Компания Recorded Future проанализировала более 100 наборов эксплоитов (exploit kits, ЕК), изучив уязвимости, на которые направлены эти EK. Как оказалось, Adobe Flash Player является программным продуктом, который взламывается чаще всего. Уязвимостей во Flash довольно много, и злоумышленники достаточно часто используют эти уязвимости в своих целях.
С 1 января 2015 года по 30 сентября 2015 года Adobe Flash Player содержит 8 из 10 наиболее известных уязвимостей, эксплуатируемых злоумышленниками. Остальные уязвимости относятся к Microsoft Internet Explorer 10 и 11 (CVE-2015-2419) плюс другие продукты Microsoft, включачя Silverlight (CVE-2015-1671).
Наборы эксплойтов представляют из себя пакет эксплойтов сразу под несколько программ (версий) и/или под разные уязвимости в них. В последних версиях связок производится выбор эксплойта именно под конкретную программу пользователя. В большинстве случаев эксплойт-киты используются при атаках типа client-side, когда вредоносный код попадает к жертве через браузер, и в дальнейшем происходит его выполнение. Основной набор эксплойтов в связках нацелен именно на уязвимости в браузерах, Java, Flash, и PDF.
Часто наборы используются в качестве сервиса, когда клиент предоставляет ПО, которое нужно загрузить на ПК или сервер жертвы, а владелец «сервиса» старается установить это ПО на максимальное количество машин. При этом клиент платит за каждую удачную установку.
На компьютеры пользователей ПО попадает разными путями, включая скомпрометированные веб-страницы. Понимание того, какие уязвимости эксплуатируюстя злоумышленниками помогает лучше защититься от взлома.
Angler Exploit Kit
Angler — один из наиболее популярных и известных эксплоит-китов, с его помощью осуществлялись наиболее успешные кампании по распространению криптовымогателей. Впервые он появился в 2013 году, и быстро стал популярным благодаря своей возможности оставаться незамеченным подавляющим числом антивирусных продуктов. Angler помогает распространять такое ПО, как Cryptowall, AlphaCrypt, Necurs, и Bedep.
В октябре компания Cisco обнаружила большое количество прокси-серверов, относящихся к Angler. Сеть, которую обнаружили специалисты Cisco, отвечала за 50% активности эксплоит кита. Инфраструктура заражала около 90 тысяч систем в день, и приносила своим создателям около $30 млн в год.
Методология
Компания Recorded Future проанализировала тысячи источников по всей Сети, вклюая .onion сайты, форумы взломщиков и социальные медиа. Кроме Angler, изучалась и работа таких популярных эксплоит-сервисов, как Neutrino, Nuclear Pack.
Компания не выполняла реверс-инжиниринг упоминаемого ПО, вместо этого изучалась доступная информация с блогов по информационной бзопасности, сообщения на блогах и тп.
Результаты
Используя указанные методы, компании удалось определить наиболее популярные среди злоумышленников уязвимости. Как и указывалось выше, большинство относится к Adobe Flash Player.
Самая распространенная уязвимость CVE 2015-0313 – использует Flash Player 16.0.0.296, она идентифицирована Adobe как критичная, и была исправлена в феврале 2015. Эта уязвимость содержится в базе Hanjuan, Angler и Fiesta EKs.
Еще несколько уязвимостей (CVE-2015-5119, CVE-2015-5122) были незамедлительно добавлены авторами EK сразу после того, как об этих проблемах стало известно «благодаря» утечке July 2015 Hacking Team.
Последствия
Поскольку пакет Adobe Flash Player является мультиплатформенным, плюс ко всему в нем достаточно много уязвимостей, среди взломщиков он очень популярен. Фактически, в Adobe Flash Player так много «дыр», что вряд ли этот продукт можно называть безопасной операционной средой.
Версии Flash старше 19.0.0.226 нельзя запускать на Apple OS X.
Понятно, что каждая организация и пользователь должны сами решать, использовать Flash в свой работе или нет. Но одно можно сказать с уверенностью — если уж пакет используется в работе, его нужно вовремя обновлять. Плюс ко всему, стоит использовать “Click to Play”, что помогает проверить работу Flash в незнакомом окружении.
TheRabbitFlash
Чаще всего взламывают не Flash, а самые популярные технологии. Если самым популярным будет кирпич — взламывать начнут его. Летом был спад популярности Flash — начали активно ломать Android. Но если во флеш пофиксили известные баги — то в Android это уже никогда не случится. Производители просто не выпускают микропатчи для Android. Конечно, можно сказать, что в 5.0 уже нет бага, который был в 4.4.2… Но проблема в том, что купив телефон с 4.4.2 пользователь уже не получит туда 5.0, пока производитель не соблаговолит выпустить прошивку. На столе лежит Lenovo S850 — типичный пример. Хочешь 5.0 — покупай девайс новый. А этот, которому год — будь добр, носи с дырой в безопасности. Что мне с ним делать? Выкинуть его?
Летом была волна хейта на флеш из-за утекших данных компании, которая взламывала за деньги чужие продукты. Наломали много чего. Но только за флеш спотыкнулись, забыв о таких вещах, как вредоносные видео на html5, перезапускающие телефоны, получение рут прав и много чего, к чему флеш вообще не имеет отношения.
Моя лишь рекомендация тому, кто использует флеш — устанавливайте его исключительно из одного ресурса https://get.adobe.com/ru/flashplayer/ и ставьте разрешение за установку обновлений в фоне. Без Вашего ведома плеер будет обновляться сам и Вы знать не будите, что в нем есть проблемы.
P.S. на сегодня актуальная версия 19.0.0.245 и если у Вас работает версия 16 и другие «странные версии» — обновите браузер или увольте своего системного администратора.
Мы в месяц блокируем пачками известные нам сайты, которые предлагают скачать флеш плеер с неизвестным содержимым. Такой подход у хакеров любимый. Создают клоны страниц загрузки флеш плеера. На сайте они внедряют JavaScript код, который показывает лживое окно «Ваш флеш плеер устарел, обновите его». Есть люди, кто не в курсе и тыкают. Их кидают на эти клоны страниц загрузки. Флеш плеер виноват? Нет, Javascript. Блокируем теперь всем Javascript? Жертва качает посторонний продукт. Вина в таком случае полностью лежит на пользователе.
Не поверите, но Click to Play не решает проблем дырявости сандбокса браузера. А по общению с людьми — 99 из 100 заражений компьютера жертвы происходит по причине скачивания файлов вида письки крупным планом.jpg.exe
То, что Вы наговорили много страшных слов конечно же хорошо — ознакомлен == вооружен. Но лучше обсудите критические уязвимости в браузерах. Ведь даже при выключенном или удаленном флеш плеере пользователь каким-то образом заражает свой компьютер. Но о дырах в браузерах Вы узнаете только после релиза очередной версии. Вас активно могут ломать и Вы знать не будите. В случае с флешом — он просто перестает выполняться в браузере. Сейчас все браузеры просто вываливют сообщение и не стартуют флеш без согласия.
Недавно на хабре была тема, что администратор обновлял FP на работе своим компьютерам общей численностью в ~15 000 штук. Это значит, что они пользуются флеш плеером и «не так страшен черт, как его рисуют».
Сегодня проблемы с безопасностью есть везде. От того, что Вы пытаетесь рассказать пользователю о «вреде» флеша — не лишит критических и реальных угроз его мобильные телефоны и планшеты, где Flash Player не работает.
На один угнанный файл через флеш будет всегда приходится по 100500 угнанных файлов из-за ошибочно поставленной галочки при установки софта для «ускорения интернета».
P.S. Компании ADobe нет, есть Adobe. А наличие какой-либо версии FP в базе не говорит о том, что она у кого-то установлена.
Ununtrium
Флеш-программист детектед. Не нужен ваш этот флеш, смиритесь. Все. Есть платформы лучше.
TheRabbitFlash
Так и нож не нужен. Масло можно пальцем мазать на хлеб, откусанный зубами.
p.s. я не флеш-программист.
AlexBin
>> Есть платформы лучше.
Хотя бы одну назовите
Ununtrium
HTML5. Доказывать гуманитарной толпе ничего не собираюсь, можете рассматривать как бесплатный совет тем, кто не хочет выкидывать свое время и писать под мертвую платформу. А так-то вообще да, можно и на паскале или вижуал басике писать, никто не запрещает.
AlexBin
HTML5 не в состоянии заменить флеш. Еще есть варианты?
sashabeep
Давайте-ка я тоже послушаю про более лучшие платформы?
или про более лучшие редакторы, аж про оба два — про EDGE Animate и Google Web Designer
AlexBin
редакторов хороших нет, именно про это я хотел упомянуть вторым аргументом
TheRabbitFlash
Google Web Designer уже пенсионер. Его гуглы купили кучу лет назад у Motorola и на нем по факту никто ничего не делает :) Ну кроме тех, кто принципиально над кроватью логотип гугл держит.
А Edge Animate огрызок, который почти дропнули сами Adobe. В пользу Flash Pro, который уже и html5 canvas делать умеет с WebGL. Правда на JS писать надо… пока… :)
sashabeep
Вот и я про то же.
Всех должен порвать NanoFL, но его автору лень завести себе виртуальную машину с маком, чтобы собрать нормальный рабочий пакет, учитывая, что все сделано на xulrunner и должно быть кроссплатформено на 146%
amarao
Взламывают популярные уязвимые технологии. Вот, например, wifi — популярная технология. Консьюмерская. И много вы видите атак на wifi «вообще»? Есть крики про атаки на отдельные кривые экземпляры, но сама технология — отлично сделана и справляется с задачами безопасности.
Миллиарды людей используют «простые звонилки» (со своей ОС) — и много на них атак? А ведь платформы более чем популярные.
TheRabbitFlash
То, что на хабре не пишут про атаки на какую-то технологию — еще не значит, что их никто не делает.
По звонилкам — лучше вообще не говорите, коль не знаете. Ломать «звонилку» не интересно. А вот слушать GSM сигнал — делают с утра до вечера. Вас, конечно, не слушают. Никому не интересно слушать «Вася, вот я этого гада сейчас на хабре обламаю, а ты меня плюсуй». Но слушают массу людей.
iOS и Android — ломают и у ломателей это получается. Элементарный жесткий косяк в iOS был (не проверял пофиксили ли его). Когда можно ставить левое приложение с id шником уже установленного. Зачем это делать Вам рассказывать или сами догадаетесь?
AlexBin
>> И много вы видите атак на wifi «вообще»?
Вы сравниваете простой протокол со сложной системой с гигантским количеством функций. Возьмите лучше хром, мозилу, винду, андроид, так будет справедливее.