En utnyttelse ("/ ɪkˈsplɔɪt /", oversatt fra engelsk "utnytte" [1] ) er et begrep som brukes i informatikk for å identifisere en type skript , virus , orm , data eller binær som utnytter en feil eller sårbarhet for å lage uforutsett oppførsel i programvare , maskinvare eller elektroniske systemer (vanligvis datastyrte), f.eks. få tilgang til datasystemer , tillate anskaffelse av administrative privilegier eller angreptjenestenekt (DoS eller relatert DDoS) .
Begrepet refererer imidlertid ikke bare til programvare ; faktisk, i dynamikken til et klassisk sosialt ingeniørangrep , anses til og med bedraget eller selve talen som brukes for å lure offeret som en utnyttelse gitt kraften dette har til å fange informasjon relatert til målsystemet. [2]
Selve operativsystemet , så vel som applikasjonsprogramvaren som nettleseren, PDF-leseren, multimediaspilleren, plug-in, gir komplekse arkitekturer implementert i millioner av kodelinjer.
Det er derfor uunngåelig at denne koden inneholder feil som kan forårsake sårbarheter som hvis de oppdages og brukes av ondsinnede brukere kan utnyttes gjennom utnyttelser eller annen skadelig programvare.
Et annet viktig aspekt ved utnyttelser er at i utviklingsfasen utnyttes ofte programvarens evne til å samhandle med andre programmer, både lokale og eksterne, slik at den også kan ha som mål å angripe datasystemene som samarbeider med den infiserte målmaskinen. [3]
Spesielt farlige og potensielt svært skadelige er utnyttelsene designet for å angripe fastvaremiljøet til en maskin (Uefi), det vil si alt som finnes fra det øyeblikket enheten slås på til starten av lasting av operativsystemet (eller bedre , oppstartsbehandling).
De mest utnyttede utnyttelsene er vanligvis skrevet i Perl , C og PHP .
Utnyttelser distribueres ofte gjennom et nettverk av datamaskiner koblet til Internett, spesielt setter utnyttelsesdiffuseren inn koden i en server med det eneste formålet å distribuere utnyttelsen så raskt som mulig.
For å lette dette opprettes et nettverk av utnyttelsesdistributører som igjen tillater drive-by-nedlastinger ved å skjule handlingen med en webside som ser uskyldig ut.
Ofte blir denne skadelige programvaren så ubevisst injisert i hjemme-PCer, og dermed infisert, gjennom drive-by-nedlastinger av brukerne selv. [4]
Tidlig, når en bruker oppdager en sikkerhetsrisiko i et program, kan de rapportere det til programvareselskapet, som gir ut en oppdatering for å fikse denne feilen.
Noen ganger blir imidlertid hackere klar over feilen før slike rettelser blir tilgjengelige ved å lage en utnyttelse som utnytter den spesifikke sårbarheten; hvis nyhetene om eksistensen av en slik feil i programvaren ble spredt, ville leverandøren eliminere den ved å gi ut en patch eller en ny versjon av selve programvaren, utnyttelsen som utvikles ville derfor bli ubrukelig, dvs. forsøk på uautorisert fjerntilgang til enhetene forgjeves oppdatert.
Nettopp derfor avslører blackhat- hackere ofte ikke sårbarhetene som er funnet, men holder dem hemmelige for å lage nulldagsutnyttelser , såkalte fordi ved å utnytte en sårbarhet på kunngjøringsdagen, har programvareutvikleren null dager på seg til å reparere feilen. programmet og resultatet av skadelig programvare er garantert.
0-dager er blant de mest fryktede truslene på nettet, ettersom de bare er kjent for en liten krets av mennesker, kan forårsake mye skade før de blir oppdaget. [3]
Utnyttelser er ofte representert av kriminalitet, en relativt ny type skadelig programvare hvis primære formål er å presse penger eller sensitive data fra brukernes datamaskiner til fordel for en tredjepart.
På det mørke nettet er verdien av disse høy i risikoperioden, det vil si hva som går fra kunngjøringen av en sårbarhet til levering av en korreksjon fra produsenten.
Imidlertid fortsetter distribusjonen selv etter utgivelsesdatoen for oppdateringen, da de ikke alltid installeres raskt på alle datamaskiner.
Med en gjennomsnittlig risikotid på 56 dager er det lett å forutsi at noen datamaskiner vil forbli sårbare i måneder, om ikke år.
I løpet av de siste to årene har det vært en betydelig økning i antall nulldagers utnyttelser som brukes til å utføre Internett-angrep. Det spekuleres i at denne økningen kan skyldes det økende samarbeidet mellom angripere og IT-fagfolk, begge ivrige etter å utnytte disse sårbarhetene for profitt. [3]
Utnyttelser kan klassifiseres med en poengsum tildelt basert på CVSS , dette systemet lar deg rangere alvorlighetsgraden av en sårbarhet basert på et detaljert utvalg av indikatorer. [5]
Den vanligste metoden for å klassifisere utnyttelser er basert på metoden de bruker for å kommunisere med den sårbare målprogramvaren:
Den bruker et kommunikasjonsnettverk for å kontakte offersystemet.
Angrepet utføres ved hjelp av en annen datamaskin som tilhører samme lokalnettverk (LAN) som offerets datamaskin, eller via Internett-tilgang (GAN).
For å utføre utnyttelsen må du først ha tilgang til det sårbare systemet.
De kan også brukes eksternt hvis hackeren allerede har fått tilgang til den lokale maskinen ved hjelp av en ekstern utnyttelse.
Disse tillater utnyttelse av sårbarheter i applikasjoner som vanligvis er installert på arbeidsstasjoner. Typiske eksempler på slik programvare er kontorapplikasjoner (f.eks. Microsoft Office , OpenOffice ), PDF-lesere (f.eks. Adobe Acrobat Reader ), nettlesere (f.eks. Internet Explorer , Firefox , Chrome , Safari ), mediespillere (f.eks. Windows media Player , Winamp , iTunes ).
Utnyttelsen settes inn i en fil med en forståelig utvidelse av den sårbare applikasjonen, og når offerets datamaskin på forskjellige måter, for eksempel e-post eller pendrive .
Filen åpnes av programmet og hvis den ikke er identifisert som skadelig, derfor stoppet av en brannmur eller et antivirus , startes den ved å utnytte sikkerhetssårbarheten.
Det særegne ved denne typen angrep er:
Utnyttelser kan også klassifiseres i henhold til typen sårbarhet de utnytter:
bufferoverløp , heapoverflyt , formatstrengangrep , rasetilstand , dobbeltfri (), heltallsoverløp , SQL-injeksjon , skripting på tvers av nettsteder , forfalskning av forespørsel på tvers av nettsteder , ekstern filinkludering og lokal filinkludering .
Et utnyttelsessett er en programvarepakke designet for å kjøre på en webserver med sikte på å identifisere sårbarhetene til programmene som er installert i klientene som kommuniserer med den, for å kunne laste og kjøre ad hoc ondsinnet kode på offerets PC . [7] De mest kjente settene er:
Dette er i stand til å oppdage tilstedeværelsen av antivirus og virtuelle maskiner, den bruker også krypterte dropper-filer. Det er et sett som lar deg raskt generere nye zero-day sårbarheter med malware som starter direkte fra RAM, uten å måtte lagres på ofrenes harddisk.
Sett fra Russland som inkluderer utnyttelser skrevet på Java-språket
En av de mest fryktede truslene i 2012, den utnytter sårbarhetene til eldre nettleserversjoner som Firefox, Chrome, Internet Explorer og Safari og populære plugins som Adobe Flash, Adobe Acrobat og Java.
Etter å ha blitt lurt blir brukeren omdirigert til en ny side som lar settet laste på klienten alle utnyttelsene det er sårbart for.
Dette gjør at klienter kan bli målrettet med en rekke Java- og Adobe PDF-utnyttelser [8]
Brukere og organisasjoner som står i fare for angrep kan bruke midler for å oppdage skadelig programvare , lokale nettverk med brannmurer og VPN - er som lar deg beskytte de overførte dataene, sikre Wi-Fi- tilgangspunkter for å beskytte seg mot trådløse angrep. Det er også mulig å redusere risikoen ved å holde programvaren som brukes oppdatert og kun surfe på nettsider med et SSL (Security Socket Layer)-sertifikat, som muliggjør sikker utveksling av informasjon mellom brukeren og nettstedet som besøkes. [9]
Skadelig programvare er mange og varierte, men de fleste har lignende atferdsmatriser som gjør at antivirus, som må utføre analyse av kodens oppførsel, kan identifisere og blokkere dem. [8]