Nulldagsangrep er vanskelig å beskytte mot fordi de utnytter tidligere ukjente sårbarheter
Null-dags angrep er ekstremt vanlig og toppet WatchGuards liste over de mest populære typene nettverksangrep i 2019. Rapporten fant også at null-dagers utnyttelse var ansvarlig for halvparten av alle detekteringer av skadelig programvare, et tall som økte 60% fra året før. På samme måte bestemte Ponemon Instituts undersøkelse om sikkerhetsrisiko for endepunkt at 80% av alle vellykkede datainnbrudd i 2019 direkte var resultatet av null-dagers angrep. Denne statistikken er ikke overraskende når du ser på hvor stor fare null-dagers utnyttelse utgjør, og hvor effektive de er til å hjelpe nettkriminelle med å nå sine mål.
De fleste tenker på null-dagers utnyttelse som verktøy opprettet og brukt av Black Hat, kriminelle hackere. (Black Hat-hackere er kriminelle som bryter seg inn i datanettverk med ondsinnet hensikt. De kan også frigjøre skadelig programvare som ødelegger filer, holder datamaskiner som gisler eller stjeler passord, kredittkortnumre og annen personlig informasjon.)
Imidlertid er offentlige etater over hele verden like interessert i å skaffe dem, ofte for bruk i overvåking eller egne cyberangrep. Faktisk har det kommet et blomstrende svart marked som et resultat av den sterke konkurransen fra begge sider om å være den første som vet om null-dagers sårbarheter og måtene å utnytte dem på.
Så, hva er null-dagers angrep akkurat? Hvorfor er de så farlige? Hvordan brukes null-dagers utnyttelse? Og hvordan kan skaden minimeres?
Hva er en null-dags angrep/utnyttelse?
Nulldagers utnyttelse utnytter sårbarheter som ukjente for allmennheten på tidspunktet for opprettelsen, inkludert utviklere av den sårbare programvaren og produsenter av sikkerhetsverktøy som antivirus- og antimalware programmer. Når en hacker bruker en null-dagers utnyttelse for å bryte seg inn i et system, kalles den resulterende hackingen et null-dagers angrep.
Den «null-dagers» delen av navnet refererer til antall dager som de gode karene har for å løse problemet, og null-dagers utnyttelse skjer når de onde vinner løpet for å finne en bestemt sårbarhet. Etter å ha funnet en sårbarhet, oppretter hackere en utnyttelse som kan gjøre bruk av den under et angrep. Siden ingen tidligere visste om sårbarheten, vil det sannsynligvis være minimale forsvar for å bekjempe utnyttelsen, noe som gjør et null-dagers angrep mer sannsynlig å lykkes. Når en sårbarhet blir offentlig kjent, er løpet på gang for programvareleverandøren å prøve å gi ut en oppdatering som løser problemet før angripere kan utnytte situasjonen. (Dette er grunnen til at sikkerhetsforskere og penetrasjonstestere er så viktige – deres jobb er å finne sårbarheter før hackere gjør det.) Altfor ofte, vil leverandøren finne ut av det først etter at et angrep har skjedd, og da prøver de bare å minimere skaden.
De mest populære angrepsvektorene for null-dagers utnyttelse er mye brukte programmer som nettlesere og vanlige filtyper (og programmene som håndterer dem) som Word-, Excel- eller PDF-filer. Hvis du skal bruke all tiden på å lage en null-dagers utnyttelse, kan du like godt målrette det mot et program som nesten alle bruker, så du har mange mål for din onde plan.
Nulldagssårbarheter vs utnyttelser mot angrep
Det kan være lett å forveksle de tre begrepene, og de brukes ofte feil om hverandre. La meg forklare litt nærmere før vi går videre:
Zero-Day sårbarheter er sikkerhetssvakheter i programvare, fastvare eller maskinvare som er ukjent for leverandører. Følgelig eksisterer ikke oppdateringer for dem på tidspunktet for lanseringen. Vanligvis blir de bare kjent etter at et angrep har skjedd og har blitt undersøkt av utviklere.
Zero-Day utnytter dra nytte av null-dagers sårbarheter. Selve utnyttelsen er metoden og/eller koden som hackere bruker for å utføre et angrep mot det som har sårbarheten. De trenger ikke nødvendigvis å bruke sin utnyttelse umiddelbart heller. De kan lage den og vente strategisk på den beste tiden eller stedet for å distribuere den. Det er fortsatt en null-dagers utnyttelse på det tidspunktet siden det ikke har blitt offentlig kjent ennå.Nulldagersangrep er det siste trinnet, og de skjer når angriperne endelig bestemmer seg for å benytte seg av utnyttelsen. Dette gjøres ofte via null-dagers skadelig programvare som inneholder utnyttelsen. På dette tidspunktet er det bare et spørsmål om tid før null-dagers sårbarheten blir oppdaget, siden hackers verktøy nå er ute i det fri og kan studeres og ombygges av utviklere
Hvorfor er null-dagers angrep/utnyttelse så farlig?
Som jeg nevnte tidligere, får null-dagers utnyttelse navnet sitt fra det faktum at de har vært kjent av leverandører i nøyaktig null dager. Vanligvis løser oppdateringer sårbarheter som muliggjør oppretting av null-dagers utnyttelse, men dessverre kan de ikke opprettes umiddelbart. Dette gir angripere tid til å utføre null-dagers angrep på forsvarsløse mål.
Det kan ta dager, uker eller til og med måneder før oppdateringer blir utgitt. Brukere kan bli tvunget til å bruke kompromittert programvare hele tiden, og maskiner og personlige data vil kunne være tilgjengelig for angripere. For ikke å nevne det faktum at folk og bedrifter ofte er trege med å laste ned og installere nye oppdateringer.
Nulldagers utnyttelse øker også hverdagsrisikoen for den gjennomsnittlige brukeren drastisk. Ikke bare er programvareleverandører uforberedt på null dagers utnyttelse, men det er også utviklerne av sikkerhetsprogramvaren din. Vanligvis vil antivirus- eller antimalware programmene fange skadelig skadelig programvare som oppstår under rutinemessige internettaktiviteter. Men med null dagers utnyttelse har maskinen din mye større sjanse for å bli smittet mens du ser på nettsteder, håndterer mistenkelige meldinger eller laster ned tredjepartsprogrammer.
Det pleide å være at en enkelt null-dagers utnyttelse kunne være katastrofal for en applikasjon. Men takket være forbedret sikkerhetsreduksjon i moderne operativsystemer, er det nå ofte nødvendig å kjede sammen flere null-dagers utnyttelser for at et angrep skal lykkes.
Typiske mål for null-dagsutnyttelser
Den slags hackere som håndterer null-dagers utnyttelse, tuller vanligvis ikke rundt. De går etter større, høyverdige mål som:
- Offentlige etater
- Store bedrifter og organisasjoner
- Enkeltpersoner med tilgang til verdifull informasjon, som for eksempel konfidensielle forretningsdata
- Programvare med stort antall brukere som operativsystemer eller nettlesere
- Store grupper av individuelle brukere for bruk i botnett
- Maskinvare inkludert IoT-enheter og tilhørende firmware
- Politiske mål og/eller nasjonale sikkerhetstrusler
Så selv om angripere vanligvis ikke går etter bestemte individuelle brukere, betyr ikke det at den gjennomsnittlige personen ikke vil bli påvirket av null-dagers angrep. De ender ofte med å bli utnyttet eller brukes som verktøy i et større angrep. (Som f.eks. det som skjedde med angrepet på Stortinget) Ikke-målrettede angrep tar sikte på å treffe så mange brukere som mulig, og i så fall er dine personlige data like verdifulle som den neste personen, noe som betyr at farene fremdeles er veldig betydningsfulle.
Prosessen med null-dagers angrep
Så nå som vi har dekket hva null-dagers angrep er og hvorfor de er så farlige, la oss se på det typiske livet til en null-dagers utnyttelse fra begynnelse til slutt:
- For det første opprettes en sårbarhet ubevisst av en programvareutvikler.
- Programvaren blir utgitt, og til slutt finner en hacker sårbarheten.
- Hacker oppretter en null-dagers utnyttelse for å dra nytte av sårbarheten og distribuerer den via et angrep mens sårbarheten fortsatt eksisterer i koden.
- Sårbarheten oppdages av leverandøren (ofte fordi null-dagers angrep ble oppdaget og rapportert av et sikkerhetsteam som bruker leverandørens programvare). På dette tidspunktet har de imidlertid ikke en løsning på det.
- Sårbarheten avsløres, vanligvis av leverandøren og/eller sikkerhetsutviklere, og brukere blir advart om farene.
- Vanligvis frigjøres antivirus signaturer neste gang. I tilfelle det brukes null-dagers skadelig programvare, kan sikkerhetsleverandører identifisere signaturen og oppdatere definisjonene for å gi beskyttelse mot den. Det er fortsatt en sjanse for at det finnes alternative måter å utnytte sårbarheten på, så brukerne må fortsatt være forsiktige.
- Leverandøren gir ut en oppdatering for å lukke sårbarheten. Denne tidsrammen for dette trinnet kan variere sterkt avhengig av kompleksiteten i situasjonen.
- Oppdateringen distribueres til brukerbasen over tid. Hastigheten avhenger av hvor raskt brukerne utfører oppdateringen.
“Null-dagers angrep” -delen skjer mellom trinn 2 og 5, men det er viktig å huske at systemene fremdeles kan være sårbare under hvert trinn.
Hvordan null-dags sårbarheter blir funnet
La oss ta et skritt tilbake. Hvordan oppdages sårbarhetene i utgangspunktet i null-dagers angrep? En metode er via fuzzing, som er når en stor mengde data blir lagt inn til et program med varierte intervaller. Angriperen ser deretter ut for å se hvordan programmet reagerer. Overbelastning kan føre til krasj eller merkelig oppførsel, som igjen kan avsløre feil. Til slutt skriver angriperen koden sin for å reprodusere oppførselen som førte til feilen, og det er slik selve utnyttelsen blir opprettet.
Vi har alle hørt uttrykket «de som ikke lærer av fortiden er dømt til å gjenta det.» Noen ganger vil angripere prøve å lære av fortiden, slik at de KAN gjenta det. De gjør dette ved å studere tidligere utnyttelser og prøve å tilpasse den samme metoden til nyere programvare. Hackere vil også analysere nye oppdateringer og oppdateringer for å prøve å få innsikt i programmets indre funksjoner i håp om å finne sårbarheter.Det er ikke bare skurkene som bruker disse metodene. Utviklere selv vil gjøre lignende under utviklingsprosessen for å prøve å finne sårbarheter før de blir utgitt til resten av verden.
Eksempler på Zero-Day Attacks
Her er noen eksempler på null-dagers angrep, sammen med hvordan de arbeidet og effekten de hadde på ofrene:
- Stuxnet – Denne ondsinnede datamaskinen ble oppdaget i 2010 og påvirket PLCer som ble brukt i Irans anrikningsanlegg. Spesielt ble Siemens Step7-programvaren utnyttet. Programmet kjørte på Windows og ble brukt til å programmere PLC-ene. Utnyttelsen førte til at uventede kommandoer ble utført på maskiner og forstyrret sentrifuger som ble brukt til å behandle kjernefysisk materiale. Det endelige målet var å skade landets kjernefysiske program.
- RSA – I 2011 ble nettverket til sikkerhetsselskapet RSA infiltrert av hackere takket være en sårbarhet i Adobe Flash Player. Kompromitterte Excel-regnearkfiler som inneholder ondsinnede Flash-filer, ble distribuert til RSA-ansatte. Ved åpning tok Poison Ivy fjernadministrasjonsverktøy kontroll over brukerens maskin og ga tilgang til RSAs nettverk. Angriperne fortsatte å stjele sensitive data relatert til selskapets SecurID-tofaktorautentiseringsprodukter.
- Zoom – I 2020 ble det funnet en sårbarhet i den populære videokonferanseplattformen . Det tillot en angriper å få ekstern tilgang til brukerens PC hvis de kjørte en eldre versjon av Windows. Hvis offeret var administrator, kunne hackeren få tilgang til alle filer og i det vesentlige ta over maskinen helt.
Som du kan se, faller målene for disse angrepene i tråd med det jeg forklarte tidligere. De var enten et nasjonalt/politisk mål (Stuxnet), et selskap med verdifulle intellektuelle data (RSA), eller en programvare som har en ekstremt stor brukerbase (Zoom).
Markedet for null-dagsutnyttelser
Den slags utnyttelser jeg nettopp snakket om, er alltid i høy etterspørsel og kan styre astronomiske priser på det åpne markedet. Vil du tjene noen få hundre tusen, eller til og med millioner av dollar? Bare finn en null-dagers utnyttelse av riktig programvare, så er du klar.
Neida, jeg skal ikke oppfordre til salg av utnyttelser på det svarte markedet. Ideelt sett vil de som oppdager sårbarheter umiddelbart rapportere dem til programvareleverandøren, slik at de kan oppdateres så snart som mulig. Noen selskaper har til og med bug-bounty-programmer der de betaler for kunnskap om sårbarheter i produktene sine.
Samlet sett kan markedet for null-dagers utnyttelse deles inn i tre forskjellige segmenter:
- Det svarte markedet – Det er her kriminell aktivitet oppstår. Utnyttelser brukes til skumle midler som tyveri av konfidensielle data eller å få uautorisert tilgang til nettverk.
- Det hvite markedet – Det er her “de gode karene” opererer. Utviklere rapporterer villig sårbarheter til leverandører og kan bli belønnet økonomisk for sitt arbeid. Bug-bounty-programmer faller inn under denne kategorien.
- Det grå markedet – Dette er spesifikt for militæret. Utnyttelser selges for bruk i nasjonale sikkerhetsrelaterte aktiviteter, inkludert overvåking, teknologisk krigføring og spionasje.
Oppdage null-sårbarheter
Det er noen forskjellige ting utviklere ser etter som kan tipse dem om eksistensen av en null-dagers sårbarhet:
- Unormal oppførsel av programvare – Leverandører undersøker rutinemessig hvordan applikasjoner reagerer på tidligere utnyttelser og vil prøve å bruke kunnskapen på nye produkter. Angrep resulterer ofte i fremveksten av mønstre som kan brukes til å oppdage fremtidige utnyttelser.
- Trender – For det første er det mer sannsynlig at angrep vil skje umiddelbart etter at en sikkerhetsoppdatering er utgitt. Dette gjelder spesielt med Microsoft-relaterte sårbarheter fordi de bruker en månedlig oppdateringssyklus. Ved å angripe dagen etter en oppdatering, vil skurkene ha nesten en måned på seg til å bruke sin utnyttelse før det blir oppdatert. Statistikken over tidligere angrep kan også utnyttes – for eksempel hvis datamengden som overføres under et angrep, hadde en unik økning, kan den informasjonen være nyttig i fremtiden.
- Signaturer fra tidligere sårbarheter – Disse signaturene er som fingeravtrykk, og det er mulig at visse egenskaper vises igjen. Ved å skanne etter dem kan sårbarheter lokaliseres og fjernes.
Ingen av disse metodene er omfattende eller idiotsikre, så de brukes vanligvis sammen.
Problemer med oppdatering av Null dagers utnyttelser
Jeg har vært innom oppdateringsprosessen og hvordan det teoretisk løser problemet som null-dagers utnyttelse skaper. Realistisk sett vil imidlertid et betydelig antall enheter aldri oppdateres. Det er spesielt ille med IoT-enheter. Bare tenk på det – du har et stort antall widgets som blir sendt ut fra leverandøren som inneholder en sårbarhet. På noen enheter kan det bokstavelig talt være umulig å oppdatere dem. Andre ganger kan det være upraktisk å anta at brukerne vil utføre en oppdatering.
Ta en smart kaffetrakter for eksempel – realistisk sett vil de fleste ikke bry seg med å utføre en oppdatering for noe de tenker på som iboende trygt (selv om angripere potensielt kan bruke Wi-Fi-funksjonene til å få tilgang til andre maskiner. på samme nettverk). Så selv om null-dagers utnyttelse kan være teoretisk løst (og ikke lenger en sann «null-dag»), kan det fortsatt være nyttig for angripere på lang sikt.
Beskytte deg selv mot null-dagers angrep
På grunn av sin natur er det umulig å 100% beskytte deg mot null-dagers utnyttelse. Hvordan kan du beskytte deg mot noe du ikke en gang vet eksisterer? Den gode nyheten er at det er flere gode fremgangsmåter du kan følge for å minimere risikoen for et null-dagers angrep:
- Øv på sikker programvare livssyklusutvikling for å holde koden din trygg og sikker
- Installer sårbarhetsstyrings- og oppdateringsprogrammer slik at programvaren blir oppdatert med en gang
- Distribuere lagdelte sikkerhetskontroller og begrense tilgangen til et så lite antall brukere som mulig
- Ha omfattende planer for katastrofegjenoppretting og sikkerhetskopiering (bruk noe sånt som CodeGuard som gjør det mulig å gjenopprette nettstedet ditt øyeblikkelig)
- Hold øye med kunngjøringer om null-dagers utnyttelse og installer oppdateringer så snart de er tilgjengelige
- Utfør sårbarhetsskanning, som noen ganger kan oppdage null-dagers sårbarheter
- Bruk penetrasjonstesting for å teste koden/programvaren din grundig for svakheter og sårbarheter
- Implementere brannmurer, gjenkjenning av inntrenging og andre systemer som lar deg umiddelbart blokkere og/eller svare på et bredt utvalg av angrepstyper
- Utfør inndatavalidering og rensing for å lukke angrepsvektoren som følger med inndatafelt på nettsteder og applikasjoner
- Lag et dusørprogram som belønner utviklere for å finne sårbarheter i programvaren din
Null risiko for null-dags angrep (eller minst mulig)
Null-dags-angrep skjer uten varsel, noe som gjør dem vanskelige å beskytte mot. Det faktum at de vanligvis går etter høyprofilerte mål, gjør dem desto mer truende. Ved å følge generelle sikkerhetspraksis og ha en sikkerhetskopi på plass, kan du imidlertid bidra til å redusere potensiell skade. Innstaller alltid oppdateringer så snart som mulig, noe som vil minimere farevinduet for en gitt sårbarhet. Ved å følge disse forslagene vil risikoen for eksponering for null-dagers angrep være så nær null som mulig.