Kit de explotación

Colección de herramientas de explotación de seguridad

Un kit de explotación es una herramienta que se utiliza para gestionar e implementar automáticamente exploits contra un equipo objetivo. Los kits de explotación permiten a los atacantes distribuir malware sin tener un conocimiento avanzado de los exploits que se están utilizando. Por lo general, se utilizan exploits de navegador , aunque también pueden incluir exploits dirigidos a software común, como Adobe Reader , o el propio sistema operativo . La mayoría de los kits están escritos en PHP . ^[1]

Los kits de explotación a menudo se venden en el mercado negro , tanto como kits independientes como como servicio .

Historia

Algunos de los primeros kits de explotación fueron WebAttacker y MPack , ambos creados en 2006. Se vendían en mercados negros, lo que permitía a los atacantes utilizar exploits sin conocimientos avanzados de seguridad informática . ^{[2] [3]}

El kit de explotación Blackhole se lanzó en 2010 y se podía comprar directamente o alquilar por una tarifa. ^[4] Malwarebytes afirmó que Blackhole fue el método principal de distribución de malware en 2012 y gran parte de 2013. ^[5] Después del arresto de los autores a fines de 2013, el uso del kit disminuyó drásticamente. ^{[5] [6] [7]}

Neutrino fue detectado por primera vez en 2012, ^[8] y fue utilizado en varias campañas de ransomware . Explotaba vulnerabilidades en Adobe Reader , Java Runtime Environment y Adobe Flash . ^[9] Después de una operación conjunta entre Cisco Talos y GoDaddy para interrumpir una campaña de publicidad maliciosa de Neutrino , ^[10] los autores dejaron de vender el kit y decidieron proporcionar únicamente soporte y actualizaciones a los clientes anteriores. A pesar de esto, el desarrollo del kit continuó y se agregaron nuevos exploits. ^[11] A partir de abril de 2017, la actividad de Neutrino cesó. ^[12] El 15 de junio de 2017, F-Secure tuiteó "RIP Neutrino exploit kit. Te extrañaremos (no)", con un gráfico que mostraba la disminución total de las detecciones de Neutrino. ^[13]

A partir de 2017, el uso de kits de explotación ha disminuido. Hay una serie de factores que pueden haber causado esto, incluidos los arrestos de cibercriminales, las mejoras en la seguridad que dificultan la explotación y el recurso de los cibercriminales a otros métodos de distribución de malware, como las macros de Microsoft Office y la ingeniería social . ^[14]

Existen muchos sistemas que funcionan para protegerse contra ataques de kits de explotación. Entre ellos se encuentran los antivirus de puerta de enlace , la prevención de intrusiones y el antispyware. También existen formas para que los suscriptores reciban estos sistemas de prevención de forma continua, lo que les ayuda a defenderse mejor de los ataques. ^[15]

Descripción general

Proceso de explotación

El proceso general de explotación mediante un exploit kit es el siguiente:

1. La víctima accede a un sitio web infectado por un kit de explotación. Los enlaces a páginas infectadas pueden difundirse a través de spam , publicidad maliciosa o comprometiendo sitios legítimos.
2. La víctima es redirigida a la página de inicio del kit de explotación.
3. El kit de explotación determina qué vulnerabilidades están presentes y qué explotación implementar contra el objetivo.
4. Se implementa el exploit. Si tiene éxito, se puede implementar en el objetivo una carga útil elegida por el atacante (es decir, malware). ^{[1] [16]}

Características

Los kits de explotación emplean una variedad de técnicas de evasión para evitar ser detectados. Algunas de estas técnicas incluyen la ofuscación del código ^[17] y el uso de huellas digitales para garantizar que el contenido malicioso solo se entregue a los objetivos probables. ^{[18] [1]}

Los kits de explotación modernos incluyen características como interfaces web y estadísticas, seguimiento del número de visitantes y víctimas. ^[1]

Véase también

• Dendroid (software malicioso)
• Caballo de Troya (informática)
• Software espía
• Red de bots
• Virus informático
• Puerta trasera (informática)
• Pequeño troyano bancario
• Zeus (malware)
• Fin del juego ZeuS

Referencias

1. Cannell, Joshua (11 de febrero de 2013). "Herramientas del oficio: kits de explotación". Malwarebytes Labs . Consultado el 8 de abril de 2022 .
2. Chen, Joseph; Li, Brooks. "Evolución de los kits de explotación" (PDF) . Trend Micro . Consultado el 8 de abril de 2022 .
3. "Mercados de herramientas para el cibercrimen y datos robados" (PDF) . RAND Corporation . 2014.
4. "Arrestan a sospechoso de explotar malware en Blackhole". BBC News . 9 de octubre de 2013 . Consultado el 8 de abril de 2022 .
5. Kujawa, Adam (4 de diciembre de 2013). "Informe de amenazas de Malwarebytes 2013". Malwarebytes Labs . Consultado el 8 de abril de 2022 .
6. Zorabedian, John (9 de octubre de 2013). "¿Está terminado el kit de explotación Blackhole?". Noticias de Sophos . Consultado el 3 de abril de 2022 .
7. Fisher, Dennis (26 de noviembre de 2013). "Blackhole y los kits de explotación geniales están casi extintos". threatpost.com . Consultado el 3 de abril de 2022 .
8. "Neutrino Exploit kit: Un recorrido por las campañas del exploit kit que distribuyen varios ransomware". Cyware Labs . Consultado el 8 de abril de 2022 .
9. "Neutrino". Malwarebytes Labs . Consultado el 8 de abril de 2022 .
10. "Campaña de publicidad maliciosa que presiona para que se cierre el kit de explotación Neutrino". threatpost.com . Septiembre de 2016 . Consultado el 8 de abril de 2022 .
11. "El kit de explotación Neutrino, un antiguo jugador importante, se ha vuelto inactivo". Bleeping Computer . Consultado el 8 de abril de 2022 .
12. Schwartz, Mathew (15 de junio de 2017). «Neutrino Exploit Kit: No hay señales de vida». www.bankinfosecurity.com . Consultado el 8 de abril de 2022 .
13. F-Secure [@FSLabs] (15 de junio de 2017). "RIP Neutrino exploit kit. Te extrañaremos (no)" ( Tweet ) – vía Twitter .
14. "¿A dónde han ido a parar todos los kits de explotación?". threatpost.com . 15 de marzo de 2017 . Consultado el 8 de abril de 2022 .
15. Malecki, Florian (junio de 2013). "Defendiendo su negocio de los kits de explotación". Fraude informático y seguridad . 2013 (6): 19–20. doi :10.1016/S1361-3723(13)70056-3.
16. "exploit kit - Definición". Trend Micro . Consultado el 8 de abril de 2022 .
17. "Los kits de explotación mejoran las técnicas de evasión". Blog de McAfee . 12 de noviembre de 2014 . Consultado el 8 de abril de 2022 .
18. "El kit de explotación Angler sigue eludiendo la detección: más de 90.000 sitios web comprometidos". Unit42 . 11 de enero de 2016 . Consultado el 8 de abril de 2022 .