Защитит ли традиционный антивирус от угроз нулевого дня?
Содержание:
Введение
Последние события показали, что в сфере киберпреступности произошли серьезные изменения. На первое место по активности вышли программы-вымогатели. Исследователи отметили это еще в сентябре 2016 года — тогда шифровальщик Locky впервые вошел в тройку самых опасных и популярных вредоносных программ в мире, согласно отчету Check Point ThreatIndex. А еще раньше, в феврале, Голливудский медицинский центр заплатил 17 тысяч долларов в биткоинах, чтобы разблокировать все свои системы. Спустя год, весной 2017, в тройке самых активных вредоносных программ по-прежнему были ransomware-зловреды, но лидерство перехватил Cryptowall. Потом были WannaCry и Petya, которые показали, что даже компании с высоким уровнем защиты сети не всегда могут оградиться от атак. Особенно если в организации нет практики регулярного обновления программ.
Теперь злоумышленникам не нужно с нуля разрабатывать инструменты для атак — их можно купить или арендовать как сервис. Например, вымогатель Cerber работает по модели Ransomware-as-a-Service, позволяя подписчикам организовывать сколько угодно ransomware-атак. Каждый день он запускает восемь вымогательских кампаний по всему миру, а ежегодный прогнозируемый доход этой франшизы — 2,3 миллиона долларов США. Средства взлома, доставки, шифрования, управления, сбора денег — все это уже доступно для использования и регулярно обновляется создателями.
На днях Check Point раскрыла личность преступника, который стоит за серией таргетированных кибератак, направленных на 4 000 компаний. Атаки начались в апреле 2017 года и были нацелены на крупнейшие международные организации нефтегазовой, производственной, финансовой и строительной отраслей. Глобальный масштаб кампании привел исследователей к выводу, что за ней стоит экспертная группировка или спонсируемое государством агентство. Однако выяснилось, что кампания — дело рук одинокого двадцатипятилетнего гражданина Нигерии, интересующегося творчеством рэпера 50 cent. На его странице в Facebook стоит статус: «Разбогатей или умри в попытках» (Get rich or die trying) из одноименного рэп-альбома.
Мошенник использовал троян NetWire, который позволяет полностью контролировать зараженное устройство, и кейлоггинговую программу Hawkeye. Кампания привела к 14 успешным заражениям и позволила создателю заработать тысячи долларов. Это еще раз подтверждает тезис о том, что даже неопытный хакер-одиночка за небольшие деньги может организовать успешные атаки на крупнейшие мировые компании.
Обнаружение угроз нулевого дня на рабочей станции
За пределами периметра организации также нужна защита от неизвестных угроз, так как рабочая станция — последний рубеж обороны корпоративных данных. Check Point Sandblast Agent — это решение для защиты конечных устройств, которое позволяет предотвратить угрозы и атаки, связанные с подключением к внешнему Wi-Fi, с шифрованным трафиком, подключением к ПК внешних носителей и горизонтальным распространением атаки в сети.
Check Point SandBlast Agent постоянно анализирует все изменения системы в поисках подозрительных активностей. Например, он может отследить, если один процесс внедряет код в другой или если какая-либо программа оказывается взломанной.
Как и Check Point SandBlast, решение для конечных точек SandBlast Agent включает инструменты Threat Extraction и Threat Emulation, позволяющие остановить атаку нулевого дня. Все файлы, попадающие на рабочую станцию, будут проверены и при необходимости проэмулированы (на локальном или облачном устройстве). При скачивании из интернета все файлы, требующие эмуляции, мгновенно конвертируются в безопасные копии, при этом сохраняется их внешний вид, а оригинальный документ будет доступен для скачивания после окончания проверки. По статистике Check Point, только 10% пользователей скачивают оригинал документа.
ZDI
Фактически TippingPoint является «подразделением» компании 3COM (а те, в свою
очередь, продались Hewlett-Packard) и занимается разработкой системы IPS, в
которую они и включают сигнатуры от купленных ими 0day-проблем. Фактически
сигнатура в их IPS появляется задолго до того, как выйдет патч. Кроме того, ZDI
уведомляет разработчика и проходит полный цикл от уведомления до ожидания патча
и скоординированной публикации о проблеме. До того, как информация станет
доступной, ZDI может делиться деталями проблемы с партнерами-вендорами решений
по защите информации. Таким образом, продав 0day-багу ZDI, ты помогаешь всем
владельцам железки TippingPoint защититься от потенциальной угрозы. Но хватит
рекламы, рассмотрим, каким же образом поднять лавэ.
Для начала надо найти уязвимость. В эпоху вездесущегофаззинга это может быть
не так уж и сложно, но все же это требует определенных знаний и навыков, а
иногда даже и чутья с везением. Но, как бы то ни было, про поиск уязвимостей уже
написано немало букв. Вспомни хотя бы мою статью вапрельском ][ про
эксплуатацию брешей в
ActiveX-компонентах. Итак, как найти уязвимость более-менее понятно, но не
рвись в бой, сначала надо определиться с жертвами. Очень большое значение имеет,
ГДЕ именно найдена уязвимость. ZDI четко описывает требования к багам, которые
они готовы купить:
- Удаленные уязвимости, связанные с выполнением кода
- Уязвимости, связанные с парсингом доверенных файлов
- Уязвимость должна быть в последней версии релиза ПО
- Уязвимое ПО должно быть широко распространено
Это значит, что можно забыть про XSS-, LFI- и SQL-инъекции в популярных
движках. Нас интересует настоящая жесть вроде ошибок с указателями, переполнения
буфера, ошибки формата строки внедрение команд и прочих багов, которые приводят
к выполнению произвольного кода. Нас интересуют знаменитые FTP/веб-сервера, базы
данных, системы бэкапа, а также браузеры, ActiveX и плагины популярного ПО для
браузеров, ПО корпоративных систем и т.д. В этот список могут входить как
платные, так и опенсорсные продукты, главное, чтобы они были популярны и широко
распространены. Ну вот, собственно, и все…
А вот и не все. На самом деле найти уязвимость — это зачастую задача более
простая, нежели проэксплуатировать ее. Поэтому надо показать, что найденная
тобой уязвимость реально опасна. Для этого можно написать Crash-PoC или эксплойт
с запуском калькулятора, а можно выслать подробный бинарный анализ проблемы с
выводами. От качества этой писанины зависит скорость, с которой ZDI отреагирует
на твой товар и, возможно, качество этой реакции. Очевидно, что этот шаг
являются самым трудным и, фактически, это и есть основная твоя работа. Чтобы
выполнить его, требуется опыт и знания, за что собственно и платят деньги.
В чем заключается угроза 0day?
В тот момент, когда разработчикам становится известно об уязвимости 0day, они пытаются исправить ошибку и выпустить необходимое обновление для ее устранения. Если проблема используется хакерами до того момента, как она была исправлена программистами, в этот момент осуществляется атака нулевого дня (эксплойт нулевого дня).
Хакерам очень импонирует уязвимость 0day, поскольку, без патча безопасности, нет возможности их остановить. Уязвимости нулевого дня, как правило, очень трудно обнаружить. Системы защиты (антивирусы, файрволлы) могут просто на просто их не обнажить в силу того, что может применяться шифрование или обфускация программного кода, т.е. вредоносное ПО (код) может восприниматься, как необходимый элемент системы, тем самым не вызывая никаких подозрений. В это время злоумышленники могут осуществлять удаленное управления системой или компьютером, кражу персональных данных, промышленный шпионаж и т.п.
В мае 2017 года, была обнаружена программа-вымогатель WannaCry, которая, на сегодняшний день, является примером одной из самых масштабных атак использующих уязвимость нулевого дня в ПО. В то время от действия данного «червя» пострадало более 500 тысяч компьютеров, как персональных, так и коммерческих, в более чем 100 странах мира.
Атаки нулевого дня
Уязвимость нулевого дня — это дыра в программном обеспечении, встроенном программном обеспечении или оборудовании, которая еще не известна пользователю, поставщику или разработчику и используется хакерами до выпуска патча для нее. Такие атаки называются эксплойтами нулевого дня . Таким образом, атака Zero Day — это эксплойт, совершенный до того, как разработчик программного обеспечения или производитель оборудования сможет исправить уязвимость Zero Day. Таким образом, «уязвимость» ожидает исправления или исправления поставщика, в то время как происходит «атака» для использования уязвимости.
Может быть много типов атак нулевого дня. Это включает в себя атаку на систему для получения доступа к ней, внедрение вредоносного, шпионского или рекламного ПО. Эта атака выполняется еще до того, как производитель узнает об этой уязвимости, и, следовательно, возникает необходимость срочно ее исправить.
После того, как исправление становится доступным, эта уязвимость больше не является «уязвимостью нулевого дня».
Уязвимость «нулевого дня» обычно выявляется либо хакерами, либо сторонними охранными фирмами. В случае хакеров, они эффективно используют уязвимость, пока она не будет исправлена. В случае, если сторонняя фирма по обеспечению безопасности обнаружит уязвимость Zero Day или уязвимость Zero Day, они сообщают производителям программного или аппаратного обеспечения о том, что они могут спешить работать над исправлением, обычно известным как исправление Zero Day, и выдают его некоторое время, чтобы исправить это.
Как Microsoft справляется с уязвимостями
Обычно в Microsoft существует вторник исправлений . Microsoft использует различные термины для описания обновлений программного обеспечения и выпущенных им исправлений. Каждый второй вторник месяца Microsoft выпускает набор исправлений или исправлений, которые применяются к ее ряду продуктов, включая операционную систему Windows. Патчи, как правило, предназначены для уязвимостей или проблем, обнаруженных в случае обычного обслуживания жизненного цикла программного обеспечения.
Обновление безопасности — это широко распространенное исправление для уязвимости, связанной с безопасностью для конкретного продукта. Уязвимости безопасности оцениваются в зависимости от их серьезности. Оценка серьезности указывается в бюллетене по безопасности Microsoft как критическая, важная, средняя или низкая.
Тогда есть Критические выпуски патчей , которые выходят из очереди. Если что-то очень критичное и не может дождаться следующего исправления во вторник, Microsoft выпускает консультативное пособие по безопасности вместе с исправлением, которое обычно направлено на исправление уязвимостей Zero Day, на которые ссылаются сторонние фирмы по обеспечению безопасности.
Иногда существуют другие типы критических уязвимостей, которые обнаруживаются при проверке программного обеспечения и которые требуют немедленного внимания. В таких случаях Microsoft также будет выпускать рекомендации, но технически это нельзя отнести к категории Zero Day, поскольку это уязвимость Zero Day, только если производитель не знает об этой уязвимости, пока об этом не сообщат какие-либо сторонние хакеры или сторонние фирмы по обеспечению безопасности.
Читать . Рекомендации и рекомендации по исправлению ошибок в Windows
Как бороться с атаками и уязвимостями нулевого дня
В случае уязвимости Zero Day вы ничего не можете сделать, кроме как ждать исправления, выпущенного производителем соответствующего программного или аппаратного обеспечения. Возможно, вы заметили, что уязвимости нулевого дня часто встречаются в таких программах, как Adobe Flash и Java. Как только патч выпущен и вы проинформированы, как можно скорее примените патч.
Это также помогает обновлять такие вещи, как операционные системы, установленное программное обеспечение и браузеры . В большинстве случаев существуют популярные программы, такие как браузеры и операционные системы, которые сканируются на наличие уязвимостей Zero Day и используются злоумышленниками киберпреступниками. Хотя это и не полная защита, вы в некоторой степени защищены, если ваше программное и микропрограммное обеспечение (аппаратное обеспечение) обновлено со всеми обновлениями, выпущенными для продуктов — по крайней мере, вы не будете эксплуатироваться с помощью известных уязвимостей, если вы в курсе. В этом может помочь развертывание ПО для обнаружения вторжений Anti-Exploit Tool или Брандмауэр , которое может обнаруживать такие атаки.
Обнаружение уязвимостей
На данный момент многие вирусописатели фокусируют свои усилия именно на обнаружении неизвестных уязвимостей в программном обеспечении[источник не указан 1096 дней]. Это обусловлено высокой эффективностью использования уязвимостей, что, в свою очередь, связано с двумя фактами — высоким распространением уязвимого ПО (именно такое программное обеспечение, как правило, атакуют) и некоторым временным промежутком между обнаружением уязвимости компанией-разработчиком программного обеспечения и выпуском соответствующего обновления для исправления ошибки.
Для обнаружения уязвимостей вирусописатели используют различные техники, например:
- Дизассемблирование программного кода и последующий поиск ошибок непосредственно в коде программного обеспечения;
- Реверс-инжиниринг и последующий поиск ошибок в алгоритмах работы программного обеспечения;
- Fuzz-тестирование — своего рода стресс-тест для программного обеспечения, суть которого заключается в обработке программным обеспечением большого объёма информации, содержащей заведомо неверные параметры.
Рынок 0day
Существует множество компаний, которые хотят купить у тебя 0day. Процедура
покупки может отличаться, но примерно суть одна и та же. О ней мы поговорим чуть
позже, а пока рассмотрим рынок на основе опроса от unsecurityresearch.com.
Результат показывает, что в среднем за 0day-уязвимости на клиентской стороне
можно получить от 1000/2000 долларов. Это средняя цена, потолок же может
доходить и до 30000 долларов. Зависит от того, в каком продукте обнаружена
проблема. Из всех компаний, покупающих уязвимости, наиболее высокий средний
показатель у ребят из ZDI (Zero
Day Initiative), где большинство клиентских уязвимостей в промежутке от
одной до трех тысяч долларов. Кроме того, ZDI сохраняют авторство в публикации,
и когда инфа выходит в паблик, твое имя не сотрется (если ты сам этого не
желаешь). Кроме прочего, ZDI (а вернее, компания TippingPoint, основатели ZDI)
являются спонсорами ежегодного конкурса PWN to OWN на CanSecFest, и именно они
платят призовые фонды за взлом браузеров. Так что лично я для себя выбрал работу
именно с этими парнями.
Защитите свою компанию от атак «нулевого дня»
Осведомленность в компаниях жизненно необходима, если речь идет о предотвращении неизвестных атак. Однако сама природа атак «нулевого дня» делает средства защиты от них более сложными. При столкновении с известными угрозами, бывают случаи, когда вполне достаточно традиционных решений информационной безопасности, которые успешно доказали свои возможности по удалению подобных угроз. Но что компании могут сделать для защиты от вредоносных программ, которые ранее еще не были идентифицированы? Организациям требуется предпринимать ряд мер с учетом следующих трех основных моментов:
- Правильное ПО: окна возможностей открываются для кибер-преступников каждый раз, когда на компьютерах и ИТ-системах компании устанавливается новое программное обеспечение. Правда, это не означает, что компания не должна использовать те программы, которые ей необходимы для работы. Необходимо следовать политике контроля, которая подразумевает периодические ревизии ПО и удаление тех программ, которые не используются определенное время.
- Несмотря на риски, лучшим вариантом всегда будет обновление. Как мы уже упоминали, обновления могут содержать новые эксплуатируемые уязвимости. Тем не менее, разработчики пытаются исправлять ошибки и применять новые меры безопасности в каждой версии своих программ. Поэтому всегда стоит поддерживать обновленный статус ПО и использовать их последние версии. Чтобы упростить процесс управления уязвимостями, обновлениями и патчами для операционных систем и приложений, мы предлагаем нашим пользователям использовать модуль Panda Patch Management. Данное решение упрощает реагирование на инциденты безопасности за счет патчинга всех уязвимых компьютеров в реальном времени одним кликом мыши из единой консоли централизованного управления безопасностью.
- Решения, основанные на поведенческом анализе: Модель безопасности, основанная на сигнатурах, устарела и не является эффективной в борьбе с атаками «нулевого дня». Способ борьбы с этими неизвестными атаками должен быть основан на обнаружении подозрительного поведения.
И вот тут в работу должны вступать самые передовые решения информационной безопасности с опциями расширенной защиты, такие как Adaptive Defense. Решение предлагает полную безопасность конечных устройств и полную защиту от известных вредоносных программ. Но это далеко не все его возможности: решение также классифицирует 100% активных процессов, используя для этого техники машинного обучения (искусственного интеллекта), которые позволяют ему анализировать все подозрительные модели поведения. Таким образом, решение способно повысить возможности обнаружения любого вида неизвестных угроз и атак. Panda Adaptive Defense сочетает в себе технологии EPP и EDR, а также сервисы 100% классификации и Threat Hunting, предоставляя новую модель безопасности, которая сокращает поверхность атаки до абсолютного минимума.
Создание вредоносного кода
После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода, использующего обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей.
По состоянию на 2017 год самой известной вредоносной программой, использующей 0day уязвимость в программном обеспечении, является сетевой червь-вымогатель WannaCry, который был обнаружен в мае 2017 года. WannaCry использовал эксплойт EternalBlue в уязвимости SMB (Server Message Block) на операционных системах семейства Windows. При удачной попытке внедриться в компьютер WannaCry устанавливает бэкдор DoublePulsar для дальнейших манипуляции и действий.
Также, не менее известный червь Stuxnet использовал ранее неизвестную уязвимость операционных систем семейства Windows, связанную с алгоритмом обработки ярлыков. Следует отметить, что, помимо 0day уязвимости, Stuxnet использовал ещё три ранее известные уязвимости.
Помимо создания вредоносных программ, использующих 0day уязвимости в программном обеспечении, вирусописатели активно работают и над созданием вредоносных программ, не детектируемых антивирусными сканерами и мониторами. Данные вредоносные программы также попадают под определение термина 0day.
Отсутствие детектирования антивирусными программами достигается за счёт применения вирусописателями таких технологий, как обфускация, шифрование программного кода и др.
Если традиционный антивирус не работает, то как защититься?
Как мы уже сказали, задача хакера — не только сделать атаку максимально эффективной, но и не переплатить за ее организацию. Модификация известного зловреда способна обходить антивирусы, однако пройти эмуляцию угроз будет гораздо сложнее.
Итак, эмуляция — один из самых эффективных способов защиты от неизвестных угроз. Она представляет собой открытие (или запуск) подозрительного файла в изолированной среде и наблюдение за его поведением. С точки зрения архитектуры эмуляция возможна как на уровне периметра (шлюза безопасности), так и на уровне рабочей станции. Например, технология Check Point SandBlast показала 100% сопротивляемость к способам обхода эмуляции в последнем тесте NSS Labs. Эмуляция, или Threat Emulation — это одна из двух уникальных функций, лежащих в основе Check Point SandBlast. Вторая — это извлечение угрозы, Threat Extraction. Threat Extraction позволяет мгновенно предоставить пользователю безопасную копию подозрительного документа, пока производится анализ и эмуляция. Оригинал будет автоматически доступен пользователю в случае признания его безопасным.
Рисунок 1. Если файл подтвержден как безопасный, его можно скачать
