¿Qué es un kit de explotación?
Los kits de explotación fueron desarrollados como una forma de explotar vulnerabilidades de forma automática y silenciosa en las máquinas de las víctimas mientras navegaban por la web. Debido a su naturaleza altamente automatizada, los kits de exploits se han convertido en uno de los métodos más populares de distribución masiva de malware o herramientas de acceso remoto (RAT) por parte de los grupos criminales, lo que reduce la barrera de entrada para los atacantes. Los kits de explotación también son eficaces a la hora de generar beneficios para los actores maliciosos. Los creadores de kits de exploits ofrecen estas campañas en alquiler en los mercados delictivos clandestinos en forma de kits de exploits como servicio, donde el precio de los principales kits puede alcanzar miles de dólares al mes.
Los atacantes utilizan kits de exploits con el objetivo final de establecer el control de un dispositivo de forma automatizada y simplificada. Dentro de un kit de explotación, deben producirse una serie de acontecimientos para que la infección tenga éxito. Empezando por una página de aterrizaje, hasta la ejecución de un exploit y la entrega de una carga útil, cada etapa debe completarse con éxito para que el atacante obtenga el control del host.
Vídeo relacionado
¿Por qué siguen teniendo éxito el phishing y otros ataques basados en web?
Página de aterrizaje
Los kits de explotación comienzan con un sitio web que ha sido comprometido. La página comprometida desviará discretamente el tráfico web a otra página de aterrizaje. Dentro de la página de aterrizaje hay un código que realizará un perfil del dispositivo de la víctima en busca de cualquier aplicación vulnerable basada en navegador. Si el dispositivo está totalmente parcheado y actualizado, el tráfico del kit de explotación cesará. Si existe alguna vulnerabilidad, el sitio web comprometido desvía discretamente el tráfico de red hacia el exploit.
Explote
El exploit utiliza una aplicación vulnerable para ejecutar secretamente malware en un host. Las aplicaciones objetivo incluyen Adobe® Flash® Player; Java® Runtime Environment; Microsoft® Silverlight®, cuyo exploit es un archivo; y el navegador web, cuyo exploit se envía como código dentro del tráfico web.
Carga útil
Si un exploit tiene éxito, el kit de explotación envía una carga útil para infectar el host. La carga útil puede ser un descargador de archivos que recupera otro malware o el propio malware previsto. Con kits de exploits más sofisticados, la carga útil se envía como un binario cifrado a través de la red que, una vez en el host de la víctima, se descifra y ejecuta. Aunque la carga útil más común es el ransomware, existen muchas otras, como el malware de botnet, los ladrones de información y los troyanos bancarios.
Un ejemplo reciente de ello es la utilización del kit de exploits Neutrino para distribuir el ransomware Locky en la campaña Afraidgate. Las páginas del sitio comprometido contienen un script inyectado que redirige a los visitantes al dominio Afraidgate. Una vez conectado a la URL comprometida, el servidor devuelve más JavaScript con un iframe, que conduce a una página de aterrizaje del kit de exploits Neutrino. Si el aprovechamiento de la vulnerabilidad con JavaScript tiene éxito, se entregará la carga útil del ransomware Locky y el sistema anfitrión bloqueará al usuario y cederá el control al atacante.
Dado que los kits de exploits se están convirtiendo en la herramienta a la que recurren los atacantes con distintos conjuntos de habilidades y objetivos, es imperativo que sus sistemas sean capaces de protegerse contra estos ataques. Esto puede lograrse reduciendo la superficie de ataque, bloqueando el malware y los exploits conocidos e identificando y deteniendo rápidamente las nuevas amenazas. La plataforma de nueva generación de Palo Alto Networks bloquea de forma proactiva las amenazas conocidas a la vez que utiliza técnicas de análisis estático y dinámico para identificar amenazas desconocidas. Todos los archivos, correos electrónicos y enlaces desconocidos se analizan en un entorno sandbox escalable para determinar si son maliciosos o benignos. Si se determina que un archivo es malicioso, las protecciones se crean automáticamente y se distribuyen a través de todas las tecnologías de la plataforma para una protección total, evitando que los kits de exploits sigan avanzando a lo largo de su ciclo de vida.
