Un kit d'exploitation est un outil utilisé pour gérer et déployer automatiquement des exploits contre un ordinateur cible. Les kits d'exploitation permettent aux attaquants de diffuser des logiciels malveillants sans avoir une connaissance approfondie des exploits utilisés. Les exploits de navigateur sont généralement utilisés, bien qu'ils puissent également inclure des exploits ciblant des logiciels courants, tels qu'Adobe Reader , ou le système d'exploitation lui-même. La plupart des kits sont écrits en PHP .
Les kits d'exploitation sont souvent vendus sur le marché noir , à la fois sous forme de kits autonomes et en tant que service .
Histoire
Certains des premiers kits d'exploitation étaient WebAttacker et MPack , tous deux créés en 2006. Ils étaient vendus sur le marché noir, permettant aux attaquants d'utiliser des exploits sans connaissances avancées en sécurité informatique .
Le kit d'exploitation Blackhole a été publié en 2010 et pouvait être acheté directement ou loué contre paiement. Malwarebytes a déclaré que Blackhole était la principale méthode de diffusion de logiciels malveillants en 2012 et pendant une grande partie de 2013. Après l'arrestation des auteurs fin 2013, l'utilisation du kit a fortement diminué.
Neutrino a été détecté pour la première fois en 2012 et a été utilisé dans un certain nombre de campagnes de ransomware . Il exploitait les vulnérabilités d' Adobe Reader , de Java Runtime Environment et d'Adobe Flash . À la suite d'une opération conjointe entre Cisco Talos et GoDaddy pour perturber une campagne de malvertising Neutrino, les auteurs ont arrêté de vendre le kit, décidant de ne fournir une assistance et des mises à jour qu'aux clients précédents. Malgré cela, le développement du kit a continué et de nouveaux exploits ont été ajoutés. En avril 2017, l'activité de Neutrino a cessé. Le 15 juin 2017, F-Secure a tweeté « RIP Neutrino exploit kit. We'll miss you (not) » avec un graphique montrant le déclin complet des détections de Neutrino.
Depuis 2017, l'utilisation de kits d'exploitation a diminué. Plusieurs facteurs peuvent en être la cause, notamment l'arrestation de cybercriminels, les améliorations de la sécurité rendant l'exploitation plus difficile et le recours par les cybercriminels à d'autres méthodes de diffusion de logiciels malveillants, telles que les macros Microsoft Office et l'ingénierie sociale .
Il existe de nombreux systèmes qui permettent de se protéger contre les attaques des kits d'exploitation. Il s'agit notamment d'antivirus de passerelle , de prévention des intrusions et d'anti-logiciels espions. Les abonnés peuvent également bénéficier de ces systèmes de prévention en continu, ce qui les aide à mieux se défendre contre les attaques.
Aperçu
Processus d'exploitation
Le processus général d'exploitation par un kit d'exploitation est le suivant :
- La victime accède à un site Web infecté par un kit d'exploitation. Les liens vers des pages infectées peuvent être diffusés via le spam , la publicité malveillante ou en compromettant des sites légitimes.
- La victime est redirigée vers la page de destination du kit d’exploitation.
- Le kit d'exploitation détermine quelles vulnérabilités sont présentes et quel exploit déployer contre la cible.
- L'exploit est déployé. En cas de succès, une charge utile choisie par l'attaquant (c'est-à-dire un logiciel malveillant) peut alors être déployée sur la cible.
Caractéristiques
Les kits d'exploitation utilisent diverses techniques d'évasion pour éviter d'être détectés. Certaines de ces techniques incluent l'obscurcissement du code, et l'utilisation de l'empreinte digitale pour garantir que le contenu malveillant n'est transmis qu'aux cibles probables.
Les kits d'exploitation modernes incluent des fonctionnalités telles que des interfaces Web et des statistiques, permettant de suivre le nombre de visiteurs et de victimes.