Wat is en hoe virussen, malware te detecteren Zero Days

We hebben onlangs geleerd hoe Wil huilen, een ransomware die duizenden gebruikers en honderden bedrijven trof, zette alle niveaus van IT-beheer in de wereld op scherp dankzij de snelle verspreiding en talrijke latente bedreigingen.

En het is net zoals Wannacry de gegevens verspreidde en beïnvloedde van veel mensen die betaling eisten voor hun "redden“Het is belangrijk dat we weten dat dit type virus niet het enige is dat de veiligheid en privacy van gebruikers aantast en daarom streeft Solvetic ernaar om deze bedreigingen te analyseren en te informeren hoe ze te kennen en acties te ondernemen om ze te vermijden.

Jezelf beschermen tegen dit soort bedreigingen is belangrijk wanneer we willen en nodig hebben dat onze informatie veilig is. Het eerste dat u moet weten, is wat deze virussen en aanvallen zijn en welke tools we hebben om ermee om te gaan.

Daarom zullen we vandaag in detail praten over een nieuwe dreiging genaamd Nul dagen (Dag nul).

Wat is echt Zero DaysHoewel Zero Days technisch gezien niet dezelfde impact zal hebben als Wannacry, zowel op het gebied van privacy als economie, kan het de prestaties en meerdere parameters en gebruikersgegevens aanzienlijk beïnvloeden en, in tegenstelling tot Wannacry dat Windows-besturingssystemen aanvalt, kan dit Windows, Linux of Mac beïnvloeden besturingssysteem.

Zero Day is opgenomen in een "groep" aanvallen genaamd Zero-Day Threats en bestaat in feite uit het aanvallen van een kwetsbaarheid, die vaak voorkomt, in het besturingssysteem die nog niet is uitgewerkt door het bedrijf of de ontwikkelaar en dit kan van invloed zijn op gegevens, applicaties , netwerk- of besturingssysteemhardware.

De voorwaarde Nul dagen of nul dagen geeft aan dat de systeemontwikkelaars nul dagen, niets, hebben om het probleem op te lossen en dat elke minuut die wordt besteed aan het zoeken naar een oplossing, dit virus wereldwijd meerdere gebruikers kan beschadigen.

Dit type aanval wordt ook wel Nul Dagen Exploit en het kan meerdere vormen aannemen, zoals malware, wormen, Trojaanse paarden en andere soorten bedreigingen, en aanvallers maken gebruik van deze beveiligingsproblemen om hun massale aanval uit te voeren.

Helaas wordt bij deze nieuwe aanval de kwetsbaarheid uitgebuit en uitgebuit door de aanvaller voordat er een patch is om deze te corrigeren.

1. Hoe het Zero Days-virus werkt


We hebben vermeld dat deze virussen misbruik maken van beveiligingsproblemen om hun aanval uit te voeren, maar er zijn verschillende manieren waarop ze dit kunnen bereiken en dit zijn in feite de volgende:

Het gebruik van exploitcodes die de gevonden kwetsbaarheden wegnemen en zo virussen of malware op de doelcomputer implanteren.

Gebruik van middelen zoals e-mails of sociale netwerken voor gebruikers met weinig kennis om toegang te krijgen tot websites die door de aanvallers zijn gemaakt en op deze manier wordt de kwaadaardige code gedownload en uitgevoerd op de computer van het slachtoffer.

De stappen bij een Zero Days-aanval zijn als volgt:

KwetsbaarheidsscanIn deze stap gebruiken de aanvallers codes om een ​​gedetailleerde analyse uit te voeren op zoek naar beveiligingsfouten in de systemen en in speciale gevallen wordt de Zero Days Exploit verkocht of gekocht door de aanvallers.

Gevonden bugsOp dit punt vinden de aanvallers een beveiligingslek dat nog niet is ontdekt door de systeemontwikkelaars.

Code makenZodra de kwetsbaarheid is ontdekt, gaan de aanvallers verder met het maken van de exploitatiecode of Zero Days Exploit.

SysteeminfiltratieAanvallers toegang tot het systeem onopgemerkt door de ontwikkelaars.

Het Zero Day-virus uitvoerenZodra de aanvallers toegang hebben tot het systeem, kunnen ze het virus hosten dat is ontwikkeld om de prestaties op de computer te beïnvloeden.

Dit is eigenlijk de manier waarop Zero Days werkt en het ergste van alles is dat vaak kwetsbaarheden ze worden ontdekt door de aanvallers en niet door de ontwikkelaars, dus op dit moment hebben ze een voordeel omdat deze fouten voor kwaadaardige doeleinden aan andere aanvallers kunnen worden verkocht.

Naast deze fase heeft de Zero Days-virusaanval een tijdvenster waarin het schade en storingen kan aanrichten bij honderden of duizenden computers en gebruikers, aangezien dit tijdvenster ligt in de periode waarin een dreiging is gepubliceerd en de periode waarin beveiligingspatches ervoor worden vrijgegeven. Deze periode omvat:

  • Tijdstip van publicatie van de aanval aan gebruikers.
  • Detectie en Gedetailleerde analyse van kwetsbaarheid.
  • ontwikkeling van a correctie voor mislukking.
  • Officiële publicatie van lapje van veiligheid.
  • Release, distributie en installatie van de patch op de betrokken computers.

Dit kan minuten, uren of dagen duren waarin de aanval zich verspreidt en van deze tijd profiteert.

2. Soorten Zero Days-aanvallen


Er zijn enkele soorten aanvallen waarvan we kunnen weten dat ze later de nodige beveiligingsmaatregelen kunnen nemen, sommige van deze aanvallen zijn:

Zero Day MalwareDeze aanval verwijst naar de kwaadaardige code die door de aanvaller is gemaakt om de kwetsbaarheden te vinden die nog niet zijn gevonden. Er zijn verschillende manieren waarop deze aanval zich kan verspreiden, waaronder bijlagen, spam, pishing, frauduleuze websites, enz.

Zero Days Trojaans paardHoewel ze niet zo vaak voorkomen, kunnen er veel meer in een virus worden ondergebracht en op deze manier kan het doelsysteem worden aangevallen en aangetast.

Worm nul dagenDit type aanval heeft de mogelijkheid om bestanden te verwijderen, wachtwoorden te stelen, zich via het netwerk te verspreiden, en dit type aanval is nog niet geïdentificeerd door beveiligingsontwikkelaars, vandaar de naam zero days.

3. Hoe herken je een Zero Days-aanval?

Er zijn verschillende technieken waarmee een Zero Days-aanval tijdig kan worden gedetecteerd om de nodige beveiligingsmaatregelen te nemen, waaronder:

Op handtekeningen gebaseerde techniekenDit type detectie is afhankelijk van de handtekeningen van bekende exploits.

Statistische techniekenDit type techniek is gebaseerd op profielen van aanvallen die in eerdere perioden hebben plaatsgevonden en stelt u in staat een trend te zien.

Op gedrag gebaseerde techniekDit type techniek is gebaseerd op de analyse van de actie tussen de exploit en het doelwit.

Hybride techniekMet dit type techniek kunnen we verschillende analysemethoden gebruiken.

4. Nuldagenstatistieken


Hieronder hebben we de volgende statistieken die laten zien hoe Zero Days de reikwijdte en het risiconiveau voor gebruikers geleidelijk heeft vergroot. Enkele relevante gegevens zijn:
  • 35% van de malware wereldwijd is Zero Days.
  • Een van de belangrijkste aanvallen van Zero Days is via JavaScript.
  • 73% van de aanvallen via websites wordt gedaan met het downloaden van stuurprogramma's.
  • De meeste Zero Days Trojan-aanvallen worden uitgevoerd in Linux-omgevingen.
  • Er zijn meer dan 18,4 miljoen varianten van Zero Days-malware.
  • Op macro's gebaseerde malware wint terrein.
  • De belangrijkste netwerkaanval genaamd Wscript.shell was gericht op het aanvallen van Duitsland.

We hebben aangegeven dat Zero Days-exploits bij verschillende gelegenheden kunnen worden verkocht aan andere aanvallers of aan bedrijven om de kwetsbaarheid niet bekend te maken en de geloofwaardigheid te verliezen. op de markt kunnen hebben:

  • Mac OS X: Tussen $ 20.000 en $ 50.000.
  • Adobe Reader: Tussen $ 5.000 en $ 30.000.
  • Android: Tussen $ 30.000 en $ 60.000.
  • Flash of Java: Tussen $ 40.000 en $ 100.000.
  • Ramen: Tussen $ 60.000 en $ 120.000.
  • iOS: Tussen $ 100.000 en $ 250.000.
  • Microsoft Word: Tussen $ 50.000 en $ 100.000.

We kunnen zien hoe de prijzen variëren, afhankelijk van het beveiligingsniveau van elke applicatie of elk besturingssysteem.

5. Zero Days Kwetsbaarheidslijst


Het beveiligingsbedrijf Symantec, bekend om zijn implementatietechnieken tegen verschillende soorten bedreigingen, heeft een lijst gepubliceerd met de meest relevante Zero Days-kwetsbaarheden per categorie. We voegen elke link bij om iets meer te weten te komen over de werking ervan:

Adobe / Flash

  • Beveiligingslek met betrekking tot uitvoering van externe code - CVE-2014-0502
  • Operatie Greedy Wonk (CVE-2014-0498))
  • Operatie Pion Storm (CVE-2015-7645)
  • Beveiligingslek met betrekking tot bufferoverloop (CVE-2014-0515)

Apache

  • Kwetsbaarheid bij het uitvoeren van externe code en DoS-aanvallen (CVE-2014-0050, CVE-2014-0094)

Microsoft Word

  • Beveiligingslek met betrekking tot uitvoering van externe code - CVE-2104-1761

ramen

  • Kwetsbaarheid in TrueType-lettertypen (CVE2014-4148)
  • Beveiligingslek met betrekking tot extern groepsbeleid (CVE 2015-0008)
  • Beveiligingslek met betrekking tot de uitvoering van OLE-pakketten (CVE 2014-4114)

6. Zakelijk met Zero Days Attacks


We hebben de cijfers gezien dat een systeemkwetsbaarheid kan kosten, maar het punt is dat er een markt is die is gebaseerd op nuldagen en kan bestaan ​​uit criminelen die grote bedragen betalen om de kwetsbaarheden of entiteiten te verkrijgen waaraan ze betalen vind de gebreken en vermijd aanvallen, er zijn drie soorten handelaren in deze Zero Days-wereld:

Zwarte marktVertel aanvallers dat ze exploitcodes of Zero Days Exploit verhandelen.

Witte marktIn dit soort zaken detecteren onderzoekers fouten en verkopen deze aan de bedrijven die het systeem of de applicatie ontwikkelen.

grijze marktIn deze markt worden kwetsbaarheden verkocht aan de overheid, het leger of inlichtingendiensten om te worden gebruikt als bewakingsmechanisme.

7. Hoe onszelf te beschermen tegen Zero Days


Nu komt een van de belangrijkste punten en dat is met welke maatregelen we rekening moeten houden om onszelf te beschermen tegen Zero Days-aanvallen. Hier zijn een paar tips:

Java uitschakelen vanuit browsersZoals we eerder zagen, is Java een van de voorkeurskanalen geworden voor Zero Days-aanvallers om verschillende soorten virussen op computers te implementeren met behulp van technieken zoals DDoS.

Het advies is om Java uit te schakelen om dit soort aanvallen te voorkomen en we zullen geen last hebben omdat moderne sites HTML5 gebruiken en Java niet vereist is.

Om Java in Safari uit te schakelen, ga naar het menu Safari / Voorkeuren en in het tabblad Veiligheid we deactiveren de box JavaScript toestaan

VERGROTEN

In de huidige versies van Mozilla Firefox is het gebruik van Java om veiligheidsredenen uitgeschakeld:

VERGROTEN

Om JavaScript in Google Chrome uit te schakelen, gaat u naar het menu Google Chrome aanpassen en beheren, selecteer de optie Instellingen / Toon geavanceerde instellingen, op het tabblad Privacy selecteren we Inhoudsinstellingen en in het weergegeven venster zoeken we het JavaScript-veld en activeren we het vakje Sta geen enkele site toe om JavaScript uit te voeren.

Het besturingssysteem bijwerkenEen van de redenen waarom de verspreiding van Zero Days te wijten is aan de verouderde besturingssystemen, raden we aan deze continu bij te werken, zodat alle beveiligingspatches worden toegepast. In Windows-besturingssystemen kunnen we gaan naar: Configuratie / Update en beveiliging:

VERGROTEN

In Mac OS-omgevingen krijgen we een melding wanneer er nieuwe updates zijn via de Store en in Linux-omgevingen kunnen we opdrachten uitvoeren zoals sudo apt update.

Beveiligingssoftware gebruikenHet is belangrijk dat we, naast updates van het besturingssysteem en de respectievelijke applicaties, beveiligingssoftware gebruiken om de impact van Zero Days op het systeem te beperken:

VERGROTEN

Enkele van de programma's die we kunnen gebruiken zijn:

Vermijd het downloaden van bijlagen van onbekende afzendersEen van de handigste manieren waarop Zero Days zich verspreidt, is via massale e-mails die gebruikers openen en op de respectieve links klikken zonder te weten dat ze gericht zijn op frauduleuze websites waar de malware later zal worden geïnstalleerd.

Een van de manieren waarop deze e-mails worden gecamoufleerd, is door gebruik te maken van vermeende gerechtelijke kennisgevingen, embargo's, berichten van onder meer onze bankentiteiten:

VERGROTEN

We moeten voorzichtig zijn en de afzenders verifiëren, bellen om de meldingen te bevestigen en nooit bijlagen van dit type e-mail downloaden of op de links klikken.

Gebruik altijd een firewallmechanismeFirewalls helpen ons te beschermen tegen onbekende verbindingen op het netwerk, die op een significante manier overvloedig aanwezig zijn. Met een firewall kunnen we regels maken die parameters definiëren voor bepaalde programma's of toegang tot onze computer en op deze manier zullen we de beveiliging ervan vergroten.

VERGROTEN

Nul dagen Het is een dagelijkse bedreiging, maar als we voorzichtig zijn, zullen we voorkomen dat we een van de verspreidingskanalen hiervan zijn en zullen we ervoor zorgen dat onze informatie beschermd en altijd beschikbaar is. Voor zover mogelijk raden we onze vrienden, familie of collega's aan om hun systemen en applicaties up-to-date te houden en vooral om verdachte e-mails te openen of onbetrouwbare bestanden uit te voeren.

wave wave wave wave wave