Что такое уязвимость нулевого дня (0day)?

То самое чувство, когда уязвимость уже есть и вероятнее всего эксплуатируется хакерами, а решения для ее исправления и защитных механизмов еще нет — простое, но доступное объяснение уязвимости нулевого дня. Уязвимость 0day представляется собой «дыру» или ошибку в программном обеспечение для которой разработчики еще не выпустили исправление, в силу того, что они не знают о существовании данной проблемы. Т.е. понятие подразумевает, что у производителей есть ноль дней с момента обнаружения уязвимости для защиты от потенциальных кибератак.

Что может сделать хакер при обнаружении уязвимости нулевого дня?

Хакер типа «белая шляпа», вероятнее всего сообщит об ошибке в компанию, что бы они внесли соответствующие изменения. В качестве поощрения от представителей организации может быть финансовое вознаграждение или судебный иск, как уж повезет.

Злоумышленники, которые не особо заинтересованы быть честными, могут продать полученную информацию на сером рынке, где подобные уязвимости могут стоить сотни тысяч долларов.

В случае, если киберпреступник является специалистом в своей области, он самостоятельно будет использовать эксплойты, с целью получения личной выгоды.

В чем заключается угроза 0day?

В тот момент, когда разработчикам становится известно об уязвимости 0day, они пытаются исправить ошибку и выпустить необходимое обновление для ее устранения. Если проблема используется хакерами до того момента, как она была исправлена программистами, в этот момент осуществляется атака нулевого дня (эксплойт нулевого дня).

Хакерам очень импонирует уязвимость 0day, поскольку, без патча безопасности, нет возможности их остановить. Уязвимости нулевого дня, как правило, очень трудно обнаружить. Системы защиты (антивирусы, файрволлы) могут просто на просто их не обнажить в силу того, что может применяться шифрование или обфускация программного кода, т.е. вредоносное ПО (код) может восприниматься, как необходимый элемент системы, тем самым не вызывая никаких подозрений. В это время злоумышленники могут осуществлять удаленное управления системой или компьютером, кражу персональных данных, промышленный шпионаж и т.п.

В мае 2017 года, была обнаружена программа-вымогатель WannaCry, которая, на сегодняшний день, является примером одной из самых масштабных атак использующих уязвимость нулевого дня в ПО. В то время от действия данного «червя» пострадало более 500 тысяч компьютеров, как персональных, так и коммерческих, в более чем 100 странах мира.

Как можно обнаружить уязвимость нулевого дня?

Один из самых действующий и эффективных методов для обнаружения — анализ поведенческого фактора пользователей. Статистика позволяет проанализировать буквально каждый шаг человека в системе. И есть определенные шаблоны, которые можно считать нормой поведения человека. Если имеются отклонения от нормы — это уже является одним из факторов, которые могут косвенно или напрямую указывать на наличие уязвимостей 0day.

Так же, в системе или ПО можно:

• выполнить обратную разработку (т.е. исследовать «объект» с целью понять принцип его работы, проанализировать механизмы и процессы, создать интерпретацию с изменениями и т.п.);
• использовать дизассемблер (для подробного анализа программы, с целью выявления уязвимостей, изменения, поиска багов, взлома);
• осуществить фаззинг (тестирование ПО или системы путем подачи на вход ложных или случайных данных, впоследствии выполняется анализ возникших нарущений, ошибок и т.п.).

Защита от атак нулевого дня (0day)

Обеспечить полноценную защиту от эксплойтов 0day трудная задача, поскольку их трудно обнаружить. Антивирусы, которые обеспечивают сканирование ПО или системы на наличие уязвимостей применяют проверку вредоносного ПО или подозрительного кода с уже существующими и ранее зафиксированными эксплойтами.

Соответственно, антивирусные технологии защиты, в силу того, что уязвимость нулевого дня не известна заранее, не смогут ее заблокировать — нет способа или метода, чтобы обеспечить защиту от эксплойта, прежде, чем он станет общедоступным.

Однако, есть рекомендации, которые могут применять компании для снижения риска воздействия 0-day уязвимостей:

• разделите сеть на сегменты (физические или виртуальные), тем самым можно будет изолировать конфиденциальную информацию (трафик) между серверами;
• организуйте систему управления и контроля доступа к сети, для ограничения возможностей корпоративных компьютеров;
• используйте протокол IPsec, для шифрования и проверки подлинности сетевого трафика;
• в случае с беспроводными точками доступа применяйте схему безопасности;
• выполняйте регулярное сканирование системы на выявление ошибок и эксплойтов;
• используйте проактивные технологии антивирусной защиты;
• проводите своевременное обновления;

Мир уязвимостей

Здравствуйте, уважаемые Хабраюзеры. Предлагаю вашему вниманию мой вольный перевод довольно интересной статьи, опубликованной Pierluigi Paganini в Infosec Institute (конец 2012 г., однако она нисколько не потеряла своей актуальности и сегодня), посвященной состоянию дел в мире 0day и 1day уязвимостей. Статья не претендует на глубокий технический анализ или оценку этого рынка, а всего лишь делает «краткий» экскурс в этой области, но я думаю, она будет интересна многим. Прошу под кат.

Введение

0day уязвимости

В огромном мире уязвимостей, 0day уязвимости это настоящий кошмар для специалистов по безопасности. После любой утечки информации об ошибках и уязвимостях становится невозможным предсказать, где и когда они будут использованы. Это качество делает их идеальным инструментом для разработки кибероружия и правительственных атак. Интерес в поиске неизвестных уязвимостей для распространённых приложений полностью изменил роль хакеров. В прошлом это были люди, которые держались подальше от государства, сегодня индустрия и даже разведывательные агентства запустили полномасштабную кампанию по вербовке кадров в этой сфере.
Прибыль же от уязвимостей может быть получена по разным каналам, начиная от разработчика скомпрометированного приложения, заканчивая правительственными организациями, заинтересованными в уязвимости для проведения кибератак против враждебных государств, уязвимость также может быть продана на чёрном рынке.
Вокруг этой концепции вырос целый рынок в рамках которого скорость любой транзакции является основополагающим фактором. Как только найдена новая ошибка, и существует возможность её эксплуатации, разработчик должен быстро определить потенциальных покупателей, связаться с ними, чтобы договориться о цене и завершить сделку.
Знаменитый эксперт по безопасности Чарли Миллер описал этот рынок в своей статье: “The Legitimate Vulnerability Market: The Secretive World of 0-Day Exploit Sales”, осветив несколько ключевых вопросов:

• Сложность поиска покупателя и продавца;
• Проверка надежности покупателя;
• Сложность демонстрации работоспособности 0day эксплойта без разглашения информации о нём;
• Обеспечение эксклюзивности прав.

Принципиальная проблема для хакера, которому нужно продать уязвимость, заключается в его ловкости сделать это без разглашения слишком большого объема информации о ней. Процесс продажи очень сложен, потому что покупатель хочет убедиться в эффективности эксплойта и теоретически может попросить демонстрацию его наличия. Единственный способ доказать достоверность информации это полностью раскрыть её или продемонстрировать её в каком — то другом виде. Очевидно, раскрытие информации до продажи нежелательно, так как исследователь подвергается риску потерять свою интеллектуальную собственность без компенсаций.
Чтобы удовлетворить эти потребности родились профессиональные брокеры по продаже 0day эксплойтов, которые обеспечивают анонимность каждой из сторон в обмен на комиссию и проводят сделки между покупателями и продавцами.
Третья сторона гарантирует корректную оплату продавцу и конфиденциальность информации об уязвимости. Со стороны покупателя они проверяют информацию, предоставляемую продавцом. Доверенная третья сторона играет важную роль в этих сделках, так как этот рынок крайне нестабильный и характеризуется быстрой динамикой. Одна из наиболее известных фигур на этом рынке Grugq, также в качестве посредников могут выступать и небольшие компании, такие как: Vupen, Netragard, а также оборонный подрядчик Northrop Grumman.
Основатель Netragard Адриэль Дезатоля рассказал журналу Forbes, что он работает на рынке продажи эксплойтов в течение 10 лет, и он наблюдал быстрое изменение рынка, который буквально «взорвался» всего лишь в прошлом году (2011 – прим. переводчика). Адриель говорит, что сейчас есть много покупателей с большими деньгами и что время покупки снизилось с месяца до недель и что он приближается к продаже 12 – 14 0day эксплойтов каждый месяц в сравнении с 4-6 несколькими годами ранее.

Контрмеры и значение быстрого реагирования

Жизненный цикл 0day уязвимости состоит из следующих фаз:

• Уязвимость анонсирована;
• Эксплойт выпущен в открытый доступ;
• Уязвимость обнаружена разработчиком;
• Уязвимость раскрыта публично;
• Обновлены антивирусные сигнатуры;
• Выпущен патч;
• Развертывание патча завершено.

Рисунок 1. Жизненный цикл 0day уязвимости

Факт обнаружения уязвимости нулевого дня требует срочного реагирования. Период между эксплуатацией уязвимости и выпуском патча является решающим фактором для управления безопасностью программного обеспечения. Исследователи Лейла Бильге и Тудор Думитраш из Symanter Research Lab представили своё исследование под названием: “Before We Knew It … An Empirical Study of Zero-Day Attacks In The Real World“ в котором они объяснили, как знание такого типа уязвимостей даёт возможность правительству, хакерам или киберпреступникам взламывать любую цель, оставаясь при этом незамеченными. Исследование показало, что типичная 0day атака имеет среднюю продолжительность в 312 дней и как показано на рисунке 2, публикация информации об эксплойте в свободном доступе повышает число атак в 5 раз.

Рисунок 2 Число атак в зависимости от времени публикации 0day.

Публикация уязвимости порождает серию кибератак, в рамках которых злоумышленники пытаются извлечь выгоду из знания о ней и задержки в выпуске патча. Эти противоправные действия не имеют конкретного происхождения, что делает их сложными для предотвращения. Группы киберпреступников, хактивисты и кибертеррористы могут воспользоваться уязвимостью в различных секторах экономики, и ущерб от их деятельности зависит от контекста, в рамках которого они действуют. Убеждение в том, что уязвимости нулевого дня редко встречаются ошибочно, они встречаются так же, с одним лишь фундаментальным отличием в том, что информация о них не публикуется. Исследования выявили тревожную тенденцию: 60% ошибок идентифицируются как неизвестные и данные подтверждают, что существует гораздо больше 0day уязвимостей, чем прогнозировалось, плюс среднее время жизненного цикла 0day уязвимости может быть недооценено.
Один из самых обсуждаемых вопросов, как реагировать на публикацию 0day уязвимости. Многие эксперты убеждены, что необходимо немедленно раскрывать информацию о ней при этом, забывая, что это обычно является основной причиной для эскалации кибератак, эксплуатирующих эту ошибку. Вторая точка зрения предполагает хранить информацию об уязвимости в секрете, сообщая только компании, которая разработала скомпрометированное приложение. В этом случае, существует возможность контролировать всплеск атак после разглашения информации об уязвимости. Однако существует риск, что компания не сможет справиться с этим и выпустит подходящий патч для ошибки лишь через несколько месяцев после случившегося.

Не только 0day

Многие специалисты считают, что настоящим кошмаром для информационной безопасности являются 0day уязвимости и ошибки, которые невозможно предсказать и которые подвергают инфраструктурные объекты таким угрозам, которые трудно обнаружить и которые могут привести к серьезным последствиям. Несмотря на страх перед атаками нулевого дня, инфраструктурным объектам ежедневно угрожает огромное количество известных уязвимостей, для которых соответствующие контрмеры не применяются и это является общепризнанным фактом.
Несоблюдение лучших практик патч-менеджмента является основной причиной существующих проблем для частных компаний и правительства. В некоторых случаях процессы патч-менеджмента протекают крайне медленно, и окно реагирования на киберугрозы является чрезвычайно большим.

Рисунок 3 – Окно реагирования

От обнаружения к миллионному рынку

Как создать утилиту для эксплуатации уязвимости после её анонса? Процедура проста в сравнении с поиском 0day уязвимостей. После выпуска патча, исследователи и преступники могут определить конкретную уязвимость, используя методику двоичного сравнения (binary diffing technique). Термин «двоичное сравнение» (diff) происходит от имени консольной утилиты, которая используется для сравнения файлов, таким же образом, как и бинарные файлы до и после применения патча. Эта методика довольно эффективна и может применяться для исполняемых файлов Microsoft, потому что компания выпускает патчи регулярно, а идентифицировать код, затронутый патчем в бинарном файле для специалиста является достаточно простой задачей. Парочка самых известных фреймворков для двоичного сравнения: DarunGrim2 и Patchdiff2.
Теперь, когда мы описали 0day и 1day уязвимости, было бы полезно открыть для себя механизмы их коммерциализации. В статье, опубликованной на сайте Forbes, предлагаются цены на 0day уязвимости в продуктах популярных IT-компаний.

Рисунок 4 –Прайс на 0-day уязвимости (Forbes)

Цена на уязвимость зависит от множества факторов:

• Сложность определения уязвимости, зависимая от мер безопасности используемых в компании, которая разрабатывает приложение; чем больше времени необходимо для обнаружения, тем выше стоимость.
• Степень популярности приложения.
• Контекст эксплуатируемого приложения.
• Поставляется ли приложение по умолчанию с операционной системой ?
• Необходимость процесса аутентификации в уязвимом приложении ?
• Есть ли стандартные настройки межсетевого экрана, которые блокируют доступ к приложению ?
• Относится ли приложение к серверной или клиентской части ?
• Является ли взаимодействие с пользователем обязательным для эксплуатации уязвимости ?
• Версия атакуемого ПО. Чем позднее, тем выше прайс.
• Технические особенности: внедрение новой технологии на самом деле может привести к снижению интереса к уязвимости, которая связана с устаревшей технологией.

Trend Micro недавно опубликовало очень интересный доклад о русском underground рынке. Исследование основывалось на данных, полученных из анализа интернет-форумов и сервисов в которых участвуют русские хакеры, таких как: antichat.ru, xeka.ru и carding-cc.com. Они продемонстрировали, что существует возможность приобрести любое ПО и сервис для киберпреступников и мошенничества. В первую десятку вошло создание вредоносного кода и оказание услуг по написанию эксплойтов. Как правило, эксплойты продаются в связке, но они могут быть проданы и по отдельности или сданы в аренду на ограниченный период времени, на рисунке 5 приведены цены на них:

Рисунок 5 – Прайс лист на эксплойт-пакеты и сервисы

Выводы

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.