Tartuga
Местный
- Регистрация
- 19.12.2019
- Сообщения
- 101
- Реакции
- 22
Уязвимость нулевого дня - необноруженная уязвимость разработчиком, а также вредоносные программы, против которых еще не разработаны защитные механизмы. Этот термин означает, что у разработчиков было 0 дней на исправление дефекта, те у разработчиков не было никакой возможности исправить ошибки и просчеты в коде, тк они про них просто не знали.
Обычно, когда кто-то обнаруживает, что программный код содержит потенциальную дыру в безопасности, этот человек или компания может уведомить разработчиков по программному обеспечению, чтобы можно было принять меры. Но хакер может также первым обнаружить уязвимость. Поскольку эта уязвимость неизвестна заранее, нет способа защиты от эксплойта, прежде чем произойдет сама атака.
Существуют также различные подразделения, специализирующиеся на поиске подобных уязвимостей в популярных программных продуктах. Они сотрудничают со службами безопасности больших компаний и обычно соглашаются сдерживать все детали уязвимостей с нулевым днем в течение определенного периода времени, прежде чем публиковать эти данные. Например, Google Project Zero дают разработчикам до 90 дней на исправление уязвимости до того, как опубликовать её. Для уязвимостей, которые считаются «критическими», Project Zero выделяют только 7 дней, чтобы поставщик заплатил до публикации уязвимости и исправил проблему. Если уязвимость активно используется, Project Zero может сократить время до менее семи дней.
Если уязвимость не была исправлена через 90 дней, команда Project Zero публикует информацию об ошибке и предоставляет образец кода атаки. Цель 90-дневной политики раскрытия информации - побуждать компании своевременно исправлять проблему до того, как злоумышленники обнаружат ту же уязвимость и эксплуатируют ее.
Атаки с нулевым днем, как правило, очень трудно обнаружить. Антивирусное ПО и некоторые системы обнаружения вторжений (IDSes) и системы предотвращения вторжений (IPSes) часто неэффективны, поскольку сигнатура атаки еще не существует. Поэтому лучший способ обнаружить атаку с нулевым днем - это аналитика поведения пользователя . Большинство объектов, имеющих право доступа к сетям, демонстрируют определенные шаблоны использования и поведения, которые считаются нормальными. Действия, выходящие за пределы обычного объема операций, могут быть индикатором атаки с использованием уязвимости 0-day.
Защита
Поскольку уязвимость с нулевым днем не может быть известна заранее, нет способа защититься от конкретного эксплойта, прежде чем произойдет сама атака.
Однако можно: использовать виртуальные локальные сети для разделения трафика, внедрить IPsec - протокол IP-безопасности, для применения шифрования и аутентификации к сетевому трафику и подключить IDS/IPS системы, которые хоть и не смогут самостоятельно идентифицировать атаку нулевого дня, но они могут предупреждать разработчиков о подозрительной деятельности, которая возникает как побочный эффект атаки.
Атаки
В качестве примера атак нулевого дня можно привести атаку через уязвимость нулевого дня в Telegram, с помощью которой злоумышленники распространяли вредоносное ПО.
Уязвимость затрагивала клиентов мессенджера для Windows и позволяла осуществить атаку right-to-left override (RLO) при отправке файлов собеседнику. RLO представляет собой специальный непечатный символ, обозначенный в таблице Unicode как U+202E. Данный символ служит для отзеркалевания текста.(можно расширение и название поменять местами is.exe exe.is)
Таким образом, переименовав вирусное по под картинку png, злоумышленники распространяли скрытый майнер для добычи Manero и Zcash.
Обычно, когда кто-то обнаруживает, что программный код содержит потенциальную дыру в безопасности, этот человек или компания может уведомить разработчиков по программному обеспечению, чтобы можно было принять меры. Но хакер может также первым обнаружить уязвимость. Поскольку эта уязвимость неизвестна заранее, нет способа защиты от эксплойта, прежде чем произойдет сама атака.
Существуют также различные подразделения, специализирующиеся на поиске подобных уязвимостей в популярных программных продуктах. Они сотрудничают со службами безопасности больших компаний и обычно соглашаются сдерживать все детали уязвимостей с нулевым днем в течение определенного периода времени, прежде чем публиковать эти данные. Например, Google Project Zero дают разработчикам до 90 дней на исправление уязвимости до того, как опубликовать её. Для уязвимостей, которые считаются «критическими», Project Zero выделяют только 7 дней, чтобы поставщик заплатил до публикации уязвимости и исправил проблему. Если уязвимость активно используется, Project Zero может сократить время до менее семи дней.
Если уязвимость не была исправлена через 90 дней, команда Project Zero публикует информацию об ошибке и предоставляет образец кода атаки. Цель 90-дневной политики раскрытия информации - побуждать компании своевременно исправлять проблему до того, как злоумышленники обнаружат ту же уязвимость и эксплуатируют ее.
Атаки с нулевым днем, как правило, очень трудно обнаружить. Антивирусное ПО и некоторые системы обнаружения вторжений (IDSes) и системы предотвращения вторжений (IPSes) часто неэффективны, поскольку сигнатура атаки еще не существует. Поэтому лучший способ обнаружить атаку с нулевым днем - это аналитика поведения пользователя . Большинство объектов, имеющих право доступа к сетям, демонстрируют определенные шаблоны использования и поведения, которые считаются нормальными. Действия, выходящие за пределы обычного объема операций, могут быть индикатором атаки с использованием уязвимости 0-day.
Защита
Поскольку уязвимость с нулевым днем не может быть известна заранее, нет способа защититься от конкретного эксплойта, прежде чем произойдет сама атака.
Однако можно: использовать виртуальные локальные сети для разделения трафика, внедрить IPsec - протокол IP-безопасности, для применения шифрования и аутентификации к сетевому трафику и подключить IDS/IPS системы, которые хоть и не смогут самостоятельно идентифицировать атаку нулевого дня, но они могут предупреждать разработчиков о подозрительной деятельности, которая возникает как побочный эффект атаки.
Атаки
В качестве примера атак нулевого дня можно привести атаку через уязвимость нулевого дня в Telegram, с помощью которой злоумышленники распространяли вредоносное ПО.
Уязвимость затрагивала клиентов мессенджера для Windows и позволяла осуществить атаку right-to-left override (RLO) при отправке файлов собеседнику. RLO представляет собой специальный непечатный символ, обозначенный в таблице Unicode как U+202E. Данный символ служит для отзеркалевания текста.(можно расширение и название поменять местами is.exe exe.is)
Таким образом, переименовав вирусное по под картинку png, злоумышленники распространяли скрытый майнер для добычи Manero и Zcash.