечислим несколько наиболее известных наборов эксплойтов, или, как еще их называют, эксплойт-китов:

Angler — один из самых сложных наборов на черном рынке. Этот набор эксплойтов своим появлением изменил правила игры, после того как начал обнаруживать антивирусы и виртуальные машины (часто используемые экспертами по безопасности как приманки) и задействовать шифрованные файлы для затруднения исследования. Это один из тех наборов эксплойтов, которые быстрее всего включают в свой арсенал недавно открытые уязвимости нулевого дня, а его вредоносные программы работают в памяти, без записи на жестких дисках жертв. С техническим описанием пакета можно ознакомиться здесь.

Nuclear Pack — поражает жертв эксплойтами Java и Adobe PDF, а также подсаживает Caphaw — печально известный банковский троян. Подробнее читайте здесь.

Neutrino — набор от русскоязычных разработчиков, содержащий несколько эксплойтов Java. Neutrino прославился в прошлом году в связи с тем, что владелец выставил его на продажу по очень скромной цене — $34 тыс. Скорее всего, это было сделано после ареста некоего Paunch, создателя следующего набора, о котором мы хотим поговорить.

Как сказано выше, эксплойты — подвид вредоносных программ, но они обнаруживаются не всеми защитными программами. Для успешного обнаружения необходимо, чтобы защитное решение использовало поведенческий анализ — это единственный надежный метод борьбы с эксплойтами. Вредоносные программы могут быть многочисленными и разнообразными, но большинство из них имеют похожие черты поведения.

Что такое эксплойты и почему их все так боятся?

Более подробную информацию о технологии Automatic Exploit Prevention можно найти здесь.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Иммунитет и инфекции