Zero day: что такое уязвимость нулевого дня?

что такое уязвимость нулевого дня

В прошлом году обнаружили 57 случаев использования нулевой уязвимости, согласно таблице “Эксплойты нулевого дня” от Project Zero. Это рекордное количество, которое почти вдвое больше, чем в 2020 году. Учитывая такие тенденции, разберёмся, что такое уязвимость 0-day и насколько она опасна. 

Глоссарий:

* Уязвимость нулевого дня (угроза нулевого дня) — недостаток в безопасности ПО, который неизвестен тому, кто заинтересован в его устранении, например, разработчику.       

* Эксплойт нулевого дня — это метод, который хакеры используют для атаки на системы с ранее неизвестной уязвимостью.      

* Атака нулевого дня — это когда хакеры используют свой эксплойт нулевого дня для совершения кибератаки, что часто приводит к таким проблемам, как кража личных данных или их потеря.

Что такое атака нулевого дня?

Время от времени в вычислительных системах обнаруживаются уязвимости. Это дыры в безопасности, которые позволяют киберпреступникам получить несанкционированный доступ к информации, повредить или скомпрометировать систему. Все известные уязвимости задокументированы в общедоступных репозиториях, таких как NVD (Национальная база данных уязвимостей). 

И поставщики ПО, и независимые умы постоянно ищут новые уязвимости в программных продуктах. Когда их находят, поставщик обязан как можно быстрее выпустить релиз с устранёнными проблемами безопасности. После этого пользователи могут обновить ПО, чтобы защитить себя.

Атака нулевого дня (или 0-day) — это уязвимость ПО, которую используют злоумышленники до того, как поставщик узнает об её существовании. Это и делает уязвимости нулевого дня серьёзной угрозой безопасности.

Как только злоумышленники обнаружили уязвимость нулевого дня, им потребуется механизм получения доступа к уязвимой системе. Во многих случаях таким механизмом будет электронное письмо или другое сообщение. Предположительно, киберпреступники отправят имейлы, где попытаются убедить пользователей выполнить действие (открыть файл или посетить вредоносный сайт), невольно активируя эксплойт.

Что такое эксплойт нулевого дня и чем он опасен?

Эксплойт (эксплуатация) нулевого дня — это когда злоумышленник использует уязвимость Zero Day для атаки на систему. Эти эксплойты особенно опасны, поскольку они имеют больше шансов на успех, чем обычные зловреды.

Некоторые продвинутые группы киберпреступников используют эксплойты нулевого дня стратегически. Эти сообщества резервируют найденные уязвимости, чтобы использовать их в атаках на медицинские или финансовые учреждения, правительственные организации. Так можно увеличить срок службы эксплойта, а также снизить вероятность того, что жертва обнаружит уязвимость.

Анатомия атаки нулевого дня

Обычно, атака нулевого дня происходит следующим образом:

  1. Поиск уязвимостей. Злоумышленники просматривают код или экспериментируют с популярными приложениями в поисках уязвимостей. Они также могут покупать уязвимости на чёрном рынке.
  2. Создание эксплойт-кода. Киберпреступники создают вредоносную программу или другие технические средства для эксплуатации уязвимости.
  3. Поиск систем, подверженных уязвимости. Злоумышленники могут использовать ботов, автоматические сканеры и другие методы для выявления систем, которые подвержены уязвимости.
  4. Планирование атаки. При целенаправленной атаке на конкретную организацию злоумышленники могут провести детальную разведку, чтобы определить лучший способ проникновения в уязвимую систему. При нецелевой атаке киберпреступники обычно используют ботов или фишинговые кампании, чтобы сделать атаку более массовой.
  5. Осуществление атаки. Злоумышленник проникает через защиту организации или личного устройства.

Теперь эксплойт нулевого дня запущен, а киберпреступники могут удалённо выполнять код на скомпрометированной машине.

Кто может быть заинтересован в атаках?

Субъекты угроз, которые планируют и осуществляют атаки нулевого дня могут относиться к нескольким категориям:

  • киберпреступники — хакеры, основной мотив которых обычно финансовый;
  • хактивисты — злоумышленники, которые мотивированны идеологией;
  • корпоративные шпионы — злоумышленники, которые хотят получить частную информацию о других организациях;
  • учасники кибервойны — в последние годы государства и органы безопасности часто прибегают к киберугрозам против инфраструктуры другой страны или организаций внутри другой страны (например, кибер-саботаж Stuxnet).

Целевые и нецелевые атаки нулевого дня

Целевые атаки нулевого дня осуществляются против: 

  • правительственных или общественных учреждений; 
  • крупных организаций; 
  • старших сотрудников компаний, которые имеют привилегированный доступ к корпоративным системам, конфиденциальным данным, интеллектуальной собственности или финансовым активам.

Нецелевые атаки нулевого дня обычно проводятся против большого количества домашних или бизнес-пользователей, которые используют уязвимую ОС или браузер. Часто цель злоумышленника состоит в том, чтобы скомпрометировать эти системы и использовать их для создания массивных бот-сетей. Такой пример: атака WannaCry, в которой использовался эксплойт EternalBlue в файловом протоколе Windows SMB для компрометации более 200 000 машин за один день. Нецелевые атаки также могут быть нацелены на оборудование, прошивку и IoT.

Угроза нулевого дня: яркие примеры атак

Ниже приведены примеры широко известных атак нулевого дня, иллюстрирующих серьёзный риск для организаций:

  • 2017: Microsoft Word

Этот эксплойт нулевого дня взломал личные банковские счета пользователей. Жертвами стали люди, которые невольно открыли вредоносный документ Word. В документе отображалось приглашение “загрузить удалённый контент”. Когда жертвы нажимали “да” во всплывающем окне, документ устанавливал на их устройства вредоносное ПО, которое могло перехватывать учётные данные для входа в банк.

  • 2019: Microsoft Windows, Восточная Европа

Эксплойт нулевого дня злоупотреблял уязвимостью локальных привилегий в Microsoft Windows для запуска произвольного кода и установки приложений. Также он мог просматривать и изменять данные в скомпрометированных приложениях. 

  • 2020: Apple iOS

iOS от Apple часто называют самой безопасной из основных платформ для смартфонов. Однако в 2020 году он стал жертвой как минимум двух наборов уязвимостей нулевого дня iOS, включая ошибку нулевого дня, которая позволяла злоумышленникам удалённо скомпрометировать iPhone.

  • 2020: Zoom

Здесь хакеры получили удалённый доступ к ПК пользователя, если тот работал под управлением более старой версии Windows. Если целью был администратор, хакер мог полностью захватить его компьютер и получить доступ ко всем его файлам.

  • 2021: Chrome

В 2021 году Google Chrome столкнулся с серией угроз нулевого дня, в результате чего Chrome стал активно выпускать обновления. Уязвимость возникла из-за ошибки в движке JavaScript V8, используемом в веб-браузере.

Рынок нулевого дня

Уязвимость нулевого дня — ценный актив. И для поставщиков ПО, которые хотят защитить своих пользователей. И для злоумышленников, которые могут использовать его в своих интересах.

Сейчас известно о трёх рынках, где торгуют уязвимостями нулевого дня:

  • White Hat Markets. Существует несколько программ для вознаграждений, в рамках которых поставщики ПО платят деньги за обнаружение неизвестной уязвимости. Программы Bug Bounty запустили GitHub, BugCrowd, Apple, Microsoft, Facebook и даже государственные учреждения, включая Пентагон. Все они предлагают исследователям от сотни до сотен тысяч долларов, если они обнаружат и задокументируют уязвимость в системе безопасности.
  • Grey Hat Markets. Брокеры, которые покупают хорошие исследования уязвимостей нулевого дня от имени своих клиентов, сохраняя анонимность покупателей и продавцов. Продавец, который может быть законным исследователем, не имеет никакого контроля над тем, что конечный покупатель сделает с информацией об уязвимости.
  • Black Markets. Существует чёрный рынок уязвимостей нулевого дня и эксплойтов. Там хакеры продают обнаруженные ими уязвимости, а злоумышленники покупают их с целью провести кибератаки.

Защита от атак нулевого дня

От атак нулевого дня трудно защититься, но есть способы подготовиться. Вот четыре метода, которые помогут вам предотвратить 0 day:

  1. Windows Defender Exploit Guard. Инструмент безопасности, встроенный в Windows 2010. Он может стать вашей первой линией защиты от атак нулевого дня.
  2. Антивирус следующего поколения (NGAV). Он проводит аналитику угроз и поведения, а также анализ кода с помощью машинного обучения и специальных методов защиты от эксплойтов. Традиционный антивирус неэффективен против угроз нулевого дня, поскольку они используют известные уязвимости в ПО. 
  3. Своевременное обновление. Автоматизированные инструменты помогут организациям не только обнаруживать системы, которые нуждаются в апгрейде. Они помогут получать исправления и быстро развёртывать их, прежде чем злоумышленники смогут нанести удар.
  4. План действий. Чтобы уменьшить хаос и ущерб от атак, специалистам по безопасности ПО нужно разработать конкретный план, ориентированный на атаки нулевого дня.

ВЫВОД

Атака нулевого дня происходит до того, как поставщик ПО узнаёт о существовании уязвимости. Она начинается с того, что хакер обнаруживает ошибку в коде или ПО, которую поставщик ещё не обнаружил. Затем злоумышленник работает над эксплойтом нулевого дня — методом атаки, который поможет воспользоваться существующей уязвимостью. 

Сам термин “нулевой день” походит из мира пиратских копий. Например, пиратская версия фильма (трека или ПО), которая становится доступной одновременно или до официального выпуска, называется “0 day”. Другими словами, пиратская копия публикуется через ноль дней после официальной. 

Как защититься от атак? Постоянно мониторить уязвимости ПО и иметь план действий на случай Zero day — лучший вариант. 

У вас есть свой вариант защиты? Пишите в комментариях.

Добавить комментарий

Спасибо, что поделились