Что такое атака нулевого дня? Определение и описание
Нулевой день. Определение и описание
«Нулевой день» – это общий термин, описывающий недавно обнаруженные уязвимости в системе безопасности, которые могут быть использованы злоумышленниками для атаки на систему. Термин «нулевой день» показывает, что поставщик или разработчик только что узнали об уязвимости, и у них есть «ноль дней» на ее исправление. Атака нулевого происходит в результате использования злоумышленниками уязвимости до того, как разработчикам удалось ее исправить.
Нулевой день иногда обозначают как 0-день. Слова уязвимость, эксплойт и атака обычно используются в сочетании со словами «нулевого дня», и важно понимать разницу между этими терминами:
Что такое и как работают атаки нулевого дня?
В программном обеспечении часто есть уязвимости безопасности, которые злоумышленники могут использовать для причинения вреда. Разработчики программного обеспечения всегда ищут уязвимости, которые необходимо исправить. В результате разрабатываются и выпускаются программные обновления.
Однако иногда злоумышленники обнаруживают уязвимость раньше разработчиков. Пока уязвимость не закрыта, злоумышленники могут написать и внедрить код, позволяющий ей воспользоваться. Он называется кодом эксплойта.
В результате внедрения кода эксплойта могут пострадать пользователи программного обеспечения, например, вследствие кражи личных данных или других киберпреступлений. Как только злоумышленники находят уязвимость нулевого дня, им нужно получить доступ к уязвимой системе. Часто для этого используются сообщения электронной почты с применением приемов социальной инженерии – злоумышленники выдают свои сообщения за сообщения от известных легальных отправителей. Цель сообщения – заставить пользователя выполнить определенное действие, например, открыть файл или посетить вредоносный веб-сайт. При этом загружается вредоносная программа злоумышленника, проникающая в файлы пользователя и выполняющая кражу конфиденциальных данных.
Когда об уязвимости становится известно, разработчики пытаются исправить ее, чтобы остановить атаку. Однако уязвимости в системе безопасности часто не удается обнаружить сразу. Иногда до момента обнаружения уязвимости, ставшей причиной атаки, могут пройти дни, недели и даже месяцы. И даже после выпуска патча, закрывающего уязвимость нулевого дня, не все пользователи сразу же его устанавливают. В последние годы хакеры стали гораздо быстрее обнаруживать и использовать уязвимости.
Эксплойты продаются в даркнете за большие деньги. После обнаружения и исправления эксплойт больше не считается угрозой нулевого дня.
Особая опасность атак нулевого дня заключается в том, что о них знают только сами злоумышленники. После проникновения в сеть преступники могут либо атаковать немедленно, либо затаиться и ждать наиболее подходящего времени.
Кто совершает атаки нулевого дня?
Злоумышленники, совершающие атаки нулевого дня, делятся на категории в зависимости от мотивов. Например:
На кого нацелены эксплойты нулевого дня?
При атаках нулевого дня могут использоваться различные уязвимые объекты:
В результате круг потенциальных жертв становится достаточно широким:
Также полезно выделить целевые и нецелевые атаки нулевого дня:
Даже когда атаки нулевого дня не нацелены ни на кого конкретного, от них все равно может пострадать большое количество людей, обычно вследствие побочного эффекта. Нецелевые атаки направлены на максимальное количество пользователей, а значит могут пострадать данные обычных людей.
Как выявить атаки нулевого дня
Существуют различные виды уязвимостей нулевого дня: отсутствие шифрования данных, отсутствие авторизации, неработающие алгоритмы, ошибки, проблемы с безопасностью паролей и прочие. Обнаружить их может оказаться непросто. Из-за характера этих уязвимостей подробная информация об эксплойтах нулевого дня доступна только после их идентификации.
Организации, подвергшиеся атаке нулевого дня, могут наблюдать нетипичный трафик или подозрительные действия, такие как сканирование, исходящие от клиента или сервиса. Некоторые методы обнаружения атак нулевого дня включают:
Часто используется комбинация различных систем обнаружения.
Примеры атак нулевого дня
Ниже приведены примеры последних атак нулевого дня.
2021: уязвимость нулевого дня Google Chrome
В 2021 году Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Уязвимость возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере.
2020: Zoom
У популярной платформы видеоконференцсвязи была обнаружена уязвимость. В результате этой атаки нулевого дня злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены старые версии Windows. Если атака была нацелена на администратора, злоумышленники могли полностью захватить его компьютер и получить доступ ко всем файлам.
2020: Apple iOS
Apple iOS часто называют самой безопасной платформой для смартфонов. Однако в 2020 году она подверглась как минимум двум атакам нулевого дня. Одна из ошибок нулевого дня позволила злоумышленникам удаленно скомпрометировать iPhone.
2019: Microsoft Windows, Восточная Европа
Эта атака была направлена на повышение локальных привилегий – уязвимую часть Microsoft Windows, и нацелена на государственные учреждения в Восточной Европе. В этой атаке нулевого дня использовалась уязвимость локальных привилегий Microsoft Windows для запуска произвольного кода и установки программ, а также для просмотра и изменения данных о скомпрометированных программах. После идентификации атаки и сообщения и ней в Центр по реагированию на угрозы Microsoft, был разработан и выпущен патч.
2017: Microsoft Word
Результатом этого эксплойта нулевого дня стала компрометация личных банковских счетов. Жертвами оказались люди, которые неосознанно открывали вредоносный документ Word. В документе отображалось предложение загрузить удаленное содержимое – всплывающее окно, запрашивающее внешний доступ из другой программы. При нажатии на кнопку «Да» на устройства пользователей устанавливалось вредоносное ПО, перехватывающее учетные данные для входа в интернет-банк.
Stuxnet
Один из самых известных примеров атак нулевого дня – Stuxnet – вредоносный компьютерный червь, впервые обнаруженный в 2010 году, но зародившийся еще в 2005 году. Его атаке подверглись производственные компьютеры с программируемыми логическими контроллерами (ПЛК). Основной целью были заводы Ирана по обогащению урана, атака на которые могла подорвать ядерную программу страны. Червь проник на ПЛК через уязвимости в программном обеспечении Siemens Step7 и заставил ПЛК выполнять непредусмотренные команды на сборочном оборудовании. История Stuxnet впоследствии легла в основу документального фильма «Уязвимость нулевых дней» (Zero Days).
Как защититься от атак нулевого дня
Для защиты от атак нулевого дня и обеспечения безопасности компьютеров и данных частным лицам и организациям важно выполнять определенные правила кибербезопасности. Они включают:
Своевременное обновление программ и операционных систем. Производители включают в новые выпуски исправления безопасности для устранения недавно обнаруженных уязвимостей. Своевременное обновление повышает вашу безопасность.
Использование только необходимых программ. Чем больше у вас программного обеспечения, тем больше потенциальных уязвимостей. Использование только необходимых программ позволит снизить риск для сети.
Использование сетевого экрана. Сетевой экран играет важную роль в защите системы от угроз нулевого дня. Настройка сетевого экрана так, чтобы допускались только необходимые транзакции, позволит обеспечить максимальную защиту.
Обучение сотрудников организаций. Многие атаки нулевого дня основаны на человеческих ошибках. Обучение сотрудников и пользователей правильным навыкам обеспечения безопасности и защиты поможет как обеспечить их безопасность в интернете, так и защитить организацию от эксплойтов нулевого дня и других цифровых угроз.
Использование комплексного антивирусного программного решения. Kaspersky Total Security помогает защитить ваши устройства, блокируя известные и неизвестные угрозы.
Что такое атака с нулевым кликом
Х отя «атаки нулевого дня» достаточно опасны (их называют так, потому что у разработчиков было нулевое количество дней на то, чтобы разобраться с уязвимостью, прежде чем она появится в открытом доступе), атаки с нулевым кликом вызывают другое беспокойство.
Определение атак с нулевым кликом
Многие распространенные кибератаки, такие как фишинг, требуют от пользователя каких-либо действий. В этих схемах открытие электронного письма, загрузка вложения или клик по ссылке позволяет вредоносному программному обеспечению получить доступ к вашему устройству. Но атаки с нулевым кликом требуют для работы нулевого взаимодействия с пользователем.
В этих атаках не обязательно использовать «социальную инженерию» — психологическую тактику, которую используют злоумышленники, чтобы заставить вас запустить их вредоносное ПО. Вместо этого они просто попадают на ваш ПК. Это значительно затрудняет отслеживание кибератак, и если они потерпят неудачу, они могут просто продолжать попытки, пока не добьются этого, потому что вы не знаете, что вас атакуют.
Уязвимости с нулевым кликом высоко ценятся вплоть до уровня национального государства. Такие фирмы, как Zerodium, которые покупают и продают уязвимости на черном рынке, предлагают миллионы каждому, кто сможет их найти.
Любая система, которая анализирует полученные данные, чтобы определить, можно ли доверять этим данным, уязвима для атаки с нулевым кликом. Вот что делает приложения для электронной почты и обмена сообщениями такими привлекательными целями. Кроме того, сквозное шифрование, присутствующее в таких приложениях, как iMessage от Apple, затрудняет определение того, является ли сообщение атакой с нулевым кликом, потому что содержимое пакета данных не может видеть никто, кроме отправителя и получателя.
Эти атаки также часто не оставляют после себя особых следов. Например, электронная атака с нулевым кликом может скопировать все содержимое вашего почтового ящика перед удалением самого себя. И чем сложнее приложение, тем больше места для эксплойтов с нулевым кликом.
Обнаруженные атаки нулевого клика
В сентябре Citizen Lab обнаружила эксплойт с нулевым кликом, который позволил злоумышленникам установить вредоносное ПО Pegasus на телефон жертвы с помощью PDF-файла, созданного для автоматического выполнения кода. Вредоносная программа эффективно превращает зараженный ею смартфон в устройство для прослушивания. С тех пор Apple разработала исправление для этой уязвимости.
В апреле компания ZecOps, занимающаяся кибербезопасностью, опубликовала отчет о нескольких атаках с нулевым кликом, обнаруженных в приложении Apple Mail. Кибер-злоумышленники отправляли пользователям Mail специально созданные электронные письма, которые позволяли им получить доступ к устройству без каких-либо действий со стороны пользователя.
В 2019 году злоумышленники использовали эксплойт в WhatsApp для установки шпионского ПО на телефоны людей, просто позвонив им. С тех пор Facebook подал в суд на поставщика шпионского ПО, которого считают виновным, утверждая, что он использовал это шпионское ПО для нацеливания на политических диссидентов и активистов.
Как защитить себя
К сожалению, поскольку эти атаки трудно обнаружить и для их выполнения не требуется никаких действий со стороны пользователя, от них сложно защититься. Но хорошая цифровая гигиена все же может сделать вас менее доступной мишенью.
Часто обновляйте свои устройства и приложения, в том числе используемый вами браузер. Эти обновления часто содержат исправления для эксплойтов, которые злоумышленники могут использовать против вас, если вы их не установите. Например, многие жертвы атак программы-вымогателя WannaCry могли бы избежать их с помощью простого обновления.
Купите хорошую программу защиты от шпионского и вредоносного ПО и используйте ее регулярно. По возможности используйте VPN в общественных местах и не вводите конфиденциальную информацию, например банковские данные, в ненадежное общедоступное соединение.
Разработчики приложений могут помочь со своей стороны, тщательно тестируя свои продукты на наличие эксплойтов, прежде чем публиковать их. Привлечение профессиональных экспертов по кибербезопасности и предложение вознаграждений за исправление ошибок могут иметь большое значение для повышения безопасности.
Так стоит ли вам беспокоиться об этом? Возможно нет. Атаки с нулевым кликом в основном используются против финансовых целей. Если вы принимаете все возможные меры, чтобы защитить себя, все будет в порядке.
Что такое уязвимость нулевого дня (0day)?
Что может сделать хакер при обнаружении уязвимости нулевого дня?
Хакер типа «белая шляпа», вероятнее всего сообщит об ошибке в компанию, что бы они внесли соответствующие изменения. В качестве поощрения от представителей организации может быть финансовое вознаграждение или судебный иск, как уж повезет.
Злоумышленники, которые не особо заинтересованы быть честными, могут продать полученную информацию на сером рынке, где подобные уязвимости могут стоить сотни тысяч долларов.
В случае, если киберпреступник является специалистом в своей области, он самостоятельно будет использовать эксплойты, с целью получения личной выгоды.
В чем заключается угроза 0day?
В тот момент, когда разработчикам становится известно об уязвимости 0day, они пытаются исправить ошибку и выпустить необходимое обновление для ее устранения. Если проблема используется хакерами до того момента, как она была исправлена программистами, в этот момент осуществляется атака нулевого дня (эксплойт нулевого дня).
Хакерам очень импонирует уязвимость 0day, поскольку, без патча безопасности, нет возможности их остановить. Уязвимости нулевого дня, как правило, очень трудно обнаружить. Системы защиты (антивирусы, файрволлы) могут просто на просто их не обнажить в силу того, что может применяться шифрование или обфускация программного кода, т.е. вредоносное ПО (код) может восприниматься, как необходимый элемент системы, тем самым не вызывая никаких подозрений. В это время злоумышленники могут осуществлять удаленное управления системой или компьютером, кражу персональных данных, промышленный шпионаж и т.п.
В мае 2017 года, была обнаружена программа-вымогатель WannaCry, которая, на сегодняшний день, является примером одной из самых масштабных атак использующих уязвимость нулевого дня в ПО. В то время от действия данного «червя» пострадало более 500 тысяч компьютеров, как персональных, так и коммерческих, в более чем 100 странах мира.
Как можно обнаружить уязвимость нулевого дня?
Так же, в системе или ПО можно:
Защита от атак нулевого дня (0day)
Обеспечить полноценную защиту от эксплойтов 0day трудная задача, поскольку их трудно обнаружить. Антивирусы, которые обеспечивают сканирование ПО или системы на наличие уязвимостей применяют проверку вредоносного ПО или подозрительного кода с уже существующими и ранее зафиксированными эксплойтами.
Однако, есть рекомендации, которые могут применять компании для снижения риска воздействия 0-day уязвимостей:
Восемь уязвимостей нулевого дня в одном флаконе, и это еще не всё
Наши эксперты вышли на след киберпреступной группировки, осуществлявшей широкомасштабные целевые атаки, проводимые в рамках активности, названной «Elderwood Project».
Впервые данная группировка привлекла к себе внимание наших аналитиков в 2009 году, осуществив атаку на Google и другие организации, используя троянскую программу Hydraq (Aurora).
На протяжении последних трёх лет осуществляемые ею атаки были направлены на предприятия различных секторов промышленности, а также на негосударственные организации. В качестве жертв выбирались компании преимущественно США и Канады, а также Китая, Гонконга, Австралии, а также некоторых европейских и азиатских стран. Последние атаки демонстрируют смещение интереса злоумышленников в сторону предприятий, выпускающих компоненты вооружений и оборонительные системы. Причём одним из основных рабочих сценариев является проникновение через одну из организаций-партнёров, входящей в цепочку поставок.
Злоумышленники эксплуатируют большое количество уязвимостей нулевого дня и используют системный подход к организации атак и созданию вредоносного кода. Мы зафиксировали неоднократное повторное использование ими компонентов платформы, названой «Elderwood Platform» (по названию одного из эксплойтов из их арсенала), которая обеспечивает быстрое применение эксплойтов к уязвимостям нулевого дня. Методология подобных проводимых атак обычно подразумевает использование фишинговых писем, однако теперь к ним добавились атаки класса «watering hole» — компрометация веб-сайтов, вероятнее всего посещаемых жертвой.
Сопоставив факты наши аналитики пришли к выводу, что некая группировка использует уязвимости нулевого дня и, похоже, имеет к информации о них неограниченный доступ. Хакеры крадут информацию с компьютеров избранных жертв, заражая их троянской программой через часто посещаемые ими сайты. Основной целью мошенников является внутренняя информация компаний оборонной промышленности.
Как вы знаете, серьёзные уязвимости нулевого дня, предоставляющие несанкционированный доступ к широко используемым программным компонентам, встречаются в свободном доступе очень редко. Например, в рамках, пожалуй, самого широко известного проекта Stuxnet их было использовано всего четыре. Однако в рамках «Elderwood Project» их уже используется вдвое больше — восемь. И ни одна другая группировка никогда не демонстрировала ничего подобного. Применение такого количества эксплойтов к уязвимостям нулевого дня говорит об очень высоком уровне подготовки — чтобы выявить подобные уязвимости, хакеры должны были получить доступ к исходному коду ряда широко используемых программных приложений или провели их декомпиляцию, для чего требуются очень и очень серьёзные ресурсы. Похоже, что группировка обладает чуть ли не безграничным количеством уязвимостей нулевого дня. Уязвимости используются по требованию – одна за другой, и часто одна заменяет другую, если предыдущая уже закрыта.
Основными целями зафиксированных атак были организации из цепочки поставок предприятий оборонного сектора, преимущественно ведущие предприятия оборонной промышленности. Группировку интересуют компании, производящие электронные или механические компоненты вооружений и систем, которые продаются ведущим оборонным корпорациям. Атакующие, видимо, рассчитывают на меньший уровень защищённости подобных производителей, и используют их в качестве ступенек лестницы, ведущей к интеллектуальной собственности, предназначенной для производства компонентов или крупной продукции ведущими поставщиками. Приведенная ниже диаграмма показывает распределение различных отраслей, составляющих цепочку поставок для оборонной промышленности.
Одним из векторов атак группировки “Elderwood” является использование так называемых “watering hole” сайтов, демонстрирующее однозначное изменение методов, используемых злоумышленниками. Концепция атаки в данном случае аналогична действиям хищника, поджидающего свою жертву в оазисе посреди пустыни. Он знает, что жертва, рано или поздно, придет на водопой, и ждет, вместо того, чтобы вести активную охоту. Так же действуют и злоумышленники – определяют веб-сайты, которые посещают интересующие их конкретные люди, взламывают их и встраивают эксплойты на страницы, которые должна посетить жертва. Любой посетитель сайта будет подвержен воздействию внедрённых эксплойтов, и если его компьютер будет ими взломан, на него будет установлена троянская программа.
Сводка по 0-days:
Подробности и технические детали в полном отчете Symantec “The Elderwood Project”
Уязвимость нулевого дня. Эксплойт от которого не возможно защититься?
«Нулевой день» — это свободный термин для недавно обнаруженной уязвимости или эксплойта для уязвимости, которую хакеры могут использовать для атаки систем. Эти угрозы невероятно опасны, потому что только злоумышленник знает об их существовании. Эксплойты могут годами оставаться незамеченными и часто продаются на черном рынке за большие суммы денег.
Эксплойты получают значение «нулевого дня» тогда (в тот день), когда поставщику становится известно о существовании эксплойта (уязвимости), где «ноль» означает количество дней, прошедших с момента обнаружения этой уязвимости продавцом.
Как обнаружить атаку нулевого дня?
Атаки нулевого дня, по определению, очень трудно обнаружить, но появилось несколько стратегий:
Способы восстановления после уязвимостей нулевого дня
Предотвратить атаки «нулевого дня» практически невозможно, т.к. их существование может оставаться незамеченным даже после того, как уязвимость будет использована. Тем не менее, новые технологии и методы могут обеспечить некоторый уровень защиты от этих угроз. Выполните следующие шаги для уменьшения ущерба после обнаружения эксплойта.
CTR — это технология защиты на основе обнаружения, которая перехватывает данные на пути к месту назначения. Она предполагает, что все данные являются враждебными и предотвращает их прямую доставку, допуская только определенную информацию, которая была разрешена. Использование данных в этой новой форме помогает обеспечить их безопасность, поскольку CTR отбрасывает любые потенциально опасные элементы исходных данных.
Стратегия аварийного восстановления
Если вы подверглись атаке «нулевого дня», очень важно иметь комплексную стратегию аварийного восстановления для уменьшения ущерба. Стратегия включает в себя сочетание локального и облачного хранилищ для резервного копирования данных.
Удаление доступа
Одним из наиболее распространенных методов восстановления после атак нулевого дня является физическое (или через сетевой брандмауэр) удаление всего доступа у любого, кто имел возможность его использовать. Например, если ваш сайт был уязвим для эксплойта нулевого дня, и предоставлял полный доступ на чтение/запись, то одним из способов будет отключение сайта до той поры, пока не будет выпущен патч.
На видео: Что такое уязвимость нулевого дня — понятным языком.
