Злоумышленники вкладывают немалые ресурсы в то, чтобы усложнить задачу по разработке защитного ПО.
Эксперты «Лаборатории Касперского» опубликовали отчет об исследовании набора эксплоитов BlackHole, в котором описали процесс инфицирования системы, а также основные механизмы защиты.
Интернет-мошенники нередко прибегают к использованию наборов эксплоитов, так как они, в отличие от обычных вирусов, для заражения системы используют не одну, а целый ряд брешей. Обычно наборы эксплоитов содержат стартовую страницу, которая используется для того, чтобы получить данные о компьютере, такие как версия операционной системы и браузера, наличие расширений, плагинов и пр. Если на системе обнаруживается уязвимая версия определенной программы или компонента, начинается выполнение эксплоита.
Злоумышленники вкладывают немалые ресурсы в то, чтобы усложнить задачу по разработке защитного ПО. Так, они шифруют свой программный код, при этом шифр периодически меняется, также в код добавляются мелкие, незначительные изменения, что мешает определению по сигнатурам.
Отдельный раздел изучения BlackHole в частности и наборов эксплоитов в целом специалисты ЛК отводят для компонента Java, в котором существует огромное количество уязвимостей. В исследовании приведено техническое описание эксплоитов к таким уязвимостям, как CVE-2012-5076 , CVE-2012-0507 и CVE-2013-0422 .
Антивирусная компания также приводит 5 этапов по борьбе с наборами эксплоитов: блокирование перехода на лендинг, детектирование файловым антивирусом, сигнатурное детектирование эксплоитов, проактивное детектирование эксплоитов, детектирование загруженных вредоносных программ (полезной нагрузки). Описание этих этапов показывает, какие защитные компоненты, как и в какой момент времени взаимодействуют с вредоносным кодом.
«Эксплоит-паки — это комплексная система проникновения на компьютер жертвы. Злоумышленники прикладывают много усилий, чтобы поддерживать эффективность эксплоит-паков и сбивать детекты. В свою очередь, антивирусные компании совершенствуют системы защиты. В настоящее время у антивирусных вендоров существует набор технологий, позволяющий блокировать drive-by атаки на всех этапах, в том числе на стадии вызова эксплойтов к уязвимостям», - говорится в заключении экспертов ЛК.
С исследованием сотрудников «Лаборатории Касперского» можно ознакомиться здесь.