Exploit Kit: cosa sono e a cosa servono

17 gennaio 2016

In parole semplici un exploit kit non è altro che una collezione di software in grado di realizzare attacchi informatici di tipo web-based, spesso utilizzati (purtroppo) con l’obiettivo di distribuire malware o altre componenti malevole.

A partire dal 2006 si sono sviluppati in modo significativo e sono diventati fruibili da tutti, anche grazie alla costante espansione del deep web e dei mercati informatici underground.

Il principale scenario di attacco

Una delle caratteristiche principali degli exploit kit è quella di poter essere utilizzati da chiunque, anche da persone non necessariamente specializzate in ambito IT. Solitamente, questi software vengono resi disponibili insieme ad una interfaccia di gestione e ad un insieme di vulnerabilità attaccabili, nonché ad una serie di funzioni che rendono l’attacco informatico semplice ed efficace nella maggior parte dei casi.

L’efficacia di un exploit kit è garantita da una serie di routine software automatizzate, che permettono ad un attaccante di eseguire azioni in modo rapido e mirato. Solitamente, il ciclo di un attacco inizia con un primo contatto con la “vittima” mediante link malevoli che ridirezionano ad un server compromesso. Tecniche di phishing si uniscono a quelle di malvertising e spamming al fine di agganciare un numero sempre maggiore di obiettivi.

A questo punto, i server compromessi, una volta contattati, possono iniettare malware direttamente o ridirezionare il traffico utente verso altre destinazioni in grado di studiarne il comportamento, comprenderne le vulnerabilità e infine eseguire l’exploit.

I primi exploit kit

La storia degli exploit kit, almeno di quelli che sono stati studiati e sono stati considerati rilevanti, inizia nel 2006 con le attività del WebAttacker kit, individuato all’interno del mercato nero russo e venduto all’epoca a 20 dollari. Questo software era in grado di diffondere i link mediante spam e compromettere numerose vulnerabilità di Windows, Mozilla Firefox e Java, distribuendo malware di varia natura.

Al precedente ha fatto seguito Mpack, anch’esso di matrice russa, che iniziò ad essere venduto ad un prezzo che si avvicinava ai 1000 dollari grazie alla presenza di un pannello di controllo maggiormente sviluppato e in grado di fornire statistiche circa le vittime e la loro locazione.

Da quel momento vennero sviluppati centinaia di exploit kit, tra cui citiamo NeoSploit, Phoenix, Tornado, Armitage, Fiesta, AdPack, FirePack e Blackhole Exploit Kit, ma anche Nuclear, SweetOrange, Styx, FlashPack, Neutrino, Magnitude, Angler e Rig.

Dietro ad ognuno di questi nomi ci sono una serie di funzionalità, di attacchi e di storie di varia natura, tra cui l’arresto dell’autore del Blackhole Exploit Kit, Paunch, nell’ottobre del 2013, o i numerosi episodi di imbarazzo da parte delle aziende informatiche di tutto il mondo che hanno dovuto fronteggiare e risolvere una serie infinita di attacchi sui propri prodotti. È il caso, ad esempio, di Internet Explorer, Microsoft Silverlight, Adobe Flash Player, Adobe Reader, Java, e Active X che nel tempo hanno necessariamente rilasciato una innumerevole quantità di patch.

Nel seguito dell’articolo andremo ad analizzare uno tra i più diffusi exploit kit, ovvero Angler. Poichè chiunque può essere oggetto di un attacco infarmatico, conoscere il comportamento e il funzionamento di un exploit kit può aiutarci a difendere le nostre risorse informatiche. Ci dissociamo invece da ogni utilizzo o uso improprio, soprattutto nei confronti di terzi, che potrebbe determinare un comportamento illegale e perseguibile secondo la normativa vigente.

Angler

Angler è uno degli exploit kit più noti ed utilizzati. Si stima che nel 2015 il 40% delle attività di attacco mediante exploit kit sia stato realizzato proprio con Angler. A partire dal 2013, data di primo avvistamento, Angler si è evoluto divenendo sempre più semplice da utilizzare e sempre più efficace.

Come la maggior parte degli exploit kit, Angler ha come obiettivo quello di eseguire una scansione del sistema alla ricerca di vulnerabilità, attaccarle ed eseguire codice malevolo. Ad essere inizialmente colpiti sono i browser web, che possono interagire direttamente con i server web compromessi, e tutti i software richiamabili direttamente da essi (come i predetti Adobe Reader, Java Runtime Environment, Adobe Flash Player, etc.).

Attualmente, Angler è configurabile per poter eseguire codice malevolo, ma anche per rubare dati personali, nonché collegare il computer della vittima ad una botnet (a sua volta utilizzati per attacchi distribuiti di varia natura).

Angler, inoltre, ha una notevole capacità di lavorare senza essere individuato dai sistemi di protezione, ad esempio variando in modo molto rapido gli indirizzi IP di riferimento al fine di bypassare i controlli circa la reputazione e la qualità degli IP stessi.

Infine, l’assenza di file scaricati e payload cifrati non consente ai sistemi antivirus di rilevare facilmente la presenza dell’exploit kit, rendendo le operazioni di protezione sempre più complesse.

Per queste ragioni, Angler è il principale strumento anche per la diffusione di ransomware, fastidiosi (e spesso molto dannosi) prodotti dei cyber-criminali che sono soliti cifrare in tutto o in parte i supporti di memorizzazione degli attaccati, chiedendo successivamente un riscatto per decifrarli.

Su questo aspetto è importante ricordare che le diffusioni di ransomware mediante exploit kit, anche se sempre maggiori negli USA, sono distribuite in ogni nazione, come rilevato recentemente anche dal nostro CERT nazionale in un comunicato pubblico, proprio in relazione ad Angler.

Ora che sono noti i meccanismi di base e le potenzialità di un exploit kit non dovrebbe essere difficile capire i motivi di una così grande diffusione di Angler e in generale degli exploit kit nel mercato del cyber-crime, così come anche il giro d’affari generato dal relativo utilizzo.

Ci si attende un percorso virtuoso in cui i produttori di software possano ridurre il numero di possibili vulnerabilità, i sistemi anti-intrusione riescano a mitigare il rischio di infezione e la consapevolezza degli utenti di internet cresca, innalzando una ulteriore barriera di sicurezza. Tuttavia, fino a quel momento, dovremmo rassegnarci alla necesdità di affrontare giornalmente attacchi da exploit kit.

Se vuoi aggiornamenti su Exploit Kit: cosa sono e a cosa servono inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su Exploit Kit: cosa sono e a cosa servono

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy