Нөлдік күндік эксплойт – бағдарламалық құрал жеткізушісіне немесе жүйені қорғау үшін тағайындалған антивирустық бағдарламалық құралға белгісіз бағдарламалық жасақтаманың осалдығына бағытталған кибершабуыл. Шабуыл жасаушылар осындай нөлдік күндік осалдықтарды анықтап, эксплуатацияны дамыта алады және оны шабуылды бастау үшін пайдалана алады. Нөлдік күндік шабуылдардың мақсатты желіге ену ықтималдығы жоғары, өйткені жаңа қауіптен қорғаныс жоқ (қауіпсіздік тараптары осалдықты анықтағаннан бері «нөлдік күн» өтті).
Бұл нөлдік күндік шабуылдарды маңызды қауіпсіздік қатерлеріне айналдырады
Әдетте, нөлдік күндік шабуылдар тіркемені ашатын арнайы қолданбадағы немесе кейбір файлдар түріндегі – Word, PDF, Excel, Flash, т.б. осалдықтарды пайдалану үшін веб-шолғыштар мен электрондық пошта тіркемелерін пайдаланады. Нөлдік күндік зиянды бағдарлама компьютерге енген кезде жүйе, ол барлық мақсатты аймақтарға тез таралады.
Нөлдік күндік осалдықтар көптеген нысандарда келеді. Шабуылшылар SQL инъекциялық шабуылын бастау үшін бұзылған алгоритмдерді, нашар құпия сөз қауіпсіздігін, ақаулы веб-бағдарлама брандмауэрлерін, авторизацияның жоқтығын, қауіпті ашық бастапқы бастапқы компоненттерді және т.б. артықшылықтарды пайдалана алады.
Шабуыл сәтті болса, ол мақсатты желідегі қосымша бағдарламалық құралды бұзуы, құпия ақпаратты ұрлауы, деректер үшін төлемді талап ету, жеке деректерді ұрлауға әрекет жасау, компанияның операциялық жүйесін зақымдауы және т.б. болуы мүмкін.
Нөлдік күндік эксплуатацияларға арналған типтік мақсаттар
Нөлдік күндік осалдықтар әртүрлі тараптарға құндылық береді. Сондықтан ұйымдар осалдықтарды табу үшін зерттеушілерді жалдайтын нарық бар. Осы ақ нарыққа қосымша, қара және сұр нарықтар бар, онда шабуылдаушылар нөлдік күндік осалдықтардың егжей-тегжейлерін көпшілікке жарияламай саудалай алады.
Нөлдік күндік эксплойттердің типтік мақсаттарына ірі ұйымдар, мемлекеттік органдар, файлдарға (зияткерлік меншік сияқты), аппараттық құрылғыларға, Интернет заттарына (IoT), микробағдарламаға, осал жүйені пайдаланатын үй пайдаланушылары (егер жұқтырған болса,) сыни қатынасы бар тұлғалар жатады. олар ботнеттегі тістерге айналуы мүмкін) және т.б. Кейде мемлекеттік органдар ұлттық қауіпсіздікке қатер төндіретін елдерге, ұйымдарға немесе жеке тұлғаларға шабуыл жасау үшін нөлдік күнді пайдаланады.
Нөлдік күндік осалдықтар дегеніміз не?
Әдетте, адам (немесе қауіпсіздік тобы) ықтимал қауіпсіздік осалдықтары бар бағдарламалық құралды тапқанда, олар бағдарламалық құрал жеткізушілеріне осалдықты жою үшін патч шығарылуы үшін ескертеді.
Жеткілікті уақытты ескере отырып, бағдарламалық жасақтаманы әзірлеушілер мәселені түзете алады және барлық бағдарламалық жасақтама пайдаланушылары оларды мүмкіндігінше тезірек қолдана алатындай түзетулерді (немесе бағдарламалық құрал жаңартуларын) тарата алады. Егер шабуылдаушылар осалдық туралы білсе, эксплуатацияны әзірлеуге және шабуылды бастауға біраз уақыт кетуі мүмкін. Әзірше, патч қол жетімді және орналастырылады деп үміттенеміз.
Нөлдік күндік шабуылдар қалай жұмыс істейді?
Хакерлер бағдарламадағы әлсіз сілтемені бірінші болып табуы мүмкін. Жеткізушілер мен қауіпсіздік топтары осалдық туралы әлі білмегендіктен, олардың мақсатты шабуылдан қорғауды құруға іс жүзінде күндері жоқ. Мұндай эксплойттерге осал компаниялар желілерін қорғау үшін ерте анықтау процедураларын бастай алады.
Мамандандырылған қауіпсіздік зерттеушілері көбінесе бағдарламалық жасақтаманы жеткізушілермен жұмыс істеуге тырысады және әдетте нөлдік күндік осалдықтар туралы мәліметтерді жарияламас бұрын ұзақ уақыт бойы жарияламауға келіседі.
Нөлдік күндік осалдық жалпыға жарияланғаннан кейін ол «n-күн» немесе «бір күндік» осалдық деп аталады.
Нөлдік күндік шабуылдардың мысалдары
Төменде соңғы жылдардағы нөлдік күндік шабуылдардың бірнеше мысалдары берілген.
Stuxnet
Зиянды компьютер құрты алдымен Windows операциялық жүйелеріне ену арқылы бақылау және деректерді жинау (SCADA) жүйелеріндегі нөлдік күндік осалдықтарға бағытталған. Stuxnet зақымдалған USB дискілері арқылы тарату үшін Windows жүйесіндегі төрт нөл күндік осалдықты пайдаланды. Осылайша, құрт желілік шабуылға бармай-ақ Windows және SCADA жүйелерін жұқтырды.
Stuxnet Иран, Үндістан және Индонезиядағы өндірісті бақылау үшін пайдаланылған компьютерлерге әсер етті. Негізгі нысана Иранның уран байыту зауыттары болды деген болжам бар. Оларға қарсы ереуіл елдің ядролық бағдарламасын бұзуға бағытталған. Вирус жұққаннан кейін, вирус жұққан компьютерлердегі бағдарламаланатын логикалық контроллерлер (PLC) конвейер жабдығында күтпеген командаларды орындап, ядролық материал өндіру үшін пайдаланылатын центрифугалардың дұрыс жұмыс істемеуіне себеп болды.
Sony нөлдік күндік шабуыл
Sony Pictures 2014 жылдың соңында нөл күндік эксплуатацияның құрбаны болды. Эксплойт Sony желісіне әсер етіп, файлдарды ортақ пайдалану сайттарында корпоративтік деректердің ағып кетуіне әкелді.
Жарияланған ақпаратта алдағы фильмдер туралы мәліметтер, бизнес стратегиялары және Sony басшыларының жеке электрондық пошта мекенжайлары бар.
Adobe Flash Player-ге нөлдік күндік шабуылдар
2016 жылы нөлдік күндік шабуыл Adobe Flash Player бағдарламасында бұрын анықталмаған осалдықты (CVE-2016-4117) пайдаланды. Сонымен қатар, 2016 жылы 100-ден астам ұйым нөлдік күндік эксплойтқа (CVE-2016-0167) әсер етті, бұл Microsoft Windows жүйесіне бағытталған артықшылықты күшейту шабуылдарына жол берді.
2011 жылы шабуылдаушылар RSA қауіпсіздік компаниясының желісіне қол жеткізу үшін Adobe Flash Player бағдарламасында өңделмеген осалдықты пайдаланды. Шабуылшылар бірнеше RSA қызметкерлеріне Excel электрондық кестелері бар электрондық пошта тіркемелерін жіберді. Excel құжаттарында нөлдік күндік осалдықты пайдалану үшін енгізілген Flash файлы болды.
Бүлінген қосымшалардың бірін ашу арқылы қызметкер зарарланған компьютерді бақылауға алған Poison Ivy қашықтан басқару құралын орнатуды білмей белсендірді. RSA желісіне еніп, хакерлер өздерінің бақылауындағы сыртқы серверлерге құпия ақпаратты іздеуді, көшіруді және жіберуді бастады.
Кейінірек RSA ұрланған деректерге маңызды жұмыс жүктемелері мен құрылғыларды қорғау үшін бүкіл әлемде қолданылатын SecurID екі факторлы аутентификация құралдарына қатысты құпия ақпаратты қамтитынын мойындады.
Microsoft Office жүйесіне нөлдік күндік шабуылдар
2017 жылы нөлдік күндік осалдық «пішімделген мәтін пішіміндегі» Microsoft Office құжаттары ашылған кезде PowerShell пәрмендері бар Visual Basic сценарийін орындауға мүмкіндік беретінін анықтады. (CVE-2017-0199)
2017 жылғы тағы бір нөл күндік эксплойт (CVE-2017-0261) зиянды бағдарламаларды жұқтыруды бастау үшін платформаны қамтамасыз ететін инкапсулирленген PostScript қамтиды.
«Аврора» операциясы
2009 жылы нөл күндік эксплуатация зияткерлік меншікті (IP) табу және ұрлау мақсатымен бірнеше ірі кәсіпорындарға – Google, Yahoo, Adobe Systems және Dow Chemical-ға бағытталған. Нөлдік күндік осалдық Internet Explorer және Perforce жүйелерінде болған (соңғы Google бастапқы кодын басқару үшін пайдаланған).
Нөлдік күндік шабуылды қалай анықтауға болады
Нөлдік күндік шабуылды анықтау қиын. Антивирустық бағдарламалық құрал, шабуылды анықтау жүйелері (IDS) және басып кіруді болдырмау жүйелері (IPS) қауіп қолтаңбасын дәл анықтай алмайды, себебі біреуі әлі жоқ.
Нөлдік күндік қауіптерді анықтаудың ең жақсы жолы - пайдаланушы әрекетін талдау. Желімен өзара әрекеттесуге рұқсаты бар көптеген нысандар әдетте "қалыпты" әрекет деп саналатын белгілі бір пайдалану және мінез-құлық үлгілерін көрсетеді. Қалыпты мүмкіндіктерден тыс желі әрекеті нөлдік күндік қауіпті көрсетуі мүмкін.
Нөлдік күндік эксплойт шабуылына ұшыраған компаниялар қызметтен немесе клиенттен күтпеген трафикті немесе күдікті сканерлеу әрекеттерін жиі табады. Мінез-құлықты талдаудан басқа, ұйымдар келесі құралдар арқылы нөлдік күндік қауіптерді де анықтай алады:
Анықтама үшін бар зиянды бағдарлама дерекқоры және зиянды бағдарлама әрекетінің статистикасы. Дегенмен, бұл дерекқорлар нақты уақыт режимінде жаңартылса да, нөлдік күндік эксплуатациялар шабуылдаушылар жақында ашқан осалдықтарды пайдаланады. Осылайша, анықтамасы бойынша бар дерекқор белгісіз қауіптерді анықтауда шектелген.
Машиналық оқыту бұрынғы және ағымдағы жүйенің өзара әрекеттесу деректеріне негізделген қауіпсіз жүйе әрекетінің негізін қамтамасыз ету үшін бұрын жазылған эксплуатациялық ақпаратты табу үшін көбірек пайдаланылады. Ұйымдар көбірек деректер жинаған сайын, бұл әдіс нөлдік күндік қауіптерді сенімдірек анықтай алады.
Осалдықты пайдалану үнемі дамып отыратын сала болғандықтан, ұйымдар мен олардың құнды бизнес деректерін қорғау үшін гибридті анықтау тәсілін пайдалану ұсынылады.
Өзіңізді нөлдік күндік эксплуатациялардан қалай қорғауға болады
Нөлдік күндік эксплуаттарды анықтау өте қиын болғандықтан, олардан қорғау қиын. Бағдарламалық құралдың осалдығын сканерлеу құралдары күдікті кодты белгілі зиянды бағдарлама қолтаңбаларымен салыстыру үшін зиянды бағдарлама қолтаңбасын тексеру құралдарын пайдаланады. Нөлдік күндік шабуыл бұрын көрмеген нөлдік күндік эксплуатацияны пайдаланғанда, осалдықты сканерлеу зиянды кодты анықтап, блоктай алмайды.
Нөлдік күндік шабуылдар белгісіз қауіпсіздік кемшілігін пайдаланатындықтан, компаниялар белгілі бір эксплойт пайда болмай тұрып біле алмайды. Дегенмен, тәуекелді азайтудың және компанияларды жаңа қауіптерден қорғаудың бірнеше әдістері бар.
VLAN желілерін пайдаланыңыз
Виртуалды жергілікті желілер (VLAN) белгілі бір желі аймақтарын бөле алады немесе компания серверлері арасындағы сезімтал трафикті оқшаулау үшін физикалық немесе виртуалды желі сегменттерін пайдалана алады.
Осылайша, шабуылдаушылар компанияның қауіпсіздігін бұзып, желіге қол жеткізсе де, олар желінің бизнес үшін маңызды аймақтарынан деректерді ұрлай алмайды.
Барлық жүйелерді жаңартып отырыңыз
Барлық өлшемдегі ұйымдар үшін патчтарды барабар басқару маңызды.
Бағдарламалық жасақтаманы әзірлеушілер ықтимал эксплойт туралы білген бойда қауіпсіздік патчтарын шығарады. Нөл күндік және n-күндік патчтарды мүмкіндігінше жылдам қолдану бағдарламалық жасақтаманың белгісіз осалдықтарын жоймайды, бірақ нөлдік күндік шабуылдың сәтті болуын қиындатады.
Желілік трафикті шифрлауды енгізу
Қауіпсіздіктің барлық осалдықтарын нөлдік күндік эксплойт пайда болғанға дейін табу мүмкін емес. Дегенмен, компаниялар маңызды желілік трафикті шифрлау және аутентификациялау үшін Internet Protocol Security (IPsec) пайдалана алады.
Екінші жағынан, деректерді шифрлаудың болмауы компания желісіндегі барлық ақпаратты осал етіп, ұзақ уақыт тоқтап қалуға және кіріске айтарлықтай әсер етуі мүмкін.
IPS немесе IDS қолдану
Қолтаңбаға негізделген IPS және IDS шабуылды өздігінен анықтап, оған қарсы тұра алмауы мүмкін. Дегенмен, олар ағымдағы шабуылдың жанама әсері ретінде қауіпсіздік топтарын күдікті кіріс файлдары туралы ескерте алады.
NAC іске асыру
Рұқсат етілмеген машиналар компания ортасының маңызды аймақтарына қол жеткізе алады және бүкіл желідегі құрылғыларды бұза алады. Желіге қол жеткізуді басқару (NAC) авторизацияның жоқтығын жоққа шығарады, тек рұқсаты бар адамдарға көрсетілген аумақтарды зерттеуге мүмкіндік береді.
Тұрақты аудиттер жүргізіп, қызметкерлерді оқытыңыз
Барлық корпоративтік желілерде осалдықтарды жүйелі түрде сканерлеу осалдықтарды анықтау және шабуылдаушылар оларды пайдалана алмас бұрын оларды блоктау үшін өте маңызды.
Оның үстіне көптеген нөл күндік эксплуатациялар адам қателігіне негізделген. Қызметкерлерді жақсы киберқауіпсіздік гигиенасына үйрету оларды желіде қорғайды және нөлдік күндік эксплуатациялар мен басқа да зиянды қауіптердің кездейсоқ пайдаланылуын болдырмайды.
Киберқауіпсіздіктің кешенді шешімін пайдаланыңыз
Acronis Cyber Protect сияқты арнайы киберқауіпсіздік бағдарламалық құралы зиянды әрекетті анықтап, тоқтатып, блоктай алады және кез келген зардап шеккен файлдарды жылдам қалпына келтіре алады. Сонымен қатар, нақты уақыт режимінде файлдар мен құжаттарды қорғау, маңызды бағдарламалық жасақтама патчтарын автоматтандыру және тіпті нөл күндік шабуыл жағдайында толық қалпына келтіруді қамтамасыз ету үшін бірнеше толық жүйе сақтық көшірмелерін жасау үшін Acronis сақтық көшірмесін пайдалануға болады.
