Что такое 0day exploit. Обзор.

SergOishe

Пользователь
4 Июн 2018
292
192
296
0day уязвимость также известная как 0day компьютера, это недостатки или уязвимости программного обеспечения, аппаратного обеспечения или прошивки, неизвестной стороне или сторонам.


0day
0day может относиться к самой уязвимости, или может относиться к эксплойту с 0day, которая использует уязвимость для атаки уязвимых систем.

Как работает 0day эксплоит?
Эксплоит с 0day - это атака, которая использует ранее неизвестную уязвимость безопасности. Атака с 0day также иногда определяется как атака, которая использует уязвимость безопасности в тот же день, когда уязвимость становится общеизвестной. Другими словами, время между обнаружением уязвимости и первой атакой и есть «0day».

Исторически сложилось так, что уязвимости, которые становятся причиной атак 0day, были вызваны небезопасными методами разработки программного обеспечения. Чтобы смягчить эти уязвимости, разработчики должны создавать и выпускать исправления, и пользователи, особенно предприятия, должны устанавливать исправления своевременно.

Когда исследователь обнаруживает уязвимость в безопасности в операционной системе, приложении или любом другом коде или системе, исследователь или их компания часто уведомляют поставщика или производителя об ошибочной системе, поэтому можно предпринять меры для устранения недостатка с помощью патча или предложениями по смягчению последствий от уязвимости.

Исследователи безопасности сотрудничают с поставщиками и обычно соглашаются хранить в тайне все детали уязвимостей с 0day в течение разумного периода времени, прежде чем публиковать эти данные. Например, Google Project Zero следует отраслевым рекомендациям, которые дают поставщикам до 90 дней исправлять уязвимость до того, как исследователь нашедший уязвимость публично раскрывает тот или иной недостаток. Для уязвимостей, которые считаются «критическими», Project Zero дает только 7 дней, чтобы поставщик исправил до публикации уязвимости; если уязвимость активно используется, Project Zero может сократить время для ответа от поставщика до менее чем сем дней.

Обнаружение 0day эксплоита.
Операции с 0day, как правило, очень трудно обнаружить. По определению эти эксплоиты ранее неизвестны, что означает, что инструменты безопасности на основе сигнатур, такие как антивирусное программное обеспечение, а также некоторые системы обнаружения вторжений (IDSes) и системы предотвращения вторжений (IPSes) полностью неэффективны при обнаружении эксплойта, поскольку нет сигнатуры атаки.

Одним из эффективных методов обнаружения атаки с 0day является аналитика поведения пользователей. Большинство объектов, имеющих право доступа к сетям, демонстрируют определенные шаблоны использования и поведения, которые считаются нормальными. Действия, выходящие за пределы обычного объема операций, могут быть индикатором атаки 0day..

Например, сервер веб-приложений обычно отвечает на запросы, которые считаются нормальными для этого приложения; приложение, в свою очередь, отвечает на эти запросы определенным образом. Если обнаружены исходящие пакеты, выходящие из порта, назначенного этому веб-приложению, и эти пакеты не соответствуют тому, что обычно генерируется приложением, это хороший признак того, что идет атака.

Период 0day эксплоита
После того, как 0day уязвимость стала публичной, она далее будет называться как уязвимость n-day (также известная как однодневная уязвимость).

Эти уязвимости в n-day продолжают функционировать и также используются уже после того, как уязвимости были исправлены или исправлены другими поставщиками. Например, кредитное бюро Equifax было взломано в 2017 году злоумышленниками, использующими эксплойт нацеленную на уязвимость веб-инфраструктуры Apache Struts. Атакующие использовали уязвимость в Apache Struts, о которой сообщалось и ранее в этом году, были внесены поправки; Equifax не удалось устранить эту уязвимость, и был взломан злоумышленниками, использующие уязвимость, не прошедшую фильтрацию.

Аналогичным образом, исследователи продолжают находить уязвимость в течение дня в протоколе Block Message Server, использующийся в ОС Windows в течение многих лет. Как только уязвимость с нулевым днем становится публичной, пользователи должны исправить свои системы, но злоумышленники продолжают использовать в Интернете уязвимости до тех пор, пока незащищенные системы остаются уязвимыми.,

Защита от 0day атак.
Слишком сложно защититься от 0day атак, поскольку их так трудно обнаружить. Программное обеспечение для проверки уязвимостей использует сигнатуры проверки вредоносных программ для сравнения подозрительного кода с сигнатурами известных вредоносных программ; когда вредоносное ПО использует 0day эксплойт, который ранее не встречался, такие сканеры уязвимостей не смогут заблокировать вредоносный малварь.

Поскольку 0day-уязвимость, не может быть известна заранее, нет способа защититься от конкретного эксплойта, пока он не будет обнаружен и внесен в сигнатуры антивирусных программ. Однако компании могут снизить уровень риска, сделав ниже следующее:

  • Использовать виртуальные локальные сети для разделения некоторых областей сети или использования выделенных физических или виртуальных сегментов сети, чтобы изолировать чувствительный трафик между серверами.
  • Внедрить IPsec, протокол IP-безопасности, для применения шифрования и аутентификации к сетевому трафику.
  • Применить IDS или IPS. Несмотря на то, что продукты безопасности IDS и IPS на основе сигнатур не могут идентифицировать атаку, они могут предупредить, защищающие ваш компьютер программы, о подозрительной деятельности, которая возникает как побочный эффект атаки.
  • Использовать средство управления доступом к сети, чтобы предотвратить доступ при помощи машин злоумышленников к важнейшим частям корпоративной среды.
  • Блокировать точки беспроводного доступа и используйте схему безопасности, такую как защищенный доступ Wi-Fi 2 для максимальной защиты от атак через беспроводные сети
  • Держать все системы обновленными. Несмотря на то, что исправления не предотвращают 0day атаку, содержание функционала обновленными полноценных сетевых ресурсов может затруднить атакам достичь поставленных целей. Когда 0day патч становится доступным, применить его как можно скорее.
  • Выполнять регулярное сканирование уязвимостей для корпоративных сетей и блокировать обнаруженные уязвимости.
Несмотря на то, что поддержание высокого уровня безопасности информации не предотвратить и не помешает всем 0day атакам, но оно может помочь предотвратить 0day атаки, которые будут совершаться после того, как уязвимости были исправлены.

Примеры 0day атак.
Многократные 0day атаки обычно происходят каждый год. Например, в 2016 году была 0day атака(CVE-2016-4117), которая использовала ранее не обнаруженный недостаток в Adobe Flash Player. Также в 2016 году более 100 организаций попались на ошибке 0day (CVE-2016-0167), которая была использована для повышения привилегии атаки, ориентированной в основном на Microsoft Windows.

В 2017 году была обнаружена 0day уязвимость (CVE-2017-0199), в которой было показано, что документ Microsoft Office в расширенном текстовом формате может инициировать выполнение визуального базового сценария, содержащего команды PowerShell при открытии. Еще один эксплойт 2017 (CVE-2017-0261) использовал инкапсулированный PostScript в качестве платформы для инициации заражения вредоносными программами.

Червь Stuxnet был разрушительным 0day эксплойтом, который был нацелен на системы контроля и сбора данных (SCADA) первые атаки компьютеров, работающих под управлением операционной системы Windows. Stuxnet использовал четыре различные 0day уязвимости в Windows и распространялся через зараженные USB-диски, что позволяло удаленно заражать как системы Windows, так и SCADA, не атакуя их через сеть. Стало общеизвестно, что червь Stuxnet это результат совместных усилий американских и израильских спецслужб по пресечению иранской ядерной программы.