Qu'est-ce qu'un kit d'exploitation ?

Les kits d'exploitation ont été développés comme un moyen d'exploiter automatiquement et silencieusement les vulnérabilités sur les machines des victimes lors de la navigation web. En raison de leur nature hautement automatisée, les kits d'exploitation sont devenus l'une des méthodes les plus populaires de distribution massive de logiciels malveillants ou d'outils d'accès à distance (RAT) par les groupes criminels, abaissant ainsi la barrière à l'entrée pour les attaquants. Les kits d'exploitation sont également efficaces pour générer des profits pour les acteurs malveillants. Les créateurs de kits d'exploitation proposent ces campagnes à la location sur les marchés criminels souterrains sous la forme de kits d'exploitation en tant que service, où le prix des kits principaux peut atteindre des milliers de dollars par mois.

Les attaquants utilisent des kits d'exploitation dans le but de prendre le contrôle d'un appareil de manière automatisée et simplifiée. Dans un kit d'exploitation, une série d'événements doit se produire pour que l'infection réussisse. De la page d'accueil à l'exécution d'un exploit et à la livraison d'une charge utile, chaque étape doit être franchie avec succès pour que l'attaquant puisse prendre le contrôle de l'hôte.

Vidéo connexe

Pourquoi le hameçonnage et d'autres attaques sur web réussissent-ils encore ?

 

Page d'atterrissage

Les kits d'exploitation commencent par un site web qui a été compromis. La page compromise détournera discrètement le trafic web vers une autre page d'atterrissage. La page de renvoi contient un code qui établit le profil de l'appareil de la victime pour y trouver des applications vulnérables basées sur un navigateur. Si l'appareil est entièrement patché et mis à jour, le trafic du kit d'exploitation cessera. S'il existe des vulnérabilités, le site web compromis détourne discrètement le trafic réseau vers l'exploit.

 

Exploiter

L'exploit utilise une application vulnérable pour exécuter secrètement un logiciel malveillant sur un hôte. Les applications ciblées sont Adobe® Flash® Player, Java® Runtime Environment, Microsoft® Silverlight®, dont l'exploit est un fichier, et le navigateur web, dont l'exploit est envoyé sous forme de code dans le trafic web.

 

Charge utile

Si un exploit réussit, le kit d'exploitation envoie une charge utile pour infecter l'hôte. La charge utile peut être un téléchargeur de fichiers qui récupère d'autres logiciels malveillants ou le logiciel malveillant lui-même. Avec les kits d'exploitation plus sophistiqués, la charge utile est envoyée sous la forme d'un binaire crypté sur le réseau, qui, une fois sur l'hôte de la victime, est décrypté et exécuté. Si la charge utile la plus courante est le ransomware, il en existe bien d'autres, notamment les malwares de réseaux de zombies, les voleurs d'informations et les chevaux de Troie bancaires.

Un exemple récent est l'utilisation du kit d'exploitation Neutrino pour diffuser le ransomware Locky dans le cadre de la campagne Afraidgate. Les pages du site compromis contiennent un script injecté qui redirige les visiteurs vers le domaine Afraidgate. Une fois connecté à l'URL compromise, le serveur renvoie plus de JavaScript avec une iframe, menant à une page d'atterrissage du kit d'exploitation Neutrino. Si l'exploitation de la vulnérabilité avec JavaScript réussit, la charge utile du ransomware Locky sera délivrée, et le système hôte verrouillera l'utilisateur et donnera le contrôle à l'attaquant.

Les kits d'exploitation devenant l'outil de prédilection des attaquants aux compétences et aux objectifs variés, il est impératif que vos systèmes soient capables de se protéger contre ces attaques. Cet objectif peut être atteint en réduisant la surface d'attaque, en bloquant les logiciels malveillants et les exploits connus, et en identifiant et en arrêtant rapidement les nouvelles menaces. La plateforme de nouvelle génération de Palo Alto Networks bloque de manière proactive les menaces connues tout en utilisant des techniques d'analyse statique et dynamique pour identifier les menaces inconnues. Tous les fichiers, courriels et liens inconnus sont analysés dans un environnement sandbox évolutif afin de déterminer s'ils sont malveillants ou bénins. Si un fichier est considéré comme malveillant, des protections sont créées automatiquement et mises en œuvre dans toutes les technologies de la plateforme pour une protection complète, empêchant les kits d'exploitation de progresser tout au long de leur cycle de vie.