Exploit Kit on verkkorikollisten kehittämä tapa levittää haittaohjelmia verkkosivujen kautta. Toimintaketjussa on useita vaiheita, jotka mahdollistavat uhrien ja haittaohjelmien tarkan valinnan sekä haittaohjelmien tehokkaan levityksen. Exploit Kiteiltä suojautuminen noudattaa tuttua linjaa: ohjelmistojen ja virustorjunnan pitää olla ajan tasalla.

Exploit kit on verkkosivusto, jonka tavoitteena on saastuttaa sivustolla vierailija haittaohjelmalla. Kyseessä on siis haittaohjelmanjakelualusta. Exploit kit on nykyään yleinen haittaohjelmien levitystapa roskapostiviestien sisältämien liitteiden ja haitallisille sivustoille johtavien linkkien ohella.

Verkkorikolliset kehittävät jatkuvasti exploit kittejä ja uusia haavoittuvuuksia hyödyntäviä toiminnallisuuksia lisätään nopealla tahdilla niiden julkaisun jälkeen. Tunnetaan myös tapauksia, joissa exploit kit on hyödyntänyt toistaiseksi paikkaamatonta haavoittuvuutta eli niin sanottua nollapäivähaavoittuvuutta (zero-day).

Exploit kit -sivustojen kehittäjät myyvät alustaansa palveluna muille verkkorikollisille. Palveluita mainostetaan verkkorikollisille anonyymeillä keskustelupalstoilla. Palvelua käyttävä verkkorikollinen pyrkii exploit kitin avulla levittämään omaa tai ostamaansa haittaohjelmaa mahdollisimman monelle tietotokoneelle.

Exploit kitin toimintaketju:

1. Verkkosivustolle murtautuminen ja haitallisen uudelleenohjauksen lisääminen

Perusverkkosivustolle murtaudutaan ja murretulle verkkosivulle lisätään ohjelmakoodia, joka ohjaa sivustolla kävijän edelleen exploit kit -sivustolle. Murretuilla verkkosivuilla on usein käytössä sisällönhallintajärjestelmän (esimerkiksi Wordpress, Drupal tai Joomla) päivittämätön versio, jonka haavoittuvuuden avulla murtautuminen on toteutettavissa. Toinen yleinen tapa on uudelleenohjaus haitallisten mainosten kautta.

2. (Valinnainen) Toisen tason uudelleenohjaus ja uhrien valitseminen

Toisen tason uudelleenohjaus ohjaa kävijän varsinaiselle exploit kit -sivulle. Verkkorikollinen voi tässä vaiheessa halutessaan rajoittaa liikennettä exploit kit -sivulle esimerkiksi maakohtaisesti. Toisen tason uudelleenohjausta ei esiinny kaikissa exploit kiteissä.

3. Uhrikoneen teknisten tietojen tarkistaminen

Exploit kit tutkii sivulle päätyvän uhrin käyttöjärjestelmän, selaimen sekä yleisesti käytössä olevat selainliitännäiset (esim. Adobe Flash Player, Oracle Java, Microsoft Silverlight sekä Adobe Reader) ja tarkistaa niiden versionumerot. Exploit kit -sivun lähdekoodi on yleensä tarkoituksella vaikeasti ymmärrettävää (obfuskoitu), jotta sen havaitseminen tietoturvakontrollien avulla olisihankalaa.

4. Uhrin suojausmekanismien selvittäminen

Tietyt exploit kitit pyrkivät myös hyödyntämään tietovuotohaavoittuvuutta (CVE-2013-7331) selvittääkseen kohdejärjestelmään mahdollisesti asennettuja suojausmekanismeja. Mikäli kohdejärjestelmässä havaitaan tiettyjä ohjelmistoja, ei sivusto tarjoakaan haitallista tiedostoa kävijälle.

5. Haittaohjelmaversion valitseminen

Kun exploit kit löytää haavoittuvan ohjelmistoversion, se tarjoaa kävijälle kyseisen version haavoittuvuutta hyödyntävän exploitin.

6. Haittaohjelman lataaminen ja suorittaminen

Haavoittuvuutta hyödyntävä ohjelmakoodi suoritetaan haavoittuvassa ohjelmassa, jolloin ohjelman avulla ladataan ja suoritetaan varsinainen haittaohjelma.

Kuva 1. Exploit kitin vaiheet. Kuvaa klikkaamalla aukeaa tarkempi kuva.

Katso myös aiemmat haittaohjelmia koskevat [Teema]-artikkelit:

[Teema] Älä panikoi, näin pääset eroon haittaohjelmasta, 13.10.2014

[Teema] Haittaohjelmien toimintaperiaatteet, tarttuminen ja niiltä suojautuminen, 10.2.2015

[Teema] Haittaohjelma saattaa varastaa tietoja tai louhia virtuaalivaluuttaa, 18.2.2015