Что такое эксплойт нулевого дня (zero day expoit)?

Эксплойтом нулевого дня называют кибератаки, направленные на уязвимость программного обеспечения, неизвестную поставщику программного обеспечения, или антивирусное программное обеспечение, назначенное для защиты системы. Злоумышленники могут выявить такие уязвимости нулевого дня, разработать эксплойт и использовать его для запуска атаки. Атаки нулевого дня с высокой вероятностью проникнут в целевую сеть, поскольку защиты от новой угрозы нет (поскольку с момента обнаружения уязвимости сторонами безопасности прошло «ноль дней»).

Это превращает атаки нулевого дня в серьезные угрозы безопасности

Как правило, атаки нулевого дня используют веб-браузеры и вложения электронной почты для использования уязвимостей в конкретном приложении, которое открывает вложение, или в файлах определенных типов — Word, PDF, Excel, Flash и т. д. Как только вредоносное ПО нулевого дня попадает в систему, он может быстро распространиться по всем целевым областям.

Уязвимости нулевого дня бывают разных форм. Злоумышленники могут воспользоваться сломанными алгоритмами, плохой защитой паролей, неисправным брандмауэром веб-приложений, отсутствием авторизации, незащищенными компонентами с открытым исходным кодом и многим другим, чтобы инициировать атаку с помощью SQL-инъекций.

Если атака окажется успешной, она может поставить под угрозу большее количество программного обеспечения в целевой сети, украсть конфиденциальную информацию, получить выкуп за данные, попытаться украсть личные данные, повредить операционную систему компании и многое другое.

Типичные цели для эксплойтов нулевого дня

Уязвимости нулевого дня представляют ценность для различных сторон. Вот почему существует рынок, на котором организации нанимают исследователей для обнаружения уязвимостей. Помимо этого «белого рынка», существуют черный и серый рынки, на которых злоумышленники могут торговать подробностями об уязвимостях нулевого дня без публичного раскрытия.

Типичными целями эксплойтов нулевого дня являются крупные организации, правительственные учреждения, лица с критически важным доступом к файлам (например, интеллектуальной собственности), аппаратным устройствам, Интернету вещей (IoT), прошивкам, домашним пользователям, которые используют уязвимую систему (в случае заражения, они могут стать винтиками ботнета) и многое другое. Иногда правительственные учреждения используют эксплойты нулевого дня для нападения на страны, организации или отдельных лиц, которые угрожают национальной безопасности.

Что такое уязвимости нулевого дня?

Обычно, когда человек (или группа безопасности) обнаруживает программное обеспечение, содержащее потенциальные уязвимости безопасности, он предупреждает поставщиков программного обеспечения, чтобы можно было выпустить исправление для устранения уязвимости.

При наличии достаточного количества времени разработчики программного обеспечения могут устранить проблему и распространить исправления (или обновления программного обеспечения), чтобы все пользователи программного обеспечения могли применить их как можно скорее. Если злоумышленники узнают об уязвимости, разработка эксплойта и запуск атаки могут занять некоторое время. Тем временем, будем надеяться, патч уже будет доступен и развернут.

Как работают атаки нулевого дня?

Хакеры могут первыми обнаружить слабое звено в программе. Поскольку поставщики и команды безопасности еще не знают об уязвимости, у них практически нет дней на то, чтобы построить защиту от целенаправленной атаки. Компании, уязвимые для таких эксплойтов, могут инициировать процедуры раннего обнаружения для защиты своих сетей.

Специализированные исследователи безопасности часто пытаются сотрудничать с поставщиками программного обеспечения и обычно соглашаются не раскрывать подробности об уязвимостях нулевого дня в течение длительного периода, прежде чем публиковать их.

Как только уязвимость нулевого дня становится публичной, она называется уязвимостью «n-day» или «one-day».

Примеры атак нулевого дня

Ниже приведены несколько примеров атак нулевого дня за последние годы.

Stuxnet

Вредоносный компьютерный червь нацелен на уязвимости нулевого дня в системах наблюдения и сбора данных (SCADA), сначала проникнув в операционные системы Windows. Stuxnet использовал четыре уязвимости нулевого дня в Windows для распространения через поврежденные USB-накопители. Таким образом, червь заразил как Windows, так и SCADA-системы, не прибегая к сетевой атаке.

Stuxnet поразил компьютеры, используемые для управления производством в Иране, Индии и Индонезии. Предполагается, что основной целью были иранские заводы по обогащению урана. Удар по ним был направлен на то, чтобы сорвать ядерную программу страны. После заражения программируемые логические контроллеры (ПЛК) на зараженных компьютерах выполняли неожиданные команды на оборудовании сборочной линии, вызывая сбой в работе центрифуг, используемых для производства ядерного материала.

Атака нулевого дня Sony

Sony Pictures стала жертвой эксплойта нулевого дня в конце 2014 года. Эксплойт затронул сеть Sony, что привело к утечке корпоративных данных на сайтах обмена файлами.

Утечка информации включала подробности предстоящих фильмов, бизнес-стратегии и личные адреса электронной почты топ-менеджеров Sony.

Атаки нулевого дня на Adobe Flash Player

В 2016 году атака нулевого дня использовала ранее не обнаруженную уязвимость (CVE-2016-4117) в Adobe Flash Player. Более того, в 2016 году более 100 организаций также пострадали от эксплойта нулевого дня (CVE-2016-0167), который позволил повысить привилегии атак, нацеленных на Microsoft Windows.

В 2011 году злоумышленники использовали неисправленную уязвимость в Adobe Flash Player, чтобы получить доступ к сети охранной компании RSA. Злоумышленники отправили вложения электронной почты с электронными таблицами Excel нескольким сотрудникам RSA. Документы Excel содержали встроенный Flash-файл для использования уязвимости нулевого дня.

Открыв одно из поврежденных вложений, сотрудник по незнанию активировал установку инструмента удаленного администрирования Poison Ivy, который взял под контроль зараженный компьютер. Проникнув в сеть RSA, хакеры начали искать, копировать и передавать конфиденциальную информацию на внешние серверы, находящиеся под их контролем.

Позже RSA признала, что среди украденных данных была конфиденциальная информация, касающаяся инструментов двухфакторной аутентификации SecurID, используемых во всем мире для защиты критически важных рабочих нагрузок и устройств.

Атаки нулевого дня на Microsoft Office

В 2017 году уязвимость нулевого дня показала, что документы Microsoft Office в «форматированном текстовом формате» могут обеспечить выполнение сценария Visual Basic, содержащего команды PowerShell при открытии. (CVE-2017-0199)

Другой эксплойт нулевого дня 2017 года (CVE-2017-0261) содержал инкапсулированный PostScript, предоставляющий платформу для инициирования заражения вредоносным ПО.

Операция Аврора

В 2009 году эксплойт нулевого дня был нацелен на несколько крупных предприятий — Google, Yahoo, Adobe Systems и Dow Chemical — с целью найти и украсть интеллектуальную собственность (ИС). Уязвимость нулевого дня существовала в Internet Explorer и Perforce (последний Google использовал для управления своим исходным кодом).

Как обнаружить атаку нулевого дня

Атаку нулевого дня сложно обнаружить. Антивирусное программное обеспечение, системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) не могут точно определить сигнатуру угрозы, поскольку таковая еще не существует.

Оптимальный способ обнаружения угроз нулевого дня — анализ поведения пользователей. Большинство объектов, уполномоченных взаимодействовать с вашей сетью, обычно демонстрируют определенные модели использования и поведения, которые считаются «нормальным» поведением. Действия сети, выходящие за рамки обычных возможностей, могут указывать на угрозу нулевого дня.

Компании, атакованные эксплойтом нулевого дня, часто обнаруживают неожиданный трафик или подозрительные попытки сканирования со стороны службы или клиента. Помимо поведенческого анализа, организации также могут обнаружить угрозу нулевого дня с помощью следующих средств:

Существующая база данных вредоносных программ и статистика поведения вредоносных программ в качестве справочного материала. Однако даже если эти базы данных обновляются в режиме реального времени, эксплойты нулевого дня используют недавно обнаруженные злоумышленниками уязвимости. Таким образом, по определению существующая база данных ограничена в обнаружении неизвестных угроз.
Машинное обучение все чаще используется для обнаружения ранее записанной информации об эксплойтах, чтобы представить основу для безопасного поведения системы на основе прошлых и текущих данных взаимодействия системы. Поскольку организации собирают все больше и больше данных, этот подход может более надежно обнаруживать угрозы нулевого дня.
Поскольку эксплуатация уязвимостей — это постоянно развивающаяся область, рекомендуется использовать гибридный подход к обнаружению для защиты организаций и их ценных бизнес-данных.

Как защититься от эксплойтов уязвимостей нулевого дня

Поскольку эксплойты нулевого дня очень сложно обнаружить, защититься от них непросто. Инструменты сканирования уязвимостей программного обеспечения используют средства проверки сигнатур вредоносных программ для сравнения подозрительного кода с известными сигнатурами вредоносных программ. Когда атака нулевого дня использует эксплойт нулевого дня, который ранее не встречался, сканирование уязвимостей не сможет обнаружить и заблокировать вредоносный код.

Поскольку атаки нулевого дня используют неизвестный недостаток безопасности, компании не могут знать конкретный эксплойт до того, как он произойдет. Тем не менее, существует несколько методов снижения подверженности рискам и защиты компаний от новых угроз.

Используйте виртуальные локальные сети

Виртуальные локальные сети (VLAN) могут разделять определенные сетевые области или использовать физические или виртуальные сегменты сети для изоляции важного трафика между серверами компании.

Таким образом, даже если злоумышленники взломают защиту компании и получат доступ к сети, они не смогут украсть данные из критически важных для бизнеса областей сети.

Поддерживайте все системы в актуальном состоянии

Адекватное управление исправлениями имеет решающее значение для организаций любого размера.

Разработчики программного обеспечения выпустят исправления безопасности, как только узнают о потенциальной угрозе эксплойта. Применение патчей нулевого дня и n-day как можно скорее не устранит неизвестные уязвимости программного обеспечения, но затруднит успех атаки нулевого дня.

Внедрить шифрование сетевого трафика

Невозможно обнаружить все уязвимости безопасности до того, как произойдет эксплойт нулевого дня. Однако компании могут использовать протокол IP-безопасности (IPsec) для шифрования и аутентификации критического сетевого трафика.

С другой стороны, отсутствие шифрования данных может сделать всю информацию в сети компании уязвимой, привести к длительным простоям и серьезно повлиять на доходы.

Развертывание IPS или IDS

IPS и IDS на основе сигнатур могут быть не в состоянии обнаружить атаку и противостоять ей самостоятельно. Тем не менее, они могут предупредить службы безопасности о подозрительных входящих файлах как побочный эффект продолжающейся атаки.

Внедрить NAC

Несанкционированные машины могут получить доступ к критическим областям среды компании и поставить под угрозу устройства по всей сети. Контроль доступа к сети (NAC) отрицает отсутствие авторизации, позволяя только авторизованным людям исследовать указанные области.

Проводите регулярные проверки и обучайте сотрудников

Регулярное сканирование уязвимостей во всех корпоративных сетях имеет решающее значение для обнаружения уязвимостей и их блокировки до того, как злоумышленники смогут ими воспользоваться.

Более того, многие эксплойты нулевого дня основаны на человеческой ошибке. Обучение сотрудников правилам гигиены кибербезопасности обеспечит их защиту в Интернете и предотвратит случайное использование эксплойтов нулевого дня и других вредоносных угроз.

Используйте комплексное решение по кибербезопасности

Специальное программное обеспечение для обеспечения кибербезопасности, такое как Acronis Cyber ​​Protect, может обнаруживать, останавливать и блокировать вредоносную активность, а также быстро восстанавливать любые затронутые файлы. Более того, вы можете использовать Acronis Backup для защиты файлов и документов в режиме реального времени, автоматизации критически важных исправлений программного обеспечения и создания нескольких полных резервных копий системы, чтобы обеспечить полное восстановление даже в случае атаки нулевого дня.