Was ist ein Exploit-Kit?
Exploit-Kits wurden entwickelt, um automatisch und unbemerkt Schwachstellen auf den Rechnern der Opfer auszunutzen, während diese im Internet surfen. Aufgrund ihres hochgradig automatisierten Charakters sind Exploit-Kits zu einer der beliebtesten Methoden zur massenhaften Verbreitung von Malware oder Fernzugriffs-Tools (RAT) durch kriminelle Gruppen geworden und senken die Einstiegshürde für Angreifer. Exploit-Kits sind auch sehr effektiv, wenn es darum geht, Profit für böswillige Akteure zu erzielen. Die Hersteller von Exploit-Kits bieten diese Kampagnen auf kriminellen Untergrundmärkten in Form von Exploit-Kits als Dienstleistung zur Miete an, wobei der Preis für führende Kits Tausende von Dollar pro Monat erreichen kann.
Angreifer verwenden Exploit-Kits mit dem Ziel, die Kontrolle über ein Gerät auf automatisierte und vereinfachte Weise zu erlangen. Bei einem Exploit-Kit muss eine Reihe von Ereignissen eintreten, damit die Infektion erfolgreich ist. Angefangen von einer Landing Page über die Ausführung eines Exploits bis hin zur Auslieferung einer Nutzlast muss jede Phase erfolgreich abgeschlossen werden, damit der Angreifer die Kontrolle über den Host erlangen kann.
Zugehöriges Video
Warum sind Phishing und andere webbasierte Angriffe immer noch erfolgreich?
Landing Page
Exploit-Kits beginnen mit einer Website, die kompromittiert wurde. Die kompromittierte Seite leitet den Internetverkehr diskret auf eine andere Landing Page um. Auf der Landing Page befindet sich Code, der das Gerät des Opfers auf verwundbare browserbasierte Anwendungen untersucht. Wenn das Gerät vollständig gepatcht und auf dem neuesten Stand ist, wird der Exploit-Kit-Verkehr gestoppt. Wenn es irgendwelche Schwachstellen gibt, leitet die kompromittierte Website den Netzwerkverkehr diskret zum Exploit um.
Ausnutzen Sie
Der Exploit nutzt eine verwundbare Anwendung, um heimlich Malware auf einem Host auszuführen. Zu den angegriffenen Anwendungen gehören Adobe® Flash® Player, Java® Runtime Environment, Microsoft® Silverlight®, dessen Exploit eine Datei ist, und der Webbrowser, dessen Exploit als Code im Webverkehr gesendet wird.
Nutzlast
Wenn ein Exploit erfolgreich ist, sendet das Exploit-Kit eine Nutzlast, um den Host zu infizieren. Bei der Nutzlast kann es sich um einen Datei-Downloader handeln, der andere Malware abruft, oder um die beabsichtigte Malware selbst. Bei ausgefeilteren Exploit-Kits wird die Nutzlast als verschlüsselte Binärdatei über das Netzwerk gesendet, die auf dem Host des Opfers entschlüsselt und ausgeführt wird. Die häufigste Nutzlast ist Ransomware, aber es gibt noch viele andere, darunter Botnet-Malware, Informationsdiebe und Banking-Trojaner.
Ein aktuelles Beispiel dafür ist die Verwendung des Neutrino-Exploit-Kits zur Verbreitung der Ransomware Locky in der Afraidgate-Kampagne. Die Seiten der kompromittierten Website enthalten ein eingeschleustes Skript, das die Besucher auf die Afraidgate-Domain umleitet. Sobald eine Verbindung zu der kompromittierten URL hergestellt wurde, gibt der Server mehr JavaScript mit einem Iframe zurück, der zu einer Landing Page des Neutrino-Exploit-Kits führt. Wenn die Ausnutzung der Schwachstelle mit JavaScript erfolgreich ist, wird die Locky Ransomware-Nutzlast ausgeliefert und das Host-System sperrt den Benutzer aus und übergibt die Kontrolle an den Angreifer.
Da Exploit-Kits zum bevorzugten Werkzeug von Angreifern mit unterschiedlichen Fähigkeiten und Zielen werden, müssen Ihre Systeme unbedingt gegen diese Angriffe geschützt werden. Dies kann durch die Verringerung der Angriffsfläche, die Blockierung bekannter Malware und Exploits sowie die schnelle Erkennung und Abwehr neuer Bedrohungen erreicht werden. Die Palo Alto Networks Next Generation Platform blockiert proaktiv bekannte Bedrohungen und nutzt statische und dynamische Analysetechniken, um unbekannte Bedrohungen zu identifizieren. Alle unbekannten Dateien, E-Mails und Links werden in einer skalierbaren Sandbox-Umgebung analysiert, um festzustellen, ob sie bösartig oder harmlos sind. Wenn eine Datei als bösartig eingestuft wird, werden automatisch Schutzmechanismen erstellt und über alle Technologien innerhalb der Plattform bereitgestellt, um einen vollständigen Schutz zu gewährleisten und zu verhindern, dass Exploit-Kits ihren Lebenszyklus fortsetzen.
