Especialistas em segurança frequentemente consideram os exploits um dos problemas mais sérios com dados e sistemas. A diferença entre os exploits e os malwares em geral não é muito evidente.
O que é um exploit?
Exploits são um subconjunto de malware. Normalmente, são programas maliciosos com dados ou códigos executáveis capazes de aproveitar as vulnerabilidades de sistemas em um computador local ou remoto.
De forma simples: Você tem um browser e existe uma vulnerabilidade que permite um “código arbitrário” ser executado – por exemplo, baixar e instalar um programa malicioso – em seu sistema sem seu conhecimento. Na maioria das vezes, o primeiro passo para os hackers está nesta tentativa de permissão de acesso.
Grupo de hackers realiza ataques avançados no Brasil desde 2005 | https://t.co/WjBjTX0rXy #Poseidon #TheSAS2016 pic.twitter.com/ZKZEuaj6yh
— Kaspersky Brasil (@Kasperskybrasil) February 11, 2016
Browsers que utilizam Flash, Java e Microsoft Office estão entre as categorias de software mais visadas. O desafio de ser onipresente é constantemente alvo de aperfeiçoamento entre hackers e especialistas de segurança. Os desenvolvedores precisam atualizar com regularidade os sistemas para corrigir vulnerabilidades. O ideal é que assim que detectadas, as brechas de segurança devem ser corrigidas, mas infelizmente não é isso que acontece. De qualquer forma, quando for atualizar seu sistema, feche todas as abas do navegador e documentos.
As principais falhas de segurança de 2015 | https://t.co/bLgJ0EGlpN pic.twitter.com/HmYqRTbLDi
— Kaspersky Brasil (@Kasperskybrasil) January 12, 2016
Outro problema relacionado aos exploits é que muitas vulnerabilidades ainda são desconhecidas pelos desenvolvedores, mas quando descobertas por blackhats são usadas abusivamente, conhecidas como 0days. Pode levar tempo para elas serem descobertas e o trabalho de correção começar.
Caminhos de infecção
Cibercriminosos preferem o uso de exploits como método de infecção em vez de engenharia social (que pode funcionar ou não). O uso de vulnerabilidades continua a produzir resultados.
Há duas maneiras de os usuários “ativarem” os exploits. Primeiro, ao visitar um site inseguro com um código malicioso. Em segundo, abrindo um arquivo aparentemente legítimo que possui um código oculto. Como se pode imaginar, as técnicas mais usadas para dispersão de exploits são os spams e emails de phishing.
10 dicas para se proteger do #phishing | https://t.co/xNYCMqptK5 pic.twitter.com/DWr203fg2q
— Kaspersky Brasil (@Kasperskybrasil) December 4, 2015
Como observado no SecureList, exploits são projetados para atacar versões específicas do software que contêm vulnerabilidades. Se o usuário tiver a versão do software certa para abrir a ameaça, ou se um site está operando esse software para funcionar, o exploit é acionado.
Uma vez que ele ganha acesso por meio da vulnerabilidade, o exploit carrega um malware adicional que realiza atividades maliciosas, como roubar dados pessoais, usando o computador como parte de uma botnet para distribuir spam ou realizar ataques DDoS, ou o qualquer coisa que os hackers queiram fazer.
Exploits representam uma ameaça mesmo para os usuários conscientes e diligentes que mantem seu software atualizado. A razão é a lacuna de tempo entre a descoberta da vulnerabilidade e a liberação da atualização para corrigi-la. Durante esse tempo, os exploits são capazes de funcionar livremente e ameaçar a segurança de quase todos os usuários da Internet – a menos que alguma ferramenta para evitar ataques esteja instalada.
E não se esqueça de fechar as janelas e abas abertas ao realizar atualizações.
Pacotes de exploits
Exploits são muitas vezes agrupados em pacotes. Quando um sistema é atacado, uma variedade de vulnerabilidades são testadas -se uma ou mais são detectadas, os exploits adequados invadem o sistema. Estes pacotes de exploits também tentam com frequencia ofuscar o código para evitar detecção e encriptam suas URLs com intuito de prevenir que pesquisadores os analisem.
Conclusão
Exploits nem sempre são detectáveis por software de segurança. Para detectá-los com sucesso, sua proteção deve empregar a análise do comportamento – única maneira garantida de vencer os Exploits. Os programas de malware podem ser abundantes e variados, mas a maioria deles tem padrões de comportamento similares.
O Kaspersky Internet Security, bem como outros produtos da Kaspersky Lab, empregam uma tecnologia chamada Automatic Exploit Prevention que usa as informações sobre o comportamento mais típico dos Exploits conhecido. O comportamento característico de tais programas maliciosos ajuda a prevenir a infecção, mesmo no caso de uma vulnerabilidade zero-day anteriormente desconhecida.