Cosa sono gli exploit e perché fanno così paura?

31 Lug 2015

Gli esperti descrivono gli exploit come uno dei problemi più preoccupanti nel campo della sicurezza informatica, anche se spesso non sappiamo di cosa stiano parlando realmente e perché siano così da temere. Diamo qualche chiarimento.

ExploitCos’è un exploit?

Gli exploit sono un sottoinsieme dei malware. Questi programmi dannosi contengono dati o codici eseguibili in grado di sfruttare una o più vulnerabilità di un software presente su computer locale o in remoto.

In soldoni

Immaginate che il vostro browser contenga una vulnerabilità che consente di avviare un “codice arbitrario” (ovvero di installare e far partire un programma dannoso) sul sistema a vostra insaputa. Spesso il primo passo dei cybercriminali è quello di ottenere sempre più autorizzazioni sul sistema per poterne prendere il controllo.

I browser, assieme a Flash, Java e Microsoft Office costituiscono le categorie più colpite poiché si tratta di programmi utilizzati praticamente da chiunque. Vengono analizzati al dettaglio tanto da esperti di sicurezza quanto da hacker e gli sviluppatori pubblicano regolarmente patch per risolvere le vulnerabilità riscontrate. L’ideale sarebbe applicare le patch tutte insieme, ma purtroppo non succede sempre così. Ad esempio, per l’aggiornamento è necessario chiudere tutte le schede del browser o tutti i documenti, il che potrebbe comportare un fastidio.

Un altro problema sono gli exploit di vulnerabilità ancora sconosciute, che sono state sì scoperte e utilizzate dai cybercriminali, le cosiddette vulnerabilità zero-day (o 0 day). A volte passa del tempo prima che i vendor si accorgano del problema e inizino a lavorarci per risolverlo.

Metodi d’infezione

I cybercriminali spesso prediligono gli exploit rispetto ad altri metodi d’infezione come l’ingegneria sociale (che possono fallire) in quanto portano praticamente a risultati sicuri.

In due casi gli utenti possono essere ingannati dagli exploit. Innanzitutto, quando visitano un sito Internet che contiene un codice exploit dannoso. Oppure quando aprono un file apparentemente legittimo che nasconde al suo interno un codice dannoso. Come si può facilmente immaginare, sono soprattutto le mail di spam o di phishing a contenere gli exploit.

Come leggiamo su Securelist, gli exploit vengono progettati per colpire versioni specifiche del software che contiene vulnerabilità. Se l’utente è in possesso della versione in questione del software e apre l’oggetto dannoso (oppure se un sito Internet utilizza il suddetto software), allora l’exploit può partire all’attacco.

Dopo essere entrato nel sistema attraverso la vulnerabilità, l’exploit carica altri malware dal server dei cybercriminali in grado di eseguire molteplici operazioni, come furto di dati personali, uso del computer in una botnet per diffondere spam o effettuare attacchi DDoS o qualsiasi altra azione illegale indicata dai cybercriminali.

Gli exploit costituiscono una minaccia anche per gli utenti più diligenti che si preoccupano di aggiornare sempre i software. Il fatto è che esiste un gap di tempo tra la scoperta della vulnerabilità e la pubblicazione della patch. Durante questo intervallo di tempi, gli exploit agiscono impunemente e minacciano la sicurezza di quasi tutti gli utenti di Internet (tranne coloro che hanno installato tool automatici in grado di prevenire gli attacchi exploit).

E non dimentichiamo ciò che abbiamo detto pocanzi circa la sindrome delle schede aperte: il prezzo da pagare per l’aggiornamento è la chiusura di tutte le attività del momento e molti utenti non sono disposti a pagare questo prezzo quando la patch è disponibile.

Pack di exploit

Gli exploit spesso vengono in un “pack” unico, in questo modo il sistema vittima viene analizzato alla ricerca di un ampio spettro di vulnerabilità. Quando se ne individua una o più di una, entra in azione l’exploit corrispondente. Gli exploit kit utilizzano dei sistemi per nascondere la natura dei loro codici, oppure criptano i percorsi URL per evitare che i ricercatori possano studiarli.

Gli exploit kit più famosi sono:

Angler

Si tratta di uno dei kit più sofisticati nel mercato sotterraneo. Ha cambiato la storia degli exploit kit in quanto riesce a individuare la presenza di antivirus e macchine virtuali (spesso utilizzate dai ricercatori come esca) e perché utilizza file dropper criptati. È uno dei kit in grado di introdurre velocemente nuove vulnerabilità zero-day e i suoi malware si avviano direttamente dalla memoria, senza dover essere riscritti sull’hard disk delle vittime. In questo link troverete la descrizione tecnica del pack.

Nuclear Pack

Colpisce le vittime con exploit Java e Adobe PDF, così come attraverso il famoso Trojan bancario Caphaw. Su questo link maggiori dettagli.

Neutrino

Questo kit russo che contiene alcuni exploit Java è apparso su tutti i giornali lo scorso anno poiché il suo proprietario lo ha messo in vendita a un prezzo davvero basso, 34 mila dollari. Probabilmente tale ribasso è dipeso dall’arresto di Paunch, creatore dell’exploit kit di cui vi parleremo qui di seguito.

Blackhole Kit

La minaccia più pericolosa del 2012, colpisce le vulnerabilità presenti nelle vecchie versioni di browser come Firefox, Chrome, Internet Explorer e Safari, così come popolari plugin tipo Adobe Flash, Adobe Acrobat e Java. Dopo aver ingannato o reindirizzato l’utente a una landing page, il kit determina ciò che è presente nel computer della vittima e carica tutti gli exploit per il quale il computer è vulnerabile.

Blackhole, a differenza di altri kit, ha una voce tutta sua su Wikipedia anche se, dopo l’arresto di Paunch, il kit è praticamente scomparso dalla piazza.

Conclusioni

Gli exploit non vengono sempre individuati dai software di sicurezza, che devono effettuare analisi del comportamento (l’unico metodo per combattere gli exploit). I malware sono tanti e diversi, ma la maggior parte ha delle matrici comportamentali simili.

Kaspersky Internet Security, e altri prodotti Kaspersky Lab, adottano la tecnologia “Prevenzione Automatica degli Exploit”, che utilizza tutte le informazioni circa i comportamenti abituali degli exploit più conosciuti. Tali comportamenti abituali dei malware aiutano a prevenire le infezioni anche in caso di exploit che sfruttano vulnerabilità zero day sconosciute.

Per maggiori informazioni sulla tecnologia Prevenzione automatica degli Exploit potete cliccare qui.