Niedawno dowiedzieliśmy się, jak Wannacry, a ransomware które dotknęły tysiące użytkowników i setki firm, postawiły wszystkie poziomy administracji IT na świecie w stan pogotowia dzięki szybkiemu rozprzestrzenianiu się i licznym ukrytym zagrożeniom.
I to właśnie tak, jak Wannacry rozprzestrzeniło się i wpłynęło na dane wielu osób domagających się zapłaty za swoje „ratować„Ważne jest, abyśmy wiedzieli, że ten typ wirusa nie jest jedynym, który wpływa na całe bezpieczeństwo i prywatność użytkowników, dlatego Solvetic stara się analizować te zagrożenia i informować, jak je poznać i podejmować działania, aby ich uniknąć.
Ochrona przed tego typu zagrożeniami jest ważna, gdy chcemy i potrzebujemy, aby nasze informacje były bezpieczne. Pierwszą rzeczą, którą należy wiedzieć, jest to, czym są te wirusy i ataki, a następnie jakie narzędzia mamy do radzenia sobie z nimi.
Dlatego dzisiaj porozmawiamy szczegółowo o nowym zagrożeniu o nazwie Zero dni (Dzień zero).
Czym naprawdę jest Zero DaysChociaż technicznie Zero Days nie będzie miało takiego samego wpływu jak Wannacry, zarówno pod względem prywatności, jak i ekonomii, może znacząco wpłynąć na wydajność i wiele parametrów oraz dane użytkownika i, w przeciwieństwie do Wannacry, które atakuje systemy operacyjne Windows, może mieć wpływ na systemy Windows, Linux lub Mac system operacyjny.
Zero Day jest zaliczany do „grupy” ataków zwanych Zero-Day Threats i polega w zasadzie na atakowaniu częstej luki w systemie operacyjnym, która nie została jeszcze szczegółowo opisana przez firmę lub programistę i może mieć wpływ na dane, aplikacje , sprzęt sieciowy lub system operacyjny.
Termin Zero dni lub zero dni wskazuje, że twórcy systemu mają zero dni, nic na rozwiązanie problemu i że każda minuta poświęcona na szukanie rozwiązania tego wirusa może zaszkodzić wielu użytkownikom na całym świecie.
Ten rodzaj ataku jest również nazywany Wykorzystywanie Dni Zero i może przybierać różne formy, takie jak złośliwe oprogramowanie, robaki, trojany i inne rodzaje zagrożeń, a atakujący wykorzystują te luki w zabezpieczeniach, aby przeprowadzić swój masowy atak.
Niestety w przypadku tego nowego ataku osoba atakująca wykorzystuje lukę w zabezpieczeniach, zanim pojawi się poprawka, która ją naprawi.
1. Jak działa wirus Zero Days
Wspomnieliśmy, że wirusy te wykorzystują luki w zabezpieczeniach, aby przeprowadzić swój atak, ale istnieje kilka sposobów, w jakie mogą to osiągnąć i są to w zasadzie następujące:
Wykorzystywanie kodów exploitów wykorzystujących znalezione luki w zabezpieczeniach, a tym samym wszczepiających wirusy lub złośliwe oprogramowanie na docelowy komputer.
Wykorzystanie środków, takich jak e-maile lub sieci społecznościowe, przez użytkowników z niewielką wiedzą do uzyskania dostępu do stron internetowych stworzonych przez atakujących, w ten sposób szkodliwy kod zostanie pobrany i wykonany na komputerze ofiary.
Kroki związane z atakiem Zero Days składają się z następujących elementów:
Skanowanie w poszukiwaniu słabych punktówNa tym etapie atakujący wykorzystują kody do przeprowadzenia szczegółowej analizy w poszukiwaniu luk bezpieczeństwa w systemach, a w szczególnych przypadkach atakujący sprzedają lub kupują Zero Days Exploit.
Znaleziono błędyW tym momencie atakujący znajdują lukę w zabezpieczeniach, która nie została jeszcze wykryta przez twórców systemu.
Tworzenie koduPo wykryciu luki atakujący przystępują do tworzenia kodu eksploatacji lub programu Zero Days Exploit.
Infiltracja systemuAtakujący uzyskują dostęp do systemu niepostrzeżenie przez programistów.
Uruchamianie wirusa Zero DayGdy atakujący uzyskają dostęp do systemu, będą mogli hostować wirusa opracowanego w celu wpłynięcia na jego wydajność na komputerze.
W zasadzie tak działa Zero Days, a najgorsze jest to, że wiele razy luki są wykrywane przez atakujących, a nie przez programistów, więc w tym momencie mają przewagę, ponieważ te wady mogą zostać sprzedane innym atakującym w złych celach.
Oprócz tej fazy atak wirusa Zero Days ma okno czasowe, w którym może siać spustoszenie i awarie na setkach lub tysiącach komputerów i użytkowników, ponieważ to okno czasowe obejmuje okres, w którym zagrożenie zostało opublikowane, a okres w którym wydane są dla niego poprawki bezpieczeństwa. Okres ten obejmuje:
- Czas publikacji atak dla użytkowników.
- Wykrywanie i Szczegółowa analiza podatności.
- Rozwój korekta za niepowodzenie.
- Oficjalna publikacja skrawek asekuracyjny.
- Wydanie, dystrybucja i instalacja poprawki na komputerach, których dotyczy problem.
Może to zająć minuty, godziny lub dni, w których atak zostanie rozprzestrzeniony, wykorzystując ten czas.
2. Rodzaje ataków dnia zerowego
Istnieje kilka rodzajów ataków, o których możemy wiedzieć, aby później podjąć niezbędne środki bezpieczeństwa, niektóre z tych ataków to:
Złośliwe oprogramowanie dnia zerowegoAtak ten odnosi się do złośliwego kodu stworzonego przez atakującego w celu znalezienia nieodnalezionych jeszcze luk w zabezpieczeniach. Istnieje kilka sposobów rozprzestrzeniania się tego ataku, w tym załączniki, spam, phishing, fałszywe strony internetowe itp.
Trojan zero dniChociaż nie są one tak powszechne, pozwalają na umieszczenie w wirusie znacznie większej liczby wirusów iw ten sposób system docelowy może zostać zaatakowany i naruszony.
Robak Zero DaysTen rodzaj ataku ma możliwość usuwania plików, kradzieży haseł, rozprzestrzeniania się w sieci, a tego typu atak nie został jeszcze zidentyfikowany przez twórców zabezpieczeń, stąd nazwa zero days.
3. Jak rozpoznać atak Zero Days
Istnieje kilka technik, które umożliwiają wykrycie ataku Zero Days na czas w celu podjęcia niezbędnych środków bezpieczeństwa. Techniki te obejmują:
Techniki oparte na sygnaturachTen rodzaj wykrywania zależy od sygnatur znanych exploitów.
Techniki statystyczneTen rodzaj techniki opiera się na profilach ataków, które miały miejsce w poprzednich okresach i pozwala zobaczyć trend.
Technika oparta na zachowaniuTen rodzaj techniki opiera się na analizie działań między exploitem a celem.
Technika hybrydowaPrzy tego typu technice możemy korzystać z różnych metod analizy.
4. Statystyki zerowych dni
Poniżej mamy następujące statystyki, które pokazują, jak Zero Days stopniowo zwiększało swój zakres i poziom ryzyka dla użytkowników, niektóre istotne dane to:
- 35% złośliwego oprogramowania na całym świecie to Zero Days.
- Jednym z głównych ataków Zero Days jest użycie JavaScript.
- 73% ataków za pośrednictwem stron internetowych odbywa się przy użyciu pobierania sterowników.
- Większość ataków trojana Zero Days jest przeprowadzana w środowiskach Linux.
- Istnieje ponad 18,4 miliona odmian złośliwego oprogramowania Zero Days.
- Złośliwe oprogramowanie oparte na makrach zyskuje na popularności.
- Główny atak sieciowy o nazwie Wscript.shell koncentrował się na ataku na Niemcy.
Wskazaliśmy, że w kilku przypadkach exploity Zero Days mogą zostać sprzedane innym atakującym lub firmom, aby nie ujawnić luki i stracić wiarygodność, cóż, jest to lista generowana przez Forbes, na której widzimy cenę, jaką Exploit Zero Days może mieć na rynku:
- Mac OS X: Od 20 000 USD do 50 000 USD.
- Adobe Reader: Od 5000 USD do 30 000 USD.
- Android: Od 30 000 USD do 60 000 USD.
- Flash lub Java: Od 40 000 USD do 100 000 USD.
- Okna: Od 60 000 USD do 120 000 USD.
- iOS: Od 100 000 USD do 250 000 USD.
- Microsoft Word: Od 50 000 USD do 100 000 USD.
Możemy zobaczyć, jak ceny różnią się w zależności od poziomu bezpieczeństwa każdej aplikacji lub systemu operacyjnego.
5. Lista luk w zabezpieczeniach dni zerowych
Firma Symantec, znana ze swoich technik implementacji przeciwko różnego rodzaju zagrożeniom, opublikowała listę z najistotniejszymi lukami Zero Days według kategorii. Każde łącze załączamy, aby dowiedzieć się nieco więcej o jego działaniu:
Adobe / Flash
- Luka umożliwiająca zdalne wykonanie kodu - CVE-2014-0502
- Operacja Chciwy Wonk (CVE-2014-0498))
- Operacja Pionowa Burza (CVE-2015-7645)
- Luka w zabezpieczeniach przepełnienia bufora (CVE-2014-0515)
Apache
- Luka w zdalnym wykonaniu kodu i atakach DoS (CVE-2014-0050, CVE-2014-0094)
Microsoft Word
- Luka umożliwiająca zdalne wykonanie kodu - CVE-2104-1761
Okna
- Luka w czcionkach TrueType (CVE2014-4148)
- Luka w zabezpieczeniach zdalnych zasad grupy (CVE 2015-0008)
- Luka w zabezpieczeniach wykonania pakietu OLE (CVE 2014-4114)
6. Biznes z atakami dnia zerowego
Widzieliśmy liczby, że luka w systemie może kosztować, ale chodzi o to, że istnieje rynek, który opiera się na Zero Days i może składać się z umysłów przestępczych, które płacą duże sumy, aby uzyskać luki lub podmioty, którym płacą znajdź wady i unikaj ataków, w tym świecie Zero Days istnieją trzy typy traderów:
Czarny rynekPoinformuj atakujących, że handlują kodami exploitów lub Zero Days Exploit.
Biały rynekW tego typu biznesie badacze wykrywają awarie i sprzedają je firmom, które rozwijają system lub aplikację.
Szary rynekNa tym rynku luki w zabezpieczeniach są sprzedawane podmiotom rządowym, wojskowym lub wywiadowczym w celu wykorzystania ich jako mechanizmu nadzoru.
7. Jak uchronić się przed Zero Days
Teraz pojawia się jeden z najważniejszych punktów i to właśnie środki musimy wziąć pod uwagę, aby uchronić się przed atakami Zero Days. Oto kilka porad:
Wyłącz Javę z przeglądarekJak widzieliśmy wcześniej, Java stała się jednym z preferowanych kanałów dla atakujących Zero Days do wdrażania różnych typów wirusów na komputerach przy użyciu technik takich jak DDoS.
Radzimy wyłączyć Javę, aby zapobiec tego typu atakom i nie będzie to miało na nas wpływu, ponieważ nowoczesne witryny są oparte na HTML5, a Java nie będzie wymagana.
Aby wyłączyć Javę w Safari, przejdź do menu Safari / Preferencje i w zakładce Bezpieczeństwo dezaktywujemy pudełko Zezwól na JavaScript
POWIĘKSZAĆ
W aktualnych wersjach Mozilla Firefox korzystanie z Javy zostało wyłączone ze względów bezpieczeństwa:
POWIĘKSZAĆ
Aby wyłączyć JavaScript w Google Chrome, przejdź do menu Dostosuj i kontroluj Google Chrome, wybierz opcję Ustawienia / Pokaż ustawienia zaawansowane, w zakładce Prywatność wybieramy Ustawienia zawartości a w wyświetlonym oknie lokalizujemy pole JavaScript i aktywujemy okienko Nie zezwalaj żadnej witrynie na uruchamianie JavaScript.
Zaktualizuj system operacyjnyJednym z powodów rozprzestrzeniania się Zero Days są przestarzałe systemy operacyjne, zalecamy ich ciągłą aktualizację, aby zastosować wszystkie poprawki bezpieczeństwa. W systemach operacyjnych Windows możemy przejść do Konfiguracja / Aktualizacja i zabezpieczenia:
POWIĘKSZAĆ
W środowiskach Mac OS zostaniemy powiadomieni, gdy pojawią się nowe aktualizacje za pośrednictwem Sklepu, a w środowiskach Linux możemy wykonywać polecenia, takie jak sudo apt update.
Użyj oprogramowania zabezpieczającegoWażne jest, aby oprócz aktualizacji systemu operacyjnego i odpowiednich aplikacji używaliśmy oprogramowania zabezpieczającego, które pomaga złagodzić wpływ Zero Days na system:
POWIĘKSZAĆ
Niektóre z programów, z których możemy korzystać to:
Unikaj pobierania załączników od nieznanych nadawcówJednym z najbardziej użytecznych sposobów rozprzestrzeniania się programu Zero Days są masowe wiadomości e-mail, które użytkownicy otwierają i klikają odpowiednie łącza, nie wiedząc, że są one skierowane na fałszywe strony internetowe, na których później zostanie zainstalowane złośliwe oprogramowanie.
Jednym ze sposobów kamuflowania tych e-maili jest wykorzystywanie rzekomych powiadomień sądowych, embarg, wiadomości od naszych podmiotów bankowych, między innymi:
POWIĘKSZAĆ
Musimy uważać i weryfikować nadawców, dzwonić w celu potwierdzenia powiadomień i nigdy nie pobierać załączników tego typu maili ani klikać w linki.
Zawsze używaj mechanizmu zaporyZapory sieciowe pomagają nam chronić się przed nieznanymi połączeniami w sieci, które są w znacznym stopniu obfite. Dzięki firewallowi możemy stworzyć reguły, które definiują parametry niektórych programów lub dostępu do naszego komputera iw ten sposób zwiększymy na nim bezpieczeństwo.
POWIĘKSZAĆ
Zero dni Jest to codzienne zagrożenie, ale jeśli będziemy ostrożni, unikniemy bycia jednym z kanałów propagacji tego, a tym samym zapewnimy, że nasze informacje są chronione i zawsze dostępne. W miarę możliwości zalecamy naszym przyjaciołom, rodzinie lub współpracownikom aktualizowanie swoich systemów i aplikacji, a przede wszystkim unikanie otwierania podejrzanych wiadomości e-mail lub uruchamiania nierzetelnych plików.