Что такое атаки нулевого дня и как их предотвратить

• Уязвимости нулевого дня обнаруживаются до того, как о них узнает производитель, активно эксплуатируются, и у них есть 0 дней на их исправление.
• Атака нулевого дня — это процесс выполнения гнусных задач, эксплойт нулевого дня — это техника/метод, используемый для использования уязвимости, а уязвимость нулевого дня — это неизвестная лазейка в коде программного обеспечения, которую эксплуатируют.

Атаки «нулевого дня» — это то, о чем каждый человек в тот или иной момент мог слышать. Эти атаки, также называемые атаками «нулевого дня», представляют собой тип кибератак, зависящий от уязвимости программного обеспечения. Когда в программном обеспечении существует непреднамеренная уязвимость, злоумышленники пользуются ею и используют ее для гнусных целей.

Эксплойты нулевого дня встречаются уже несколько десятилетий и до сих пор популярны среди хакеров. Это связано с тем, что в современном программном обеспечении все еще существуют уязвимости нулевого дня. Будь то операционная система, веб-браузер или любое другое программное обеспечение; вероятность уязвимостей всегда будет. Вопрос лишь в том, известно ли оно публично, а если да, то эксплуатировалось оно уже или нет?

Этот вид атаки так же опасен, как и любая другая киберугроза. В этом посте вы узнаете все, что нужно знать об атаках нулевого дня, а также о том, какие шаги можно предпринять, чтобы обеспечить максимальную безопасность ваших устройств.

Что такое атака нулевого дня

Атака нулевого дня — это кибератака, которая происходит из-за того, что злоумышленники непреднамеренно воспользовались уязвимостью.

Обычно это происходит, когда уязвимость была публично раскрыта человеком или стала общеизвестной, и уже существует сценарий для ее использования. До этого производитель программного обеспечения не мог знать об уязвимости. Однако, как только об этой уязвимости становится известно, злоумышленники мгновенно разрабатывают специализированное вредоносное ПО для использования этой уязвимости, если она еще не существует.

Такая атака называется «атакой нулевого дня», поскольку у производителя есть 0 дней, прежде чем он сможет ее исправить. Обычно это происходит после того, как уязвимость уже активно эксплуатируется, и у производителя есть ноль дней на ее исправление. Обычно производители имеют право выпустить исправление или исправление безопасности и устранить уязвимость, но уже слишком поздно.

Атаки нулевого дня, эксплойты и уязвимости

Иногда термины «атака нулевого дня», «уязвимость нулевого дня» и «эксплойт нулевого дня» используются как синонимы. Однако между терминами есть небольшие различия:

• Уязвимость нулевого дня: Это недавно обнаруженная непреднамеренная ошибка безопасности в программном обеспечении, о которой производитель не знает или которую еще не удалось исправить.
• Эксплойт нулевого дня: Эксплойт — это метод, который злоумышленники используют, чтобы воспользоваться обнаруженной уязвимостью.
• Атака нулевого дня: Атака — это процесс использования уязвимости нулевого дня, который приводит к ущербу в виде кражи данных, простоя или финансовой выгоды.

Хотя эти три термина означают разные вещи, все они относятся к одной и той же только что обнаруженной уязвимости. Злоумышленники быстро реагируют, создавая специальный эксплойт для уязвимости, который специально разработан, и обычно им удается обойти проверки безопасности на месте из-за уязвимости.

Как работают атаки нулевого дня

Уязвимость может существовать в любом программном обеспечении, будь то операционная система, приложение Microsoft Store, расширение браузера или стороннее программное обеспечение. Эти уязвимости обычно неизвестны разработчикам, в противном случае они исправляли бы их перед выпуском программного обеспечения или выпуском обновления.

Уязвимость в программном обеспечении может быть обнаружена отдельными лицами или хакерскими организациями, которые посвятили свою жизнь осуществлению атак в обмен на финансовую выгоду. Будучи однажды обнаруженным, оно может стать, а может и не стать достоянием общественности. Обычно об уязвимости сообщается по соответствующим каналам (и часто в частном порядке), чтобы разработчики могли предпринять необходимые действия до того, как она будет использована.

Однако если хакеры обнаружили уязвимость или уже активно ее используют, вероятность того, что она станет достоянием общественности, меньше, поэтому у них будет достаточно времени, чтобы использовать ее, прежде чем ее можно будет исправить. Иногда могут пройти дни и даже месяцы, прежде чем разработчики узнают об уязвимости в своем программном обеспечении. В таких случаях, когда уязвимость становится общеизвестной, они видят, что эксплойт уже существует и, следовательно, является уязвимостью нулевого дня.

Тем не менее, злоумышленникам по-прежнему необходим доступ к системам, в которых существует программное обеспечение и уязвимость, чтобы их можно было использовать. Для этого злоумышленники обращаются к пользователям с помощью фишинга и других методов травли. Для этих целей злоумышленники могут рассылать вредоносные электронные письма либо с вредоносным ПО, которое пользователь случайно загружает, либо со ссылками на другие вредоносные веб-сайты.

При таком подходе пользователи также подвергаются риску. С помощью этих атак злоумышленники могли не только использовать уязвимость нулевого дня, но также выполнять другие атаки, такие как установка шпионского ПО, руткитов или червей. Тем не менее, исполняемое вредоносное ПО также включает в себя код, который будет использовать уязвимость, открывая доступ злоумышленникам.

Таким образом, уязвимость нулевого дня дает злоумышленникам возможность получить выгоду до того, как разработчики смогут выпустить обновление безопасности для программного обеспечения.

В альтернативном сценарии уязвимость нулевого дня может быть исправлена ​​до того, как кто-либо сможет ее использовать. Если уязвимость исправлена ​​и больше не существует, ее больше нельзя называть уязвимостью нулевого дня.

Какое программное обеспечение уязвимо для атак нулевого дня?

Не существует определенной категории для типов программного обеспечения, которое может быть подвержено эксплойтам нулевого дня. Все дело в том, существует ли уязвимость, а если есть, обнаружена ли она еще.

В программном обеспечении может существовать лазейка, о которой никто не знает. Например, разработчик может создать программное обеспечение с нуля, а затем опубликовать его, не проверяя на наличие уязвимостей безопасности. В этом случае ни конечный пользователь, ни разработчик не будут знать об уязвимости. Обратите внимание, что программное обеспечение может быть любого типа, размера и назначения.

Вот несколько примеров программного обеспечения, которое можно использовать для атак нулевого дня:

• Операционные системы
• Веб-браузеры
• Офисные приложения
• Компоненты с открытым исходным кодом
• Аппаратное обеспечение и прошивка
• Интернет вещей (IoT)

Список не ограничивается только этими категориями программного обеспечения. Пока это программное обеспечение, вероятность появления уязвимостей нулевого дня существует.

Жертвы атак нулевого дня

Как и в случае с программным обеспечением, не существует определенной целевой аудитории для людей, которые могут стать жертвами атак нулевого дня. Более того, цели атаки могут варьироваться от срыва операций до создания бэкдоров для отложенного доступа.

Вот список потенциальных жертв эксплойтов нулевого дня:

• Индивидуальные/домашние пользователи с уязвимыми системами и программным обеспечением
• Пользователи с доступом к конфиденциальной информации
• Бизнес и организации; за финансовую информацию или сбои в работе
• Устройства, подключенные к Интернету вещей
• Устройства с прошивкой
• Государственные организации
• Частные лица или сотрудники, использующие очень специфическое программное обеспечение

Хотя некоторые нулевые атаки нацелены на определенную аудиторию, другие атаки обычно осуществляются против пользователей с уязвимым программным обеспечением, например определенной операционной системой или приложением.

Примеры атак нулевого дня

Как упоминалось ранее, атаки нулевого дня существуют уже несколько десятилетий. Существует обширная история пресловутых эксплойтов нулевого дня, которой должно быть достаточно, чтобы мы усвоили урок и обеспечили безопасность наших устройств. Вот несколько печально известных примеров:

• Зум, 2020 г.

  В 2020 году некоторые хакеры проникли в устройства под управлением Windows 7 с помощью уязвимости, обнаруженной в платформе онлайн-конференций Zoom. Они могли удаленно получить доступ к уязвимому компьютеру, а если у учетной записи пользователя были права администратора, злоумышленник мог получить полный доступ к системе и файлам.

• ОС Windows, 2019 г.

  Злоумышленники атаковали правительственные организации в Западной Европе, которые использовали операционную систему Windows и осуществляли локальное повышение привилегий. Злоумышленники смогли запускать произвольный код, устанавливать приложения, а также просматривать и изменять данные скомпрометированных приложений.

• Стакснет

  Stuxnet — компьютерный червь, который был обнаружен в 2010 году, но на самом деле он появился в 2005 году. Это был червь, поражавший производственные компьютеры, на которых работало программное обеспечение программируемого логического контроллера (ПЛК).

  Первоначальной целью этой атаки были иранские заводы по обогащению урана с целью сорвать ядерную программу страны. Червь заразил ПЛК через уязвимости в программном обеспечении Siemens Step7, заставив ПЛК выполнять неожиданные команды на конвейерном оборудовании.

• Microsoft Word, 2022 г. (Фоллина)

  Уязвимость нулевого дня активно эксплуатировалась в 2022 году, когда злоумышленникам удалось выполнить удаленное выполнение кода на компьютере жертвы (CVE-2022-30190). Злоумышленникам требовалось, чтобы жертва только загрузила и запустила простой файл Word (.DOC), а все остальное произошло в фоновом режиме без ведома пользователя.

  Эта атака предоставила пользователям полный доступ и выполнение кода через командную строку. Кодовое название этого эксплойта было «Фоллина».

В нашей истории было много пресловутых атак нулевого дня, и это лишь несколько примеров, которые показывают, насколько опасными могут быть такие атаки.

Как предотвратить атаки нулевого дня

Атаки нулевого дня могут исходить из любого источника и через любое программное обеспечение, имеющее уязвимость. Таким образом, предотвращение запуска эксплойтов нулевого дня на вашем компьютере является сложной задачей. Во время работы за компьютером вы всегда должны быть начеку, чтобы никакое вредоносное ПО не смогло проникнуть на ваш компьютер.

Вот несколько рекомендаций, которые вы можете использовать для предотвращения атак нулевого дня:

• Постоянно обновляйте операционную систему

  Как мы уже узнали, эксплойты нулевого дня применяются к недавно обнаруженным уязвимостям. Уязвимости также могут быть использованы, если они специфичны для операционных систем, например несанкционированное повышение привилегий.

  Постоянное обновление ваших операционных систем гарантирует, что будут установлены последние обновления безопасности и устранены все выявленные уязвимости.

  Следуйте этим путям в соответствующей операционной системе, чтобы проверить наличие ожидающих обновлений ОС. Установите их, если они есть.

  • Окна: Настройки >> Центр обновления Windows >> проверить наличие обновлений.
  • macOS: Меню Apple >> Системные настройки >> Системные настройки >> Общие >> Обновление ПО
  • Андроид: Настройки >> Обновление ПО >> Скачать и установить
  • iOS: Настройки >> Общие >> Обновление ПО

• Установите последние обновления программного обеспечения

  Как и в случае с операционными системами, обновления программного обеспечения столь же важны для исправления как известных, так и неизвестных уязвимостей.

  Производители выпускают исправления и регулярные обновления безопасности, которые включают новейшие доступные определения для обеспечения безопасности программного обеспечения и устройств. Эти обновления необходимо устанавливать по мере их публикации.

  Однако в качестве предостережения мы рекомендуем вам просмотреть примечания к выпуску обновлений, чтобы убедиться, что обновление не создает новых уязвимостей или проблем, а не исправляет существующие.

• Мониторинг обнаруженных уязвимостей

  Хакеры «черной шляпы», то есть хакеры, которые используют уязвимости в гнусных целях, не единственные, кто находит лазейки. Хакеры в белых и серых шляпах также ищут уязвимости в различном программном обеспечении и в случае обнаружения сообщают о них производителю по соответствующим каналам.

  После сообщения об уязвимостях они становятся достоянием общественности и публикуются на различных платформах. Мы рекомендуем вам следить за такими платформами и искать любые уязвимости в программном обеспечении, которое вы или ваша организация используете. это поможет вам быть на шаг впереди в защите ваших устройств. Информацию об обнаруженных уязвимостях можно найти на сайте www.talosintelligence.com; платформа от CISCO.

  Если уязвимость является критической и вы опасаетесь, что она может быть использована, вы можете заранее предпринять необходимые действия, чтобы предотвратить это.

• Используйте брандмауэры

  Всегда рекомендуется использовать межсетевые экраны, как аппаратные, так и программные. Однако уровень сложности брандмауэра полностью зависит от вашего использования. Если вы обычный домашний пользователь и используете свою систему для выполнения основных задач, то встроенного брандмауэра безопасности Windows должно быть достаточно. Однако, если вы представляете ИТ-организацию, вы можете выбрать брандмауэры следующего поколения.

  Доступны различные типы брандмауэров; некоторые даже включают в себя системы обнаружения и предотвращения вторжений. Кроме того, вам также следует использовать брандмауэры веб-приложений для защиты веб-приложений.

  В брандмауэры встроены различные превентивные системы, которые могут защитить вас от эксплойтов нулевого дня, включая защиту от вредоносных программ, проверку пакетов, предотвращение вторжений и проверку зашифрованного трафика. Кроме того, вы можете настроить политики на брандмауэрах, чтобы специально защитить интернет-сеть от атак нулевого дня. атаки, которые были обнаружены средствами мониторинга.

• Уменьшите поверхность атаки

  Злоумышленники используют программное обеспечение для использования существующих уязвимостей для проведения атак нулевого дня. Чем меньше программного обеспечения установлено в вашей системе, тем меньше вероятность атак нулевого дня. Следовательно, сохранение приложений и программного обеспечения, которые больше не используются, подвергает вашу систему воздействию таких эксплойтов.

  Любую часть программного обеспечения следует удалить с компьютера, если она больше не используется. Если он не используется, то, скорее всего, он также не обновляется. Это повышает риск подвергнуться атакам нулевого дня.

  Еще один метод уменьшения поверхности атаки — закрытие точек входа неавторизованных пользователей в вашу сеть. Это включает в себя закрытие портов прослушивания, установку более строгих политик, использование списков контроля доступа и т. д.

• Включить контролируемый доступ к папкам

  Контролируемый доступ к папкам — это функция Windows, ограничивающая доступ к важным системным папкам. Хотя он существует для предотвращения атак программ-вымогателей и других угроз, он также может предотвратить атаки нулевого дня, которые требуют доступа к системным файлам для использования.

  Например, в некоторых атаках используется техника повышения привилегий, позволяющая получить полный контроль над системой. Однако если доступ вредоносного фрагмента кода к системным файлам автоматически заблокирован, эксплойт может не сработать.

  Вот шаги, чтобы включить контролируемый доступ к папкам в Windows:

  1. нажмите Клавиша Windows + Я чтобы открыть приложение «Настройки».

  2. Перейдите к следующему:

     Конфиденциальность и безопасность >> Безопасность Windows >> Защита от вирусов и угроз

  3. Нажмите «Управление настройками” под “Настройки защиты от вирусов и угроз».

     Управление настройками защиты от вирусов и угроз

  4. Нажмите «Управление контролируемым доступом к папкам».

     Управление контролируемым доступом к папкам

  5. Переключите ползунок ниже Контролируемый доступ к папкам в На позиция.

     Включить контролируемый доступ к папкам

• Используйте антивирус нового поколения (NGAV)

  Как и брандмауэры следующего поколения, антивирусы следующего поколения также представляют собой расширенные версии обычного антивирусного программного обеспечения.

  Иногда обычных антивирусных программ недостаточно для защиты от атак нулевого дня, поскольку их определения еще не обновлены. Однако Antimwalre следующего поколения выполняет обнаружение на основе сигнатур и, таким образом, может блокировать вредоносные фрагменты кода и кибератаки без необходимости точных определений.

  Чтобы обнаружить, что система заражена вредоносным ПО, антивирусные решения следующего поколения используют анализ угроз и поведенческий анализ для создания базового уровня поведения системы. Он также использует подозрительное аномальное поведение и анализ кода машинного обучения, чтобы определить, что система заражена.

  При обнаружении такого вредоносного ПО NGAV может остановить вредоносные процессы и предотвратить воздействие атаки на дополнительные конечные точки.

• Внедрить эффективное управление исправлениями

  Существуют решения для управления исправлениями, позволяющие получать обновления программного обеспечения непосредственно от поставщиков и развертывать их в своих системах по всей организации.

  Обратите внимание, что обновления предоставляются производителем после того, как уязвимость может быть использована (в случае атаки нулевого дня). Таким образом, системы управления исправлениями не могут точно предотвратить атаки нулевого дня, но значительно сокращают потенциальное время воздействия.

• Практикуйте сценарий с наименьшими привилегиями

  Сценарий с наименьшими привилегиями предполагает, что каждый пользователь домена имеет минимальные привилегии, необходимые для выполнения своих задач. Например, если пользователь может выполнять свою работу, имея стандартную учетную запись пользователя, не предоставляйте его учетным записям права администратора, поскольку они им не нужны.

  Стандартная учетная запись пользователя в Windows имеет ограниченные права для выполнения задач. Например, они не могут изменять свойства других учетных записей пользователей, устанавливать программное обеспечение для всего компьютера и т. д. С другой стороны, учетные записи администратора имеют полный контроль над компьютером, а также над другими учетными записями пользователей на нем.

  Если учетная запись скомпрометирована и окажется, что она имеет административные привилегии, то злоумышленник, контролирующий учетную запись пользователя, будет иметь полные права выполнять гнусные задачи на ПК и, возможно, даже перемещаться по сети и заражать другие устройства.

• Иметь план реагирования на инциденты

  План реагирования на инциденты — это именно то, на что он похож. Это набор правил, политик, норм и действий, которым необходимо следовать в определенном порядке и которые вам необходимо принять в случае нарушения. Хотя этот подход не предотвращает атаки нулевого дня, он, безусловно, снизит последствия атаки.

  Институт SANS, известная американская компания по кибербезопасности, опубликовал следующее: Шестиэтапный план реагирования на инциденты которым вы можете следовать, чтобы создать свой собственный:

  • Подготовка: Определите наиболее важные активы и рассчитайте риск, если они будут скомпрометированы. Будут активы, на которых команда безопасности сосредоточится в дальнейшем. Подготовьте документацию, в которой описываются роли, обязанности и процессы каждого актива.
  • Идентификация: В этом разделе рассказывается, как обнаружить атаки нулевого дня; точные процессы, которым необходимо следовать, и используемые инструменты. Также обсуждается, как проверить, что атака нулевого дня происходит в течение определенного периода времени.
  • Сдерживание: Немедленные действия, которые необходимо предпринять для устранения ущерба и уменьшения последствий атаки.
  • Искоренение: Определите основную причину атаки и убедитесь, что приняты меры для предотвращения подобных атак.
  • Восстановление: Начните шаги по восстановлению, чтобы вернуть активы в оперативный режим и работоспособность, одновременно убедившись, что все следы эксплойта устранены. В этом разделе также должна быть описана продолжительность критического мониторинга для подтверждения того, что операции вернулись в нормальное русло.
  • Уроки выучены: Обсудите последствия атаки и предоставьте отзывы о том, как можно улучшить процессы, чтобы вы были лучше подготовлены к будущим атакам.

Еда на вынос

Пока для программного обеспечения выпускаются обновления, уязвимости нулевого дня будут существовать. В то время как некоторые компании сосредотачиваются на включении большего количества исправлений безопасности, некоторые просто сосредотачиваются на предоставлении своим клиентам новых и улучшенных функций. В последнем случае они часто забывают включить последние определения безопасности, что делает их программные продукты уязвимыми.

Таким образом, простого поддержания вашего программного обеспечения в актуальном состоянии может быть недостаточно для предотвращения атак нулевого дня. Вот почему вам также необходимо использовать передовые инструменты обнаружения и предотвращения, такие как антивирусы нового поколения, чтобы защитить ваши системы, активы и организацию от атак нулевого дня.