مقالات

اکسپلویت کیت چیست؟

اکسپلویت کیت‌ها از جمله تهدیدات خودکاری هستند که از وب‌سایت‌های آلوده برای انحراف مسیر ترافیک وب، شناسایی برنامه‌های کاربردی آسیب‌پذیر مبتنی بر مرورگر و اجرای حملات بدافزاری استفاده می‌کنند.

اکسپلویت کیت‌ها به عنوان روشی برای بهره‌برداری (یا اکسپلویت کردن) آسیب‌پذیری‌های موجود در سیستم قربانیان حین مرور وب، به صورت خودکار و مخفیانه ابداع شده‌اند. به دلیل خودکار بودن اجرای اکسپلویت کیت‌ها، این ابزار تبدیل به یکی از محبوب‌ترین روش های توزیع بدافزار و ابزارهای دسترسی از راه دور (به اختصار RAT) برای مجرمان سایبری شده و می تواند موانع نفوذ را برای آنها کاهش دهد. علاوه بر این، اکسپلویت کیت‌ها قابلیت درآمدزایی برای مهاجمان را هم دارند. سازندگان اکسپلویت کیت‌ها تولیداتشان را به شکل «اکسپلویت کیت به صورت سرویس» در بازارهای سیاه زیرزمینی به فروش می‌رسانند که در این بازارها هزینه بعضی از کیت‌های پیشرفته تا هزاران دلار در ماه هم می‌رسد.

مهاجمین از اکسپلویت کیت‌ها برای کنترل دستگاه‌ها به صورت خودکار و ساده استفاده می‌کنند. در یک اکسپلویت کیت باید یکسری اتفاق ها روی دهد تا فرایند آلوده سازی سیستم کاربر با موفقیت انجام شود. این مراحل، از یک صفحه لندینگ (یا فرود) شروع شده و به اجرای اکسپلویت و دریافت اطلاعات مورد نظر ختم می‌شود. برای این که مهاجم بتواند کنترل رایانه میزبان را به دست بگیرد باید همه مراحل با موفقیت سپری شوند.

 

صفحه لندینگ یا فرود

کار اکسپلویت کیت با یک وب‌سایت آلوده شروع می‌شود. صفحه آلوده، کاربران را به صورت مخفیانه به یک صفحه فرود هدایت می‌کند. در این صفحه فرود، کدی قرار دارد که مشخصات دستگاه قربانی و برنامه‌های کاربردی آسیب‌پذیر مبتنی بر مرورگر در سیستم وی را ثبت می‌کند. اگر سیستم، به صورت کامل وصله و به روز رسانی شده باشد، عملیات اکسپلویت کیت متوقف می‌شود اما در صورت وجود هرگونه آسیب‌پذیری و نقطه ضعفی در سیستم کاربر، وب‌سایت آلوده به صورت مخفیانه ترافیک رایانه وی را به سمت اکسپلویت هدایت می‌کند.

 

اکسپلویت


اکسپلویت از یک برنامه کاربردی آسیب‌پذیر برای اجرای مخفیانه بدافزار بر روی سیستم میزبان استفاده می‌کند. برنامه‌های کاربردی که مورد هدف قرار می‌گیرند معمولاً شامل Adobe® Flash® Player ،Java® Runtime Environment ،Microsoft® Silverlight® (که اکسپلویت آن به صورت یک فایل است) و مرورگر وب هستند. اکسپلویت مرورگر، امکان ارسال به صورت کدهایی در بین ترافیک وب را دارد.

 

بسته‌های اطلاعاتی (Payload)


وقتی اکسپلویت با موفقیت اجرا شود، یک بسته اطلاعاتی را برای آلوده کردن سیستم میزبان ارسال می‌کند. این بسته اطلاعاتی می‌تواند یک دانلود کننده فایل باشد که بدافزار دیگری یا خود بدافزار مورد نظر را در سیستم قربانی دانلود می‌کند. با توجه به افزایش پیچیدگی اکسپلویت کیت‌ها، در حال حاضر معمولاً بسته‌های اطلاعاتی به صورت کدهای باینری رمزنگاری شده ارسال می‌شوند و تنها زمانی که به سیستم قربانی رسیدند، رمزگشایی و اجرا خواهند شد. هر چند متداول‌ترین Payloadها باج افزارها هستند اما انواع دیگری مثل بدافزارهای مخصوص بات نت، سرقت اطلاعات و تروجان‌های بانکی هم وجود دارد.

یک نمونه از این موارد، استفاده از اکسپلویت کیت Neutrino برای انتشار باج افزار Locky در کمپین Afraidgate بود. در این حمله، صفحات وب‌ آلوده حاوی اسکریپتی بودند که بازدیدکنندگان را به دامنه Afraidgate هدایت می‌کردند. پس از اتصال به URL آلوده؛ سرور، کدهای جاوا اسکریپت را به همراه یک iframe ارسال می‌کرد تا بازدیدکننده را به صفحه فرود اکسپلویت کیت Neutrino هدایت کند. اگر استفاده از آسیب‌پذیری با جاوا اسکریپت موفقیت آمیز بود، بسته اطلاعاتی حاوی باج افزار Locky به سیستم میزبان ارسال می‌شد. در نهایت نیز سیستم مربوطه قفل شده و کنترل آن در اختیار مهاجم قرار می‌گرفت.

با توجه به این که میزان استفاده از اکسپلویت کیت‌ها توسط مهاجمانی با اهداف و مهارت‌های مختلف روزبه‌روز بیشتر می‌شود، ضروری است که کاربران هم توانایی محافظت از خودشان در برابر چنین حملاتی را داشته باشند. با شناسایی سریع و اقدام به موقع در برابر بدافزارها و اکسپلویت‌های شناخته شده می توان به این هدف دست یافت.

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

17 + 9 =

دکمه بازگشت به بالا