Zero day: що таке вразливість нульового дня?

Минулого року виявили 57 випадків використання нульової вразливості, згідно з таблицею “Експлойти нульового дня” від Project Zero. Це рекордна кількість, яка майже вдвічі більша, ніж у 2020 році. Зважаючи на такі тенденції, гайда розбиратися, що таке вразливість 0-day і наскільки вона небезпечна. 

Глосарій:

* Вразливість нульового дня (загроза нульового дня) — недолік у безпеці ПЗ, який невідомий тому, хто зацікавлений у його усуненні, наприклад, розробнику.       

* Експлойт нульового дня — це метод, який хакери використовують для атаки на системи з раніше невідомою вразливістю.      

* Атака нульового дня — це коли хакери використовують свій експлойт нульового дня для кібератаки, що часто призводить до таких проблем, як крадіжка особистих даних або їх втрата.

Що таке атака нульового дня?

Іноді в обчислювальних системах виявляються вразливості. Це діри в безпеці, які дозволяють кіберзлочинцям отримати несанкціонований доступ до інформації, пошкодити або скомпрометувати систему. Усі відомі вразливості задокументовані у загальнодоступних репозиторіях, таких як NVD (Національна база даних уразливостей). 

І постачальники ПЗ, і незалежні уми постійно шукають нові вразливості у програмних продуктах. Коли їх знаходять, постачальник зобов’язаний якнайшвидше випустити реліз з усуненими проблемами безпеки. Після цього користувачі можуть оновити програмне забезпечення, щоб захистити себе.

Атака нульового дня (або 0-day) — це вразливість ПЗ, яку використовують зловмисники до того, як постачальник дізнається про її існування. Це робить уразливість нульового дня серйозною загрозою безпеці.

Щойно зловмисники виявили вразливість нульового дня, їм знадобиться механізм отримання доступу до вразливої ​​системи. У багатьох випадках таким механізмом буде електронний лист або інше повідомлення. Імовірно, кіберзлочинці відправлять імейли, де спробують переконати користувачів виконати дію (відкрити файл або відвідати шкідливий сайт), мимоволі активуючи експлойт.

Що таке експлойт нульового дня і чим він небезпечний?

Експлойт (експлуатація) нульового дня — це коли зловмисник використовує вразливість Zero Day для атаки на систему. Ці експлойти особливо небезпечні, оскільки вони мають більше шансів на успіх, ніж звичайні шкідники.

Деякі просунуті групи кіберзлочинців використовують експлойти нульового дня стратегічно. Ці спільноти резервують знайдені вразливості, щоб використовувати їх в атаках на медичні чи фінансові установи, урядові організації. Так можна збільшити термін служби експлойту, а також зменшити ймовірність того, що жертва виявить уразливість.

Анатомія атаки нульового дня

Зазвичай, атака нульового дня відбувається так:

1. Пошук вразливостей. Зловмисники переглядають код або експериментують з популярними програмами у пошуках вразливостей. Вони також можуть купувати їх на чорному ринку.
2. Створення експлойт-коду. Кіберзлочинці створюють шкідливу програму або інші технічні засоби для експлуатації вразливості.
3. Пошук систем, схильних до вразливості. Зловмисники можуть використовувати ботів, автоматичні сканери та інші методи для виявлення систем, які піддаються вразливості.
4. Планування атаки. За цілеспрямованої атаки на конкретну організацію зловмисники можуть провести детальну розвідку, щоб визначити найкращий спосіб проникнення у вразливу систему. При нецільовій атаці кіберзлочинці зазвичай використовують ботів або фішингові кампанії, щоб зробити атаку більш масовою.
5. Здійснення атаки. Зловмисник проникає через захист організації або особистого устрою.

Тепер експлойт нульового дня запущено, а кіберзлочинці можуть віддалено виконувати код на скомпрометованій машині.

Хто може бути зацікавлений в атаках?

Суб’єкти загроз, які планують та здійснюють атаки нульового дня, можуть належати до кількох категорій:

• кіберзлочинці — хакери, основний мотив яких зазвичай фінансовий;
• хактивісти — зловмисники, які мотивовані ідеологією;
• корпоративні шпигуни — зловмисники, які хочуть отримати приватну інформацію про інші організації;
• учасники кібервійни — в останні роки держави та органи безпеки часто вдаються до кіберзагроз проти інфраструктури іншої країни або організацій всередині іншої країни (наприклад, кіберсаботаж Stuxnet).

Цільові та нецільові атаки нульового дня

Цільові атаки нульового дня здійснюються проти: 

• урядових чи громадських установ; 
• великих організацій; 
• старших співробітників компаній, які мають привілейований доступ до корпоративних систем, конфіденційних даних, інтелектуальної власності або фінансових активів.

Нецільові атаки нульового дня зазвичай проводяться проти великої кількості домашніх чи бізнес-користувачів, які використовують вразливу ОС чи браузер. Часто мета зловмисника полягає в тому, щоб скомпрометувати ці системи та використовувати їх для створення потужних бот-мереж. Такий приклад: атака WannaCry, у якій використовувався експлойт EternalBlue у файловому протоколі Windows SMB для компрометації понад 200 000 машин за день. Нецільові атаки також можуть бути націлені на обладнання, прошивку та IoT.

Загроза нульового дня: яскраві приклади атак

Нижче наведено приклади широко відомих атак нульового дня, що ілюструють серйозний ризик для організацій:

• 2017: Microsoft Word

Цей експлойт нульового дня зламав особисті банківські рахунки користувачів. Жертвами стали люди, які мимоволі відкрили шкідливий документ Word. У документі була пропозиція “завантажити віддалений контент”. Коли жертви натискали “так” у вікні, документ встановлював на їх пристрої шкідливе програмне забезпечення, яке могло перехоплювати облікові дані для входу в банк.

• 2019: Microsoft Windows, Східна Європа

Експлойт нульового дня зловживав уразливістю локальних привілеїв у Microsoft Windows для запуску довільного коду та встановлення програм. Також він міг переглядати та змінювати дані у скомпрометованих додатках. 

• 2020: Apple iOS

iOS від Apple часто називають найбезпечнішою з основних платформ для смартфонів. Однак у 2020 році він став жертвою як мінімум двох наборів вразливостей нульового дня iOS, включаючи помилку нульового дня. Це дозволяло зловмисникам віддалено скомпрометувати iPhone.

• 2020: Zoom

Тут хакери отримали віддалений доступ до ПК користувача, якщо той працював під керуванням старішої версії Windows. Якщо метою був адміністратор, хакер міг повністю захопити комп’ютер і отримати доступ до всіх його файлів.

• 2021: Chrome

У 2021 році Google Chrome зіткнувся із серією загроз нульового дня, внаслідок чого Chrome почав активно випускати оновлення. Вразливість виникла через помилку у движку JavaScript V8, який використовується в веббраузері.

Ринок нульового дня

Вразливість нульового дня — цінний актив. І для постачальників програмного забезпечення, які хочуть захистити своїх користувачів. І для зловмисників, які можуть використати його у своїх інтересах.

Зараз відомо про три ринки, де торгують уразливістю нульового дня:

• White Hat Markets. Існує кілька програм для винагород, у межах яких постачальники ПЗ платять гроші за виявлення невідомої вразливості. Програми Bug Bounty запустили GitHub, BugCrowd, Apple, Microsoft, Facebook та навіть державні установи, включаючи Пентагон. Всі вони пропонують дослідникам від сотні до сотень тисяч доларів, якщо вони виявлять та задокументують уразливість у системі безпеки.
• Grey Hat Markets. Брокери, які купують хороші дослідження вразливостей нульового дня від імені своїх клієнтів, зберігаючи анонімність покупців та продавців. Продавець, який може бути законним дослідником, не має жодного контролю над тим, що кінцевий покупець зробить з інформацією про вразливість.
• Black Markets. Існує чорний ринок уразливостей нульового дня та експлойтів. Там хакери продають виявлені вразливості, а зловмисники купують їх з метою провести кібератаки.

Захист від атак нульового дня

Від атак нульового дня важко захиститись, але є способи підготуватися. Ось чотири методи, які допоможуть вам запобігти 0 day:

1. Windows Defender Exploit Guard. Інструмент безпеки, вбудований у Windows 2010. Він може стати першою лінією захисту від атак нульового дня.
2. Антивірус наступного покоління (NGAV). Він проводить аналітику загроз та поведінки, а також аналіз коду за допомогою машинного навчання та спеціальних методів захисту від експлойтів. Традиційний антивірус є неефективним проти загроз нульового дня, оскільки вони використовують відомі вразливості в ПЗ. 
3. Своєчасне оновлення. Автоматизовані інструменти допоможуть організаціям не тільки виявляти системи, які потребують апгрейду. Вони допоможуть отримувати виправлення та швидко розгортати їх, перш ніж зловмисники зможуть завдати удару.
4. План дій. Щоб зменшити хаос та збитки від атак, спеціалістам з безпеки програмного забезпечення потрібно розробити конкретний план, орієнтований на атаки нульового дня.

ВИСНОВОК

Атака нульового дня відбувається до того, як постачальник ПЗ дізнається про існування вразливості. Вона починається з того, що хакер виявляє помилку в коді або ПЗ, яку постачальник ще не виявив. Потім зловмисник працює над експлойтом нульового дня — методом атаки, який допоможе скористатися вразливістю, що існує. 

Сам термін “нульовий день” походить зі світу піратських копій. Наприклад, піратська версія фільму (треку або ПЗ), яка стає доступною одночасно або до офіційного випуску, називається “0 day”. Іншими словами, піратська копія публікується через нуль днів після офіційної. 

Як захиститись від атак? Постійно моніторити вразливість ПЗ і створити план дій на випадок Zero day — найкращий варіант. 

Ви маєте свій варіант захисту? Пишіть у коментарях.