Blog

Qu'est-ce qu'un kit d'exploitation (avec exemples) et comment les cybercriminels l'utilisent-ils ?

Les kits d'exploit (ou packs d'exploit) sont des programmes automatisés utilisés par des attaquants pour exploiter des vulnérabilités connues dans des systèmes ou des applications. Ils peuvent être utilisé pour lancer secrètement des attaques pendant que les victimes naviguent sur le Web, dans le but de télécharger et d'exécuter un certain type de logiciel malveillant.

Étant donné que les kits d’exploitation fonctionnent en arrière-plan, il peut être difficile de savoir quand vous êtes attaqué. Il existe cependant des mesures qui peuvent vous aider à vous protéger contre ces attaques, comme éviter les liens inconnus et maintenir les logiciels à jour.

Dans cet article, nous expliquons davantage ce que sont les kits d'exploitation, comment ils fonctionnent et comment les cybercriminels les utilisent. Nous fournirons également des conseils pour prévenir les attaques et la charge utile des logiciels malveillants qui en résultent.

Qu'est-ce qu'un kit d'exploit

Un kit d'exploit est un package utilisé par les cybercriminels pour diffuser des logiciels malveillants. Nous entrerons ci-dessous dans les détails de la manière dont une attaque est exécutée, mais l’essentiel est qu’une victime visite un site Web compromis et que si elle présente certaines vulnérabilités dans le logiciel de son ordinateur, l’exploit peut être réalisé. En conséquence, un malware est téléchargé et exécuté sur l’appareil de la victime.

Une vulnérabilité logicielle est une erreur ou un bug dans le code qui permet à un attaquant de s'introduire dans l'application d'une manière ou d'une autre, par exemple, dans le cas d'un exploit, en exécutant une tâche non autorisée. Les vulnérabilités connues sont nommées dans une liste de référence de Vulnérabilités et expositions courantes (CVE) . Par exemple, CVE-2018-8174 est une vulnérabilité hautement exploitée d'Internet Explorer.

Les cibles courantes des exploits sont les logiciels populaires présentant de nombreuses vulnérabilités connues, tels qu'Adobe Flash, Oracle Java et Internet Explorer. Plus l’application est populaire, plus l’attaquant a de chances d’attirer une victime appropriée.

C’est également là que les kits d’exploitation s’avèrent particulièrement utiles pour leurs utilisateurs. Les kits d’exploit ciblent plusieurs vulnérabilités en même temps et comprennent tout ce dont le criminel a besoin pour mener à bien l'attaque. Si un exploit ne convient pas, un autre pourrait l’être, augmentant ainsi les chances du cybercriminel de réussir une attaque.

Le fait que ces éléments soient présentés sous forme de kits prédéfinis les rend également faciles à mettre en œuvre et plus attrayants pour les criminels ayant peu de connaissances techniques.

Comment un kit d'exploitation est implémenté

Plusieurs étapes sont nécessaires pour qu'un exploit réussisse :

Établissez le contact avec l’environnement hôte via une page de destination.
Redirigez vers une page de destination alternative et détectez les vulnérabilités de l’hôte qui peuvent être exploitées.
Réalisez l’exploit pour propager des logiciels malveillants.
Infectez l’environnement hôte en exécutant le malware.

Le kit d'exploit contient tout le code nécessaire pour réaliser chaque étape. Si une étape échoue, cela signale la fin de l’attaque sur cet appareil particulier. Ici, nous examinerons ces étapes plus en détail et examinerons les critères qui doivent être remplis à chacune d’entre elles.

1. Établir le contact

La première étape de l'exploit utilise une page de destination d'un site Web qui a été compromis. Les victimes sont encouragées à visiter ce site, par exemple via un lien email, une popup ou une publicité malveillante (publicité malveillante).

Une fois la la victime clique sur le lien vers le site ou saisit l'URL dans son navigateur , le premier contact a été établi.

À ce stade, certains utilisateurs peuvent ne pas répondre à certains critères, comme ceux qui se trouvent au mauvais emplacement (souvent déterminé en fonction de l'adresse IP ou des contrôles de langue d'installation). Ces utilisateurs sont filtrés et pour eux, l’attaque est terminée.

2. Redirection

Les victimes restantes sont redirigées vers une page de destination alternative qui n’est plus le véritable site Web. Le code intégré dans cette page de destination détermine ensuite si l'appareil de la victime dispose d'applications de navigateur vulnérables correspondant aux exploits du kit.

Si aucune vulnérabilité n’est détectée (c’est-à-dire que tout est à jour et que toutes les failles sont corrigées), alors l’attaque s’arrête. Mais si une vulnérabilité est trouvée , le site Web enverra du trafic vers l'exploit.

3. Exploiter

La raison pour laquelle une vulnérabilité est requise est que le kit d’exploitation doit exécuter un logiciel malveillant sur l’environnement hôte (l’appareil de la victime). L’application jugée vulnérable est utilisée pour télécharger le malware.

La manière dont l'explot est effectué dépend de l'application . Par exemple, si les navigateurs Web eux-mêmes sont la cible, l’exploit prendra la forme d’un code intégré à la page Web. Un autre exemple est l'application Microsoft Silverlight couramment ciblée, pour laquelle l'exploit est un fichier.

Le terme « kit d'exploit » signifie qu'il existe plusieurs exploits regroupés dans un seul package. Il ciblera de multiples vulnérabilités, facilitant ainsi l’exécution et augmentant les chances de succès du criminel.

4. Infecter

Après une exploitation réussie, le malware est exécuté dans l’environnement de la victime . En ce qui concerne l’effet du malware, il existe de nombreux scénarios différents. Les kits d'exploitation peuvent être utilisés pour propager différents types de logiciels malveillants, notamment des ransomwares et des chevaux de Troie comme chevaux de Troie d'accès à distance .

Une utilisation courante des kits d’exploitation consiste à exécuter un logiciel d’extraction de crypto-monnaie. Cela détourne les ressources informatiques de la victime pour les utiliser dans l’extraction de bitcoins et d’autres crypto-monnaies, sans l’autorisation de l’utilisateur.

Exemples de kits d'exploitation

En raison des correctifs de sécurité apportés par les développeurs de logiciels, chaque exploit aura une durée de vie limitée. Cependant, les développeurs de kits proposent leurs propres mises à jour afin que les nouvelles versions d'un kit donné exploitent de nouvelles vulnérabilités. En tant que tel, certains kits existent depuis un certain temps.

Les kits d'exploitation Adobe Flash étaient extrêmement populaires dans le passé, avec la suppression progressive du logiciel aurait provoqué une forte baisse dans le développement de kits d'exploitation. Des études plus récentes voir un changement vers les exploits des produits Microsoft. Cela étant dit, un kit peut cibler plusieurs applications à la fois. Il peut également être utilisé pour propager plusieurs types de logiciels malveillants.

Voici quelques exemples de kits d’exploitation :

PLATE-FORME

Parmi les kits d'exploitation les plus populaires en 2018, RIG utilise diverses méthodes de distribution et charges utiles qui en résultent. Il a été utilisé pour propager des mineurs de pièces de monnaie, des chevaux de Troie bancaires, des ransomwares, etc.

Graphique de tendance Mirco. — Ce graphique issu d'un rapport Trend Micro de 2018 montre le niveau d'activité de certains kits d'exploitation courants au cours du premier semestre 2018.

GrandSoft

Bien que ce kit soit reconnu comme un kit plus ancien, il a refait surface en 2018. GrandSoft est connu pour distribuer des ransomwares (en particulier GrandCrab), des chevaux de Troie (AZORult et QuantLoader en particulier) et des mineurs.

Ordre de grandeur

Magnitude cible certains pays asiatiques et fournit une charge utile spécifique. Il existe depuis longtemps, mais sa forme a changé. Il incluait autrefois des exploits pour Flash Player, mais a été adapté pour attaquer uniquement les vulnérabilités d'Internet Explorer. Le La version Magnitude EK cible la Corée du Sud (en vérifiant l'adresse IP et la langue, entre autres) et délivre un ransomware spécial appelé Magniber.

Nucléaire

Bien qu’il n’ait pas fait la une des journaux depuis un certain temps, le kit d’exploit nucléaire était autrefois une source de revenus importante pour ses créateurs. Un rapport de entreprise de sécurité Checkpoint a découvert que le kit avait été développé par quelqu'un en Russie et que l'équipe derrière ce kit gagnait environ 100 000 $ par mois avec ce kit à l'époque.

Le nucléaire était plutôt un « exploit-as-a-service » où les criminels louaient le kit. Ils voudraient utiliser un panneau de contrôle dans lequel ils pourraient télécharger des logiciels malveillants et suivez leurs résultats.

Pourquoi les kits d’exploitation réussissent-ils ?

Étant donné que les attaquants utilisent des vulnérabilités connues, vous vous demandez peut-être comment ces faiblesses restent exposées, permettant ainsi aux attaques de réussir.

UN Rapport Trend Micro 2018 [PDF] met en lumière l’une des principales raisons :

« L’assaut continu des vulnérabilités nouvellement découvertes ne fait que rendre encore plus difficile le rattrapage des entreprises. Souvent, en raison du volume de vulnérabilités et de la priorité concurrente consistant à maintenir le réseau disponible, ils doivent faire des compromis pratiques en accordant de l'importance à certaines vulnérabilités et en laissant les correctifs ouverts pour d'autres vulnérabilités à une date ultérieure.

En fait, il y a simplement trop de choses à réparer d'un seul coup . Même si les vulnérabilités ont été corrigées et que des sociétés comme Microsoft et Adobe ont publié des mises à jour, les entreprises ne peuvent pas toujours mettre à jour leurs systèmes immédiatement.

Ils doivent prioriser les mises à jour qui doivent être effectuées en premier et espérer prendre les bonnes décisions, tandis que les cybercriminels attendent de profiter de chaque faiblesse. De même, pour les particuliers, si quelqu’un retarde une mise à jour ou la manque pour une raison quelconque, les chances de réussite d’un kit d’exploitation sont bien plus grandes.

Quelques autres facteurs contribuent au succès des kits d'exploitation, l'un étant que le premier contact est facilement établi, par exemple, par quelqu'un cliquant sur une publicité malveillante ou sur un lien dans un e-mail. Et deuxièmement, une fois le premier contact établi, il est difficile de dire qu’il se passe quelque chose de fâcheux.

Comment se protéger contre les kits d'exploitation

Parce qu’il est très difficile de savoir quand les kits d’exploitation fonctionnent et qu’ils sont si variés, il est préférable de les éviter en premier lieu. Voici quelques astuces pour aider:

Gardez le logiciel à jour. L’une des raisons les plus importantes pour lesquelles les logiciels sont régulièrement mis à jour est la correction des failles de sécurité.
Ne cliquez pas sur les liens spammés. Comme toujours, vous devez éviter d’ouvrir les e-mails de personnes que vous ne connaissez pas et surtout ne pas cliquer sur des liens suspects.
Évitez les publicités et les popups. Lorsqu'il s'agit de popups et de publicités, il peut être difficile d'éviter de cliquer, car beaucoup d'entre elles sont conçues pour vous inciter à le faire (par exemple, le bouton « fermer » est difficile à localiser ou la publicité se déplace). Un un bloqueur de publicité peut être utile , car cela empêchera en premier lieu l'apparition de publicités et de popups.
Utilisez un antivirus. Un antivirus n’est en aucun cas infaillible, mais il peut détecter et supprimer de nombreuses menaces connues, notamment les virus et autres types de logiciels malveillants qui s’infiltrent sur votre appareil.

Crédit image : « Mur de fissure » de Michael Krause sous licence CC BY 2.0

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.