Zero-day attack часть первая

ВВЕДЕНИЕ

"Ку хацкер что читает эту статью..." Моя статья будит разбита на несколько частей, как говорится от теории к практике, постепенно Я буду вводить вас в терминалогию, что бы вы не запутались как это бывает... Мы поговорим на такие темы как: кому нужны 0-day уязвимости? что из себя они представляют? можно ли на этом заработать? и многое другое...

И так поехали...

Zero-day attack - атака нулевого дня , которая пытается использовать компьютерное приложение уязвимостей , которые неизвестны другим или разработчиком программного обеспечения.
Термин происходит от возраста эксплуатировать. "Нулевого дня" нападение будет иметь место до или в первый или " нулевой "день осознания разработчиком, а это означает, что разработчик не было никакой возможности распространять исправления безопасности для пользователей программного обеспечения.

Вредоносные писатели они же Вирмейкеры могут использовать уязвимости нулевого дня через несколько различных векторов атак . Обычно это веб-браузеры конкретной цели из-за их широкого распространения и использования. Злоумышленники могут также отправлять вложения электронной почты, которые используют уязвимости в приложении открытие вложений.

Атаки нулевого дня происходят во время окно уязвимости, которая существует во времени между моментом, когда уязвимость первой эксплуатации и, когда разработчики программного обеспечения начинают развиваться вразрез с этой угрозой, разработчик создает программное обеспечение, содержащее неизвестные уязвимости. Атаки нулевого дня остают вовсе не замечеными, после их проведения.

 Пару слов о создателях сплоит-паков...

Вирмейкеры которые разрабатывают сплоит-паки могут заплатить за найденную уязвимость несколько десятков тысяч баксов, если речь идет об 0day-находке в самой популярной версии Windows'а. или в тех же веб-браузерах.. Так как сплоит-пак должен всегда быть забит подзавязку различными 0day-уязвимостями, если покупатель хочет достичь хорошего пробива ;) Кстате, а что такое сплойт-пак? Это система для заражения компьютеров. Такие атаки называются Drive-by-Download , но об этом в другой статье...

ПРАВИЛЬНЫЕ "БАРЫГИ"

Существуют и такие программы как "найди 0-day получи $$$$". Примером такой программы является Zero Day Initiative (zerodayinitiative.com ), компании TippingPoint. Причем это все легально!!! Ты ищишь 0-day баг и продаешь им, а они в течении 40-дней как это бывает обычно (такие исправления в кратчайшие сроки нызваются 0-day path, после чего это вноситься в белый список - он же Zero-Day Protection) , иправляют найденую тобой уязвимость, проще говоря Zero Day Initiative это посредник, который работает напрямую с разработчиками какого либо ПО. Но это не единственный vendor (скупщик - продавец), есть и другие, ниже Я приведу список:

http://google.com/about/corporate/company/rewardprogram.html
http://facebook.com/whitehat
http://habrahabr.ru/company/yandex/blog/131199/
http://mozilla.org/security/bug-bounty.html
http://secunia.com/company/blog_news/news/271

 и т д ;)

Обнаружение 0day-уязвимостей

На данный момент многие вирусописатели фокусируют свои усилия именно на обнаружении неизвестных уязвимостей в программном обеспечении. Это обусловлено высокой эффективностью использования уязвимостей, что, в свою очередь, связано с двумя фактами – высоким распространением уязвимого ПО (именно такое программное обеспечение, как правило, атакуют хакеры) и некоторым временным промежутком между обнаружением уязвимости компанией-разработчиком программного обеспечения и выпуском соответствующего обновления для исправления ошибки.

Для обнаружения уязвимостей вирмейкеры или хакеры которые сотрудничают друг с другом (блэкхат-ОПГ) используют различные техники, например:

* Дизассемблирование программного кода и последующий поиск ошибок непосредственно в коде программного обеспечения;
* Реверс-инжиниринг и последующий поиск ошибок в алгоритмах работы программного обеспечения;
* Fuzz-тестирование – своего рода стресс-тест для программного обеспечения, суть которого заключается в обработке программным обеспечением большого объёма информации, содержащей заведомо неверные параметры.

После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода (0-day exploit), использующего обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей.

THE END

На сегодняшний день, самой известной вредоносной программой, использующую атаку нулевого дня в программном обеспечении, является червь Stuxnet, который был обнаружен летом 2010 года. Stuxnet использовал ранее не известную уязвимость операционных систем семейства Windows, связанную с алгоритмом обработки ярлыков. Следует отметить, что помимо 0day уязвимости Stuxnet использовал ещё три, ранее известные, уязвимости. Атаки нулевого дня остаются не замечеными т к , зафиксировать активность такого рода вовсе не возможно. Их доля составляет 4% , а то и 8% а что это за атаки и на что направлены неизвестно. Проще говоря если у нас есть 0-day exploit мы можем провести атаку нулевого дня, и мы останемся не замечеными :D понимаешь о чем Я говорю да? На самом деле это одна из острыз проблем IT-сообщества. Я думаю вас мои дорогие читатели это заинтересовало не так ли?))) мб у кого то уже и руки зачесались :D , в следующей статье мы перейдем к практике и напишим свой первый 0-day ехploit.

з.ы. пишим 0day жизнь =\\\