Na terminologia de segurança cibernética, um exploit (vulnerabilidade) é um pedaço de código ou programa que tira proveito de vulnerabilidades ou falhas em software ou hardware. Um exploit não é malware, mas sim uma forma de distribuir malware como ransomware ou vírus. O objetivo dos exploits é instalar malware ou se infiltrar e iniciar ataques de negação de serviço (DoS), por exemplo.

O recente crescimento exponencial de periféricos de computador, avanços de software e serviços de nuvem levou a um aumento correspondente nas vulnerabilidades. É claro que os cibercriminosos adoram ter mais sistemas para atacar com essas ferramentas.

O que é um ferramenta de vulnerabilidade?

As ferramentas de vulnerabilidades são programas automatizados usados por cibercriminosos para explorar sistemas ou aplicativos. O que torna uma ferramenta de vulnerabilidade muito perigoso é sua capacidade de identificar vítimas enquanto navegam na web. Depois de atacar as vulnerabilidades de uma vítima em potencial, os invasores podem baixar e executar o malware de sua escolha.

Examinando como funcionam as ferramentas de vulnerabilidade

As ferramentas de vulnerabilidade (EKs) funcionam de forma silenciosa e automática à medida que procuram identificar vulnerabilidades na máquina de um usuário enquanto navegam na web. Atualmente, as ferramentas de vulnerabilidade são o método preferido para a distribuição de ferramentas de acesso remoto (RATs) ou malware em massa por cibercriminosos, especialmente aqueles que buscam lucrar financeiramente com uma vulnerabilidade.

Os EKs não exigem que as vítimas baixem um arquivo ou anexo. A vítima precisa apenas navegar em um site comprometido e, em seguida, esse site obtém um código oculto que ataca vulnerabilidades no navegador do usuário.

Os eventos que devem ocorrer para que um ataque utilizando um kit de vulnerabilidade seja bem-sucedido incluem:

  • Segmentar um site comprometido, que desviará discretamente o tráfego da Web para outra página de destino
  • Executando malware em um host, usando um aplicativo vulnerável como gateway
  • Enviando uma payload (script que é injetado em um sistema através de alguma falha) para infectar o host, se e quando a exploração da vulnerabilidade for bem-sucedida

Exemplos de ferramentas de vulnerabilidade

Abaixo está uma lista de ferramentas de vulnerabilidade que foram usados por cibercriminosos no passado:

Angler

Em meados da década de 2010, o Angler era um dos EKs mais poderosos e usados com frequência que permitia ataques de dia zero em Flash, Java e Silverlight. De acordo com o The Register, “No seu pico, os autores do Angler foram responsáveis por 40% de todas as infecções por ferramentas de vulnerabilidades, comprometendo quase 100.000 sites e dezenas de milhões de usuários, gerando cerca de US$ 34 milhões anualmente”.

Blackhole

As origens da ferramenta de vulnerabilidade Blackhole remontam a 2010. Aparentemente, era a ferramenta preferida pelos cibercriminosos para executar downloads drive-by por mais de três anos até a prisão de seu autor em 2013. Depois de encontrar um site que pudesse ser explorado, os cibercriminosos plantavam a ferramenta de vulnerabilidade Blackhole e expunham os visitantes a ataques movidos a Blackhole. Em seguida, a ferramenta baixava o malware (geralmente ransomware) nos PCs dos visitantes, aproveitando qualquer vulnerabilidade de navegador, Java ou plug-in Adobe Flash encontrada.

Fiesta

Em 2014, a ferramenta de vulnerabilidade Fiesta ganhou popularidade após o declínio da ferramenta Blackhole devido ao vazamento de seu código-fonte e à prisão de seu fundador. Como os EKs anteriores, o Fiesta funcionou comprometendo um site vulnerável. Depois que o site foi comprometido, os visitantes foram redirecionados para a página de destino do Fiesta controlada por cibercriminosos. Em seguida, diferentes vulnerabilidades com base nas características do computador eram baixados.

Flashpack

A ferramenta Flashpack também era popular entre os cibercriminosos em 2014, quando houve campanhas que abusaram das redes de publicidade. O Flashpack EK foi usado para distribuir vários malwares, incluindo o malware de roubo de informações Zeus, o Trojan Dofoil e o ransomware Cryptowall.

Os pesquisadores descobriram que o Flashpack EK usava anúncios gratuitos para distribuir as ameaças. Um exemplo: quando os usuários acessavam um site que exibia anúncios maliciosos (também conhecido como malvertising), eles eram levados por meio de vários redirecionamentos para uma página do Flashpack que exibia uma tela de ransomware.

GrandSoft

A ferramenta GrandSoft era outra ameaça baseada em malvertising que redirecionava usuários desavisados e instalava trojans, ransomware e clipboard hijackers em suas máquinas. Em 2019, o GrandSoft EK acionava o trojan bancário Ramnit que tentava roubar as credenciais de login salvas das vítimas, credenciais bancárias online, contas FTP, histórico do navegador, injeções de sites e muito mais.

HanJuan

Em 2015, a ferramenta HanJuan era popular e ajudou os cibercriminosos a facilitar os ataques de malvertising. Ele usou anúncios falsos e URLs encurtados para induzir os usuários a acessar uma página da Web contendo um HanJuan EK que visava vulnerabilidades no Adobe Flash Player (CVE-2015-0359) e no navegador Internet Explorer (CVE-2014-1776).

Magnitude

A ferramenta Magnitude, como outros EKs, é uma estrutura hospedada por agentes mal-intencionados para direcionar vulnerabilidades do navegador, especialmente para o Internet Explorer. Como a popularidade do IE mudou, os kits de exploração Magnitude direcionados ao navegador da Microsoft ficaram muito menos ativos. Ainda assim, em 2019, os cibercriminosos estavam usando o Magnitude EK em regiões geográficas específicas onde o IE possuía uma parte considerável do mercado, como na Coréia do Sul.

No outono de 2021, pesquisadores informaram que o Magnitude EK ainda continuava ativo, e logo depois houveram as correções de vulnerabilidades: CVE-2021-21224 e CVE-2021-31956”.

Neutrino

De acordo com pesquisadores, em 2016 o Neutrino EK foi “ao mesmo tempo classificado como uma das ferramentas de vulnerabilidade mais populares do mundo. Também conhecidas como pacotes de vulnerabilidades, essas ferramentas permitem que qualquer pessoa, sem necessidade de experiência em codificação, executasse campanhas em larga escala projetadas para infectar grandes quantidades de PCs com malware, transformando-os em nós ‘zumbis’ em uma botnet.”

Nuclear

A ferramenta de vulnerabilidade Nuclear era outro favorito dos cibercriminosos em meados da década de 2010. De acordo com um artigo da Ars Technica de abril de 2016, a Nuclear EK tinha “uma arquitetura de servidor multicamada sofisticada, com um único servidor principal fornecendo atualizações automáticas para servidores de ‘console’, onde os sistemas usados por clientes pagantes eram utilizado para acessar e personalizar seus pacotes de ataque pagos específicos . Esses servidores de console, por sua vez, gerenciam um estoque rotativo de páginas de destino fornecidas por links maliciosos, páginas da Web explorados e anúncios maliciosos.”

RIG

Em um artigo de novembro de 2016 no site ThreatPost, o autor diz que naquela época a “ferramenta de vulnerabilidade mais prolífico é o RIG, que preencheu um vazio deixado pela saída de Angler, Neutrino e Nuclear”. A postagem continua descrevendo a maneira “única” de “a ferramenta de vulnerabilidade RIG combina diferentes tecnologias da Web, como DoSWF, JavaScript, Flash e VBscript para ofuscar ataques”. Os pesquisadores de ameaças acrescentam que “um ataque RIG é uma estratégia de ataque em três frentes que aproveita ataques baseados em JavaScript, Flash e VBscript”.

Sundown

No final de 2016, pesquisadores publicaram um artigo em seu site sobre a ferramenta de vulnerabilidade Sundown que usava “uma técnica chamada esteganografia para ocultar suas explorações em arquivos de imagem de aparência inofensiva”. A prática de ocultar informações dentro de um arquivo tornou-se neste momento “cada vez mais usada por atores mal-intencionados, incluindo campanhas de publicidade maliciosa”.

A análise das incursões do Sundown EK revelou que os invasores usavam imagens PNG para disfarçar várias explorações, incluindo aquelas direcionadas às vulnerabilidades do Internet Explorer e do Flash Player.

Sweet Orange

A ferramenta de vulnerabilidade Sweet Orange também era popular entre os criminosos em meados da década de 2010. Ele tinha como alvo os sistemas operacionais Windows Windows 8.1 e Windows 7, bem como os navegadores Internet Explorer, Firefox e Google Chrome. Os autores do Sweet Orange EK tentaram impedir que a comunidade de segurança tivesse acesso ao código-fonte da ferramenta. Eles fizeram isso limitando as mensagens postadas em comunidades da Web amigáveis ao cibercrime apenas para convidados e vendendo a ferramenta apenas para aqueles com reputação de cibercrime.

Moral da história

Hoje, ferramentas mais antigos vazaram e estão disponíveis publicamente. Os invasores estão pegando essas ferramentas mais antigos e os modificando, tornando-os mais resilientes às estratégias de detecção de segurança mais recentes. Também muitos dessas ferramentas estão sendo anunciados para venda online. Os invasores oferecem esses ferramentas para aluguel nesses sites e oferecem contratos de suporte e atualização para garantir que funcionem contra atualizações futuras.

O que nós podemos fazer?

  • Proteja seus endpoints: proteção, detecção e resposta avançadas e automatizadas de endpoints.
  • Segurança da Web: Proteção contra ameaças da Web ocultas no tráfego criptografado ou não criptografado.
  • Segmentação interna: segmente ativos de rede e infraestrutura, independentemente de sua localização, seja no local ou em várias nuvens.
  • Acesso Zero Trust: À medida que os usuários continuam trabalhando de qualquer lugar e os dispositivos IoT inundam as redes e os ambientes operacionais, é necessária a verificação contínua de todos os usuários e dispositivos à medida que acessam aplicativos e dados corporativos.

REFERÊNCIAS:

https://www.fortinet.com/blog/industry-trends/the-definition-and-examples-of-exploit-kits

https://www.bankinfosecurity.com/neutrino-exploit-kit-no-signs-life-a-9999

https://www.securityweek.com/magnitude-ek-expands-arsenal-puzzlemaker-exploit-chain