Zero-day attack часть первая
Автор: Zer0Set 15.01.2018 19:08
ВВЕДЕНИЕ
"Ку хацкер что читает эту статью..." Моя статья будит разбита на несколько частей, как говорится от теории к практике, постепенно Я буду вводить вас в терминалогию, что бы вы не запутались как это бывает... Мы поговорим на такие темы как: кому нужны 0-day уязвимости? что из себя они представляют? можно ли на этом заработать? и многое другое...
И так поехали...
Zero-day attack - атака нулевого дня , которая пытается использовать компьютерное приложение уязвимостей , которые неизвестны другим или разработчиком программного обеспечения.
Термин происходит от возраста эксплуатировать. "Нулевого дня" нападение будет иметь место до или в первый или " нулевой "день осознания разработчиком, а это означает, что разработчик не было никакой возможности распространять исправления безопасности для пользователей программного обеспечения.
Вредоносные писатели они же Вирмейкеры могут использовать уязвимости нулевого дня через несколько различных векторов атак . Обычно это веб-браузеры конкретной цели из-за их широкого распространения и использования. Злоумышленники могут также отправлять вложения электронной почты, которые используют уязвимости в приложении открытие вложений.
Атаки нулевого дня происходят во время окно уязвимости, которая существует во времени между моментом, когда уязвимость первой эксплуатации и, когда разработчики программного обеспечения начинают развиваться вразрез с этой угрозой, разработчик создает программное обеспечение, содержащее неизвестные уязвимости. Атаки нулевого дня остают вовсе не замечеными, после их проведения.
Пару слов о создателях сплоит-паков...
Вирмейкеры которые разрабатывают сплоит-паки могут заплатить за найденную уязвимость несколько десятков тысяч баксов, если речь идет об 0day-находке в самой популярной версии Windows'а. или в тех же веб-браузерах.. Так как сплоит-пак должен всегда быть забит подзавязку различными 0day-уязвимостями, если покупатель хочет достичь хорошего пробива ;) Кстате, а что такое сплойт-пак? Это система для заражения компьютеров. Такие атаки называются Drive-by-Download , но об этом в другой статье...
ПРАВИЛЬНЫЕ "БАРЫГИ"
Существуют и такие программы как "найди 0-day получи $$$$". Примером такой программы является Zero Day Initiative (zerodayinitiative.com ), компании TippingPoint. Причем это все легально!!! Ты ищишь 0-day баг и продаешь им, а они в течении 40-дней как это бывает обычно (такие исправления в кратчайшие сроки нызваются 0-day path, после чего это вноситься в белый список - он же Zero-Day Protection) , иправляют найденую тобой уязвимость, проще говоря Zero Day Initiative это посредник, который работает напрямую с разработчиками какого либо ПО. Но это не единственный vendor (скупщик - продавец), есть и другие, ниже Я приведу список:
http://google.com/about/corporate/company/rewardprogram.html
http://facebook.com/whitehat
http://habrahabr.ru/company/yandex/blog/131199/
http://mozilla.org/security/bug-bounty.html
http://secunia.com/company/blog_news/news/271
и т д ;)
Обнаружение 0day-уязвимостей
На данный момент многие вирусописатели фокусируют свои усилия именно на обнаружении неизвестных уязвимостей в программном обеспечении. Это обусловлено высокой эффективностью использования уязвимостей, что, в свою очередь, связано с двумя фактами – высоким распространением уязвимого ПО (именно такое программное обеспечение, как правило, атакуют хакеры) и некоторым временным промежутком между обнаружением уязвимости компанией-разработчиком программного обеспечения и выпуском соответствующего обновления для исправления ошибки.
Для обнаружения уязвимостей вирмейкеры или хакеры которые сотрудничают друг с другом (блэкхат-ОПГ) используют различные техники, например:
* Дизассемблирование программного кода и последующий поиск ошибок непосредственно в коде программного обеспечения;
* Реверс-инжиниринг и последующий поиск ошибок в алгоритмах работы программного обеспечения;
* Fuzz-тестирование – своего рода стресс-тест для программного обеспечения, суть которого заключается в обработке программным обеспечением большого объёма информации, содержащей заведомо неверные параметры.
После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода (0-day exploit), использующего обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей.
THE END
На сегодняшний день, самой известной вредоносной программой, использующую атаку нулевого дня в программном обеспечении, является червь Stuxnet, который был обнаружен летом 2010 года. Stuxnet использовал ранее не известную уязвимость операционных систем семейства Windows, связанную с алгоритмом обработки ярлыков. Следует отметить, что помимо 0day уязвимости Stuxnet использовал ещё три, ранее известные, уязвимости. Атаки нулевого дня остаются не замечеными т к , зафиксировать активность такого рода вовсе не возможно. Их доля составляет 4% , а то и 8% а что это за атаки и на что направлены неизвестно. Проще говоря если у нас есть 0-day exploit мы можем провести атаку нулевого дня, и мы останемся не замечеными :D понимаешь о чем Я говорю да? На самом деле это одна из острыз проблем IT-сообщества. Я думаю вас мои дорогие читатели это заинтересовало не так ли?))) мб у кого то уже и руки зачесались :D , в следующей статье мы перейдем к практике и напишим свой первый 0-day ехploit.
з.ы. пишим 0day жизнь =\\\