Et exploit kit er et programvareverktøy som kriminelle bruker til å identifisere og utnytte sikkerhetssvakheter (exploits) i programvare for å spre malware. Disse kitsene er ofte utformet for å automatisere prosessen med å søke etter og utnytte kjente sårbarheter på datamaskiner eller servere som besøker en ondsinnet nettside eller er utsatt gjennom en ondsinnet lenke i en e-post.
Eksempler på hvordan exploit kits blir brukt
Det har vært flere kjente tilfeller av dataangrep der cyberkriminelle har brukt exploit kits. Disse angrepene har ofte involvert utbredt distribusjon av malware, inkludert ransomware og trojanere, ved å utnytte sårbarheter i populær programvare.
Angler exploit kit
Dette var en av de mest avanserte og utbredte programvareverktøyene i denne kategorien før en kraftig nedgang i aktiviteten rundt 2016. Angler exploit kit var kjent for sin evne til å omgå sikkerhetsforanstaltninger og for sin bruk av nulldagssårbarheter (det vil si, sårbarheter som ennå ikke har blitt offentlig kjent eller fikset). Det ble ofte brukt til å spre ransomware og banktrojanere.
Rig exploit kit
Rig har vært aktivt siden rundt 2014 og har blitt brukt til å distribuere ulike typer malware, inkludert banktrojanere og ransomware. Det er kjent for å utnytte sårbarheter i Internet Explorer, Flash, Silverlight, og Java.
Neutrino exploit kit
Dette kitet fikk popularitet etter at Angler gikk ned i aktivitet. Neutrino har blitt brukt til å infisere besøkende på kompromitterte nettsider med malware ved å utnytte sårbarheter i nettlesere og plugins som Adobe Flash.
EternalBlue
Selv om ikke et exploit kit i tradisjonell forstand, var EternalBlue et programvareverktøy utviklet av NSA som lekket ut i 2017 og ble brukt i flere høyprofilerte angrep. Blant annet ble EternalBlue brukt i WannaCry ransomware-angrepet, NotPetya, og Bad Rabbit. Disse angrepene utnyttet en sårbarhet i Microsofts SMB-protokoll for å spre seg raskt over nettverk.
GandCrab Ransomware
Selv om GandCrab primært var ransomware, ble distribusjonen av den ofte muliggjort ved hjelp av exploit kits som Rig og GrandSoft, demonstrerende hvordan exploit kits og spesifikk skadelig programvare ofte arbeider sammen i cyberkriminalitetsøkosystemet.
Hvordan fungerer exploit kits?
Exploit kits fungerer ved å automatisere utnyttelsen av sårbarheter i programvare for å installere skadelig programvare (malware) uten brukerens viten. Prosessen kan deles inn i flere nøkkeltrinn, fra hvordan de distribueres til hvordan de til slutt leverer malware til ofrenes systemer. Her er en mer detaljert gjennomgang av hvordan exploit kits typisk virker:
Finne potensielle ofre
For at et exploit kit skal fungere, må det først finne en måte å komme i kontakt med potensielle ofre. Dette gjøres ofte gjennom:
- Hacking av nettsider: Ved å hacke nettsider kan angripere injisere ondsinnet kode i vanligvis trygge nettsider. Dette gjør at angriperen kan omdirigerer besøkende til en server som hoster exploit kitet.
- Phishing-e-poster: Phising-e-poster er e-poster som inneholder ondsinnede lenker eller vedlegg, designet for å lokke mottakere til å klikke, som deretter fører dem til exploit kitet.
- Malvertising: Malvertising er å plassere ondsinnede annonser på legitime annonseplattformer. Når brukere klikker på disse annonsene, blir de omdirigert til en ondsinnet server.
Finne en sårbarhet hos offeret
Når et potensielt offer er omdirigert til serveren som hoster exploit kitet, vil kitet først kjøre en rekke sjekker for å finne det potensielle offerets nettleserversjon, operativsystem og annen brukt programvare. Målet er å identifisere kjente sårbarheter som kan utnyttes.
Velge hvilken sårbarhet å utnytte
Basert på informasjonen samlet inn i deteksjonsfasen, velger exploit kitet en passende exploit fra sitt bibliotek av tilgjengelige exploits. Disse programvareverktøyene er designet for å utnytte spesifikke sårbarheter i programvare som nettlesere, PDF-lesere, Java, Flash, osv.
Utførelse
Når et passende exploit er valgt, leveres exploitkoden til offerets datamaskin. Hvis exploitkoden kjøres vellykket, kan den utnytte sårbarheten for å kjøre vilkårlig kode på offerets system.
Installasjon av mer malware på offerets enhet
Med kontroll over offerets system, bruker exploit kitet denne tilgangen til å laste ned og installere malware. Typen av malware kan variere sterkt, fra ransomware som krypterer offerets filer og krever løsepenger, til trojanere som gir angriperen fjernkontroll over infiserte maskiner.
Vanlige sårbarheter utnyttet av exploit kits
Exploit kits retter seg typisk mot et bredt spekter av sårbarheter i populær programvare, spesielt de som er bredt brukt av både privatpersoner og bedrifter. De mest vanlige typene sårbarheter som utnyttes av exploit kits inkluderer, men er ikke begrenset til:
- Nettlesersårbarheter: Nettlesere er hovedmålene for exploit kits fordi de er de mest brukte programmene for å få tilgang til internett. Sårbarheter i nettlesere som Internet Explorer, Firefox, Chrome, og Safari kan utnyttes for å kjøre ondsinnet kode bare ved å besøke en infisert nettside.
- Plugin- og tilleggssårbarheter: Plugins og tillegg til nettlesere, som Adobe Flash, Adobe Reader, Java og Silverlight, har historisk sett vært hyppige mål fordi de ofte inneholder sårbarheter som kan utnyttes på tvers av ulike plattformer og nettlesere. Selv om bruk av noen av disse teknologiene har avtatt på grunn av sikkerhetsbekymringer og overgang til sikrere alternativer, utgjør de fortsatt mål for angrep.
- Operativsystemssårbarheter: Sårbarheter i operativsystemer som Windows, macOS, og Linux kan også utnyttes av exploit kits, spesielt de som tillater eskalering av privilegier eller eksekvering av kode på systemnivå.
- Applikasjonssårbarheter: Andre tredjepartsapplikasjoner, som kontorpakker (for eksempel Microsoft Office), arkiveringsverktøy (som WinRAR eller 7-Zip), og mediespillere, kan inneholde sårbarheter som exploit kits kan utnytte for å spre malware.
- Nulldagssårbarheter: Disse er sårbarheter som ennå ikke har blitt offentlig kjent eller for hvilke det ikke finnes noen patch. Cyberkriminelle verdsetter høyt disse sårbarhetene siden det ikke finnes noen direkte beskyttelse mot dem til en patch blir utgitt og anvendt av brukerne.
Slik reduserer du risikoen for infeksjon
Beskyttelse mot exploit kits krever en flerlags tilnærming til cybersikkerhet, som kombinerer både tekniske løsninger og god digital hygienisk praksis. Her er noen effektive strategier for å minimere risikoen for å bli kompromittert av exploit kits:
- Hold programvare og operativsystem oppdatert: Sørg for at operativsystemer, nettlesere, plugins og all annen programvare er oppdatert for å fikse kjente sårbarheter.
- Anti-virus og anti-malware med sanntidsbeskyttelse: Installer kvalitets antivirus- og antimalwareprogramvare med sanntidsbeskyttelse for å oppdage og fjerne exploit kits.
- Deaktiver eller avinstaller ubrukte plugins: Deaktiver eller avinstaller unødvendige nettleserplugins, spesielt de som ofte er målrettet av angripere, som Adobe Flash.
- Bruk annnonseblokkering: Installer uBlock Origin for å forhindre skadelig annonsering som kan lede til exploit kits.
- Bruk en brukerkonto uten administratorrettigheter: Bruk en brukerkonto på din enhet uten administratorrettigheter. Dette reduserer sakdepotensialet ved infeksjon.
Svein B. Hansen has master i informatikk og informasjonssikkerhet (Msc) fra UiO med spesialisering i cybersikkerhet, etisk hacking, kryptering og IT-risikostyring, samt flere års erfaring fra IT-sikkerhetsarbeid i internasjonale organisasjoner. Hansen er også en habil skribent, og er publisert i flere velrennomerte publikasjoner.