Когда речь заходит о различных типах кибератак, эксплойты нулевого дня являются самыми страшными. Я их боюсь, а хакеры их любят. Когда уязвимость «нулевого дня» используется в полной мере, прибыль от нее неизмерима.
Достаточно посмотреть стоимость эксплойта нулевого дня на черном рынке, чтобы понять его ценность. В одном случае, обнаруженном исследователями из компании Trustwave, российский хакер требовал 90 000 долларов за локальный Повышение привилегий (LPE) уязвимость в Windows.
Эксплойт работает на всех версиях Windows и позволяет злоумышленнику получить удаленный доступ к системе жертвы и получить доступ к ресурсам, которые в противном случае были бы для него недоступны.
Кроме черного рынка, существуют также легальные компании по приобретению эксплойтов, которые готовы заплатить целое состояние за уязвимость нулевого дня.
Одним из наиболее популярных является Zerodium, который готов заплатить от $10 000 до $2 500 000 в зависимости от популярности и уровня безопасности пострадавшей системы.
Что такое эксплойт нулевого дня
Это атака на системы, использующая уязвимости, которые неизвестны разработчику системы и ее поставщику.
И именно это делает атаки нулевого дня такими разрушительными. С момента обнаружения уязвимости до момента создания исправления у хакеров есть достаточно времени, чтобы посеять хаос в системах.
Кроме того, поскольку уязвимость ранее неизвестна, традиционные антивирусные программы будут неэффективны, поскольку они не распознают атаку как угрозу. Они полагаются на сигнатуры вредоносных программ, которые уже есть в их базе данных, для блокирования атак.
Таким образом, традиционное антивирусное программное обеспечение может защитить вас от атак нулевого дня только после того, как хакер разработал вредоносное ПО нулевого дня и провел первоначальную атаку.
Но к тому времени это уже не будет угрозой нулевого дня, верно??
Итак, что я рекомендую вместо этого? Существует ряд мер, которые вы можете предпринять, чтобы защитить себя от угроз нулевого дня, и мы обсудим их в этом посте.
Все начинается с перехода на антивирус нового поколения, который не полагается на традиционные методы предотвращения атак.
Атака Stuxnet
Пока мы говорим об эксплойтах нулевого дня, как насчет того, чтобы рассказать вам о величайшей и наиболее блестяще выполненной атаке нулевого дня. Атака Stuxnet.
Она была направлена на урановый завод в Иране и была создана для того, чтобы сорвать план Ирана по созданию ядерного оружия. Считается, что червь, использованный в атаке, был создан совместными усилиями правительств США и Израиля и использовал четыре недостатка нулевого дня в операционной системе Microsoft Windows.
Невероятность атаки Stuxnet заключается в том, что она вышла за пределы цифровой сферы и смогла нанести ущерб в физическом мире. По сообщениям, это привело к уничтожению примерно пятой части ядерных центрифуг Ирана.
Кроме того, червь был преднамеренным в своей цели, поскольку он практически не причинил вреда компьютерам, которые не были напрямую подключены к центрифугам.
Дальше интереснее. Ядерные заводы были закрыты от посторонних глаз, то есть они не были напрямую подключены к интернету. Таким образом, злоумышленники выбрали пять иранских организаций, которые были непосредственно связаны с ядерным проектом, и использовали их для распространения червя через зараженные флэш-накопители.
Обнаружены два варианта червя Stuxnet. Первая была использована в 2007 году и смогла остаться незамеченной, пока в 2010 году не была запущена вторая со значительными улучшениями.
Червь Stuxnet был наконец обнаружен, но только потому, что он случайно расширил сферу своей атаки за пределы атомной станции в Натанзе.
Атака Stuxnet является примером того, как уязвимости нулевого дня могут быть использованы нестандартным образом. Это также подчеркивает последствия этих типов атак для корпораций. К ним относятся потеря производительности, простой системы и потеря доверия к организации.
К более традиционным способам использования уязвимостей нулевого дня относятся:
- Для кражи конфиденциальных данных
- Для загрузки вредоносного ПО в системы
- Для получения несанкционированного доступа к системам
- Шлюз для других вредоносных программ
Примеры атак нулевого дня в 2019 году
-
Операция «Волшебник Опиум
Это уязвимость нулевого дня была обнаружена в Google chrome и позволила хакерам получить несанкционированный доступ к пораженной системе.
Первый случай использования уязвимости был обнаружен на корейском новостном сайте компанией Kaspersky security solutions.
Хакеры внедрили на сайт вредоносный код, который определял, используют ли читатели, посещающие сайт, целевую версию google chrome.
-
Эксплойт нулевого дня для Whatsapp
Хакеры смогли использовать уязвимость в Whatsapp что позволяло внедрять шпионские программы в телефон жертвы.
Предполагается, что атака была совершена израильской компанией NSO Group, занимающейся слежкой, и затронула до 1400 человек.
-
Эксплойт нулевого дня в iOS
В феврале 2019 года Бен Хокс, инженер по безопасности в Google, через свой твиттер-аккаунт обнародовал информацию о двух уязвимостях iOS которую использовали хакеры.
Все они были устранены в следующей версии операционной системы вместе с другой уязвимость которая позволяла пользователям шпионить за другими пользователями, просто инициируя групповой звонок facetime.
-
Эксплойт нулевого дня для Android
В конце 2019 года команда проекта «нулевого дня» компании Google обнаружила эксплойт в Android что позволило злоумышленникам получить полный доступ к различным типам телефонов, включая Pixel, Samsung, Xiaomi и Huawei.
Эти атаки также связывали с израильской фирмой NSO, но компания это опровергла.
-
Угрозы нулевого дня для концентраторов умного дома
Два этичных работника выиграли приз в размере $60 000 на ежегодном хакерском конкурсе Pwn20wn после того, как они успешно использовали «нулевой день» уязвимость на Amazon Echo.
Они воспользовались эксплойтом, подключив устройство Echo к вредоносной сети WiFi. В чужих руках этот эксплойт может быть использован для слежки за вами или неосознанного получения контроля над вашими устройствами умного дома.
Посмотрите, как я намеренно привел примеры атак нулевого дня, нацеленных на различные типы систем? Это чтобы доказать вам, что никто не находится в безопасности.
Угроза становится еще более актуальной с ростом популярности IoT-устройств, для которых не предусмотрен простой способ применения патчей. Разработчики уделяют больше внимания функциональности, а не безопасности.
Меры, которые вы можете предпринять для защиты от атак нулевого дня
1. Используйте антивирусные решения нового поколения (NGAV)
В отличие от традиционных решений, NGAV-программы не полагаются на существующие базы данных для обнаружения вредоносного ПО. Они анализируют поведение программы, чтобы определить, хочет ли она нанести вред компьютеру.
Чтобы облегчить вам задачу, я порекомендую два лучших NGAV-решения для использования.
Лучшие антивирусные программы для защиты от атак нулевого дня
Я люблю Bitdefender по нескольким причинам. Во-первых, это одно из немногих решений безопасности, которое было проверено AV-Test, организацией, которая тестирует и оценивает решения безопасности. Многие решения утверждают, что используют передовые методы обнаружения без сигнатур, но это всего лишь маркетинговый трюк.
Bitdefender, с другой стороны, доказано, что он блокирует 99% всех атак нулевого дня и зарегистрировал наименьшее количество ложных срабатываний в нескольких тестах.
Это антивирусное решение также поставляется с функцией анти-эксплойта, которая фокусируется в первую очередь на потенциально уязвимых приложениях и будет активно анализировать любой процесс, действующий на приложение. Если обнаружена какая-либо подозрительная активность, вы можете настроить антивирус на автоматическую блокировку или выбрать вариант уведомления, чтобы вы могли выбрать правильные действия.
Этот антивирус доступен в различных комплектациях в зависимости от того, используете ли вы его в домашней или рабочей среде.
Norton — это полный пакет безопасности, который эффективно защитит вас от всех форм кибератак.
Антивирус использует существующую базу данных вредоносных программ и поведенческий анализ, чтобы защитить вас от известных и неизвестных атак.
Особенно полезно, что Norton поставляется с функцией Proactive Exploit Protection (PEP), которая добавляет дополнительный слой защиты для наиболее уязвимых приложений и систем.
Это еще больше усиливается инструментом Power eraser, который сканирует ваш компьютер и удаляет все приложения высокого риска и вредоносные программы, которые могли заразить ваш компьютер.
Еще одним впечатляющим аспектом Norton является то, что он создает виртуальную среду, в которой может тестировать действия различных файлов. Затем она использует машинное обучение для определения того, является ли файл вредоносным или здоровым.
Антивирус Norton доступен в четырех тарифных планах, и каждый из них предлагает свой набор функциональных возможностей.
2. Windows Defender Exploit Guard
Обычно я не рекомендую программы по умолчанию для Windows, но добавление Exploit Guard в центр безопасности Windows Defender смягчило мою решимость.
Exploit Guard был разделен на четыре основных компонента для защиты от различных типов атак. Первый компонент — сокращение поверхности атаки, который помогает блокировать атаки на основе офисных файлов, скриптов и электронной почты.
В комплект поставки также входит функция сетевой защиты, которая анализирует все исходящие соединения и прерывает любое соединение, назначение которого выглядит подозрительным. Он способен делать это, анализируя имя хоста и IP-адрес получателя.
С другой стороны, эта функция будет работать только в том случае, если вы используете Microsoft Edge для просмотра веб-страниц.
Другой компонент — Controlled Folder Access — предотвращает доступ вредоносных процессов к защищенным папкам и их модификацию.
И наконец, Exploit guard предлагает защиту от эксплойтов, которая работает совместно с антивирусом Windows Defender и сторонними антивирусами, чтобы уменьшить влияние потенциальных эксплойтов на приложения и системы.
Эти четыре компонента способствовали превращению Windows Defender из традиционного антивируса в решение безопасности нового поколения, которое анализирует поведение процесса, чтобы определить, является ли он вредоносным или нет.
Следует признать, что Windows Defender не может занять место высококлассных решений безопасности сторонних производителей. Но это хорошая альтернатива, если у вас фиксированный бюджет.
3. Регулярно обновляйте свои системы
Если патч уже выпущен, это означает, что угроза уже не нулевого дня, поскольку разработчики знают о ее существовании.
Однако это также означает, что уязвимость теперь общедоступна, и любой человек, обладающий необходимыми навыками, может воспользоваться ею.
Чтобы убедиться, что эксплойт не может быть использован против вас, следует применять патч сразу после его выпуска.
Я даже рекомендую настроить вашу систему на активное сканирование на наличие исправлений и автоматическое их применение в случае обнаружения. Это позволит устранить любую задержку между выпуском исправления и его установкой.
