Cos'è e come rilevare virus, malware Zero Days

Abbiamo recentemente imparato come Voglio piangere, un ransomware che ha colpito migliaia di utenti e centinaia di aziende, ha messo in allerta tutti i livelli dell'amministrazione IT del mondo grazie alla sua rapida diffusione e alle numerose minacce latenti.

Ed è proprio come Wannacry ha diffuso e influenzato i dati di molte persone che chiedono il pagamento per il loro "salvare"È importante sapere che questo tipo di virus non è l'unico che colpisce tutta la sicurezza e la privacy degli utenti ed è per questo che Solvetic si sforza di analizzare queste minacce e informare su come conoscerle e intraprendere azioni per evitarle.

Proteggersi da minacce di questo tipo è importante quando vogliamo e abbiamo bisogno che le nostre informazioni siano al sicuro. La prima cosa da sapere è cosa sono questi virus e attacchi e poi quali strumenti abbiamo per affrontarli.

Ecco perché oggi parleremo in dettaglio di una nuova minaccia chiamata Zero giorni (Giorno zero).

Cos'è veramente Zero DaysSebbene Zero Days tecnicamente non avrà lo stesso impatto di Wannacry sia in termini di privacy che di economia, può influenzare in modo significativo le prestazioni e molteplici parametri e dati utente e, a differenza di Wannacry che attacca i sistemi operativi Windows, questo può influenzare Windows, Linux o Mac sistema operativo.

Zero Day è incluso in un "gruppo" di attacchi chiamato Zero-Day Threats e consiste sostanzialmente nell'attaccare una vulnerabilità, frequente, nel sistema operativo che non è stata ancora dettagliata dall'azienda o dallo sviluppatore e che può colpire dati, applicazioni , rete o hardware del sistema operativo.

Il termine Zero giorni o Zero giorni indica che gli sviluppatori del sistema hanno zero giorni, niente, per risolvere il problema e che ogni minuto trascorso alla ricerca di una soluzione questo virus potrebbe danneggiare più utenti in tutto il mondo.

Questo tipo di attacco è anche chiamato Zero Days Exploit e può assumere più forme come malware, worm, trojan e altri tipi di minacce e gli aggressori sfruttano queste vulnerabilità di sicurezza per lanciare il loro attacco massiccio.

Sfortunatamente con questo nuovo attacco la vulnerabilità viene sfruttata e sfruttata dall'attaccante prima che ci sia una patch per correggerla.

1. Come funziona il virus Zero Days


Abbiamo detto che questi virus sfruttano le vulnerabilità della sicurezza per lanciare il loro attacco, ma ci sono diversi modi in cui lo realizzano e sono fondamentalmente i seguenti:

Utilizzo di codici exploit che prendono le vulnerabilità rilevate e quindi impiantano virus o malware sul computer di destinazione.

Utilizzo di mezzi come e-mail o social network per utenti con scarse conoscenze per accedere a siti web creati dagli aggressori e in questo modo il codice dannoso verrà scaricato ed eseguito sul computer della vittima.

I passaggi coinvolti in un attacco Zero Days sono i seguenti:

Scansione delle vulnerabilitàIn questa fase gli aggressori utilizzano dei codici per effettuare un'analisi dettagliata alla ricerca di falle di sicurezza nei sistemi e in casi particolari gli Zero Days Exploit vengono venduti o acquistati dagli aggressori.

Bug trovatiA questo punto, gli aggressori trovano una falla di sicurezza che non è stata ancora scoperta dagli sviluppatori del sistema.

Creazione del codiceUna volta scoperta la vulnerabilità, gli aggressori procedono a creare il codice di sfruttamento o Zero Days Exploit.

Infiltrazione nel sistemaGli aggressori accedono al sistema senza essere rilevati dagli sviluppatori.

Gestire il virus Zero DayUna volta che gli aggressori avranno accesso al sistema, saranno in grado di ospitare il virus sviluppato per influenzarne le prestazioni sul computer.

Questo è fondamentalmente il modo in cui funziona Zero Days e la cosa peggiore è che molte volte vulnerabilità vengono scoperti dagli aggressori e non dagli sviluppatori, quindi a questo punto hanno un vantaggio in quanto questi difetti possono essere venduti ad altri aggressori per scopi dannosi.

Oltre a questa fase, l'attacco del virus Zero Days ha una finestra temporale in cui può provocare scompiglio e guasti in centinaia o migliaia di computer e utenti, poiché questa finestra temporale si colloca nel periodo in cui è stata pubblicata una minaccia e nel periodo in cui vengono rilasciate le patch di sicurezza. Questo periodo di tempo include:

  • Tempo di pubblicazione del attacco agli utenti.
  • Rilevamento e Analisi dettagliata di vulnerabilità.
  • Sviluppo di a correzione per fallimento.
  • Pubblicazione ufficiale di toppa di sicurezza.
  • Rilascio, distribuzione e installazione della patch sui computer interessati.

Questo può richiedere minuti, ore o giorni in cui l'attacco verrà diffuso sfruttando questo tempo.

2. Tipi di attacchi Zero Days


Esistono alcuni tipi di attacchi che possiamo conoscere per adottare in seguito le misure di sicurezza necessarie, alcuni di questi attacchi sono:

Malware zero-dayQuesto attacco si riferisce al codice dannoso creato dall'attaccante per trovare le vulnerabilità che non sono state ancora trovate. Esistono diversi modi in cui questo attacco può diffondersi, inclusi allegati, spam, pishing, siti Web fraudolenti, ecc.

Zero Days TrojanSebbene non siano così comuni, consentono a molti di più di essere ospitati all'interno di un virus e in questo modo il sistema di destinazione può essere attaccato e colpito.

Worm Zero DaysQuesto tipo di attacco ha la capacità di eliminare file, rubare password, diffondersi attraverso la rete e questo tipo di attacco non è stato ancora identificato dagli sviluppatori di sicurezza, da cui il nome zero days.

3. Come individuare un attacco Zero Days

Esistono diverse tecniche che consentono di rilevare un attacco Zero Days in tempo per adottare le necessarie misure di sicurezza, queste tecniche includono:

Tecniche basate sulla firmaQuesto tipo di rilevamento dipende dalle firme degli exploit noti.

Tecniche statisticheQuesto tipo di tecnica si basa su profili di attacchi che si sono verificati in periodi di tempo precedenti e consente di vedere una tendenza.

Tecnica basata sul comportamentoQuesto tipo di tecnica si basa sull'analisi dell'azione tra l'exploit e il target.

Tecnica ibridaCon questo tipo di tecnica possiamo utilizzare vari metodi di analisi.

4. Statistiche Zero Days


Di seguito abbiamo le seguenti statistiche che mostrano come Zero Days abbia gradualmente aumentato la sua portata e il livello di rischio per gli utenti, alcuni dati rilevanti sono:
  • Il 35% del malware in tutto il mondo è Zero Days.
  • Uno dei principali attacchi di Zero Days è tramite JavaScript.
  • Il 73% degli attacchi tramite siti Web viene effettuato utilizzando download di driver.
  • La maggior parte degli attacchi Zero Days Trojan viene eseguita in ambienti Linux.
  • Esistono più di 18,4 milioni di varietà di malware Zero Days.
  • Il malware basato su macro sta guadagnando terreno.
  • Il principale attacco alla rete chiamato Wscript.shell era focalizzato sull'attacco alla Germania.

Abbiamo indicato che in diverse occasioni gli exploit Zero Days possono essere venduti sia ad altri aggressori che ad aziende per non rivelare la vulnerabilità e perdere credibilità, beh, questo è un elenco generato da Forbes dove vediamo il prezzo che uno Zero Days Exploit può avere sul mercato:

  • Mac OS X: Tra $ 20.000 e $ 50.000.
  • Lettore Adobe: Tra $ 5.000 e $ 30.000.
  • Android: Tra $ 30.000 e $ 60,0000.
  • Flash o Java: Tra $ 40.000 e $ 100.000.
  • Finestre: Tra $ 60.000 e $ 120.000.
  • IOS: Tra $ 100.000 e $ 250.000.
  • Microsoft Word: Tra $ 50.000 e $ 100.000.

Possiamo vedere come i prezzi variano a seconda del livello di sicurezza di ciascuna applicazione o sistema operativo.

5. Elenco vulnerabilità Zero Days


La società di sicurezza Symantec, nota per le sue tecniche di implementazione contro vari tipi di minacce, ha pubblicato un elenco con le vulnerabilità Zero Days più rilevanti per categorie, alleghiamo ogni link per saperne un po' di più sul suo funzionamento:

Adobe Flash

  • Vulnerabilità legata all'esecuzione di codice remoto - CVE-2014-0502
  • Operazione Greedy Wonk (CVE-2014-0498))
  • Operazione Pawn Storm (CVE-2015-7645)
  • Vulnerabilità di overflow del buffer (CVE-2014-0515)

Apache

  • Vulnerabilità nell'esecuzione di codice remoto e attacchi DoS (CVE-2014-0050, CVE-2014-0094)

Microsoft Word

  • Vulnerabilità legata all'esecuzione di codice remoto - CVE-2104-1761

finestre

  • Vulnerabilità nei caratteri TrueType (CVE2014-4148)
  • Vulnerabilità dei criteri di gruppo remoti (CVE 2015-0008)
  • Vulnerabilità di esecuzione del pacchetto OLE (CVE 2014-4114)

6. Affari con attacchi Zero Days


Abbiamo visto le cifre che può costare una vulnerabilità di sistema ma il punto è che esiste un mercato che si basa sugli Zero Days e può essere formato da menti criminali che pagano grosse somme per ottenere le vulnerabilità o entità che pagano a trova i difetti ed evita gli attacchi, ci sono tre tipi di trader in questo mondo Zero Days:

Mercato neroComunica agli aggressori che stanno scambiando codici exploit o Zero Days Exploit.

mercato biancoIn questo tipo di attività, i ricercatori rilevano i guasti e li vendono alle aziende che sviluppano il sistema o l'applicazione.

Mercato grigioIn questo mercato, le vulnerabilità vengono vendute a enti governativi, militari o di intelligence per essere utilizzate come meccanismo di sorveglianza.

7. Come proteggerci dai Zero Days


Ora arriva uno dei punti più importanti ed è quello che dobbiamo prendere in considerazione per proteggerci dagli attacchi Zero Days. Ecco alcuni suggerimenti:

Disabilita Java dai browserCome abbiamo visto in precedenza, Java è diventato uno dei canali preferiti dagli aggressori Zero Days per implementare vari tipi di virus sui computer utilizzando tecniche come DDoS.

Il consiglio è di disabilitare Java per prevenire questo tipo di attacco e non ne saremo interessati poiché i siti moderni sono su HTML5 e Java non sarà richiesto.

Per disabilitare Java in Safari vai al menu Safari / Preferenze e nella scheda Sicurezza disattiviamo la scatola Consenti JavaScript

INGRANDIRE

Nelle attuali versioni di Mozilla Firefox, l'uso di Java è stato disabilitato per motivi di sicurezza:

INGRANDIRE

Per disabilitare JavaScript in Google Chrome vai al menu Personalizza e controlla Google Chrome, seleziona l'opzione Impostazioni / Mostra impostazioni avanzate, nella scheda Privacy selezioniamo Le impostazioni del contenuto e nella finestra visualizzata individuiamo il campo JavaScript e attiviamo la casella Non consentire a nessun sito di eseguire JavaScript.

Aggiorna il sistema operativoUno dei motivi per cui Zero Days spread è dovuto ai sistemi operativi obsoleti, consigliamo di aggiornarli continuamente in modo che vengano applicate tutte le patch di sicurezza. Nei sistemi operativi Windows possiamo andare su Configurazione/Aggiornamento e sicurezza:

INGRANDIRE

Negli ambienti Mac OS verremo avvisati quando ci sono nuovi aggiornamenti tramite lo Store e negli ambienti Linux possiamo eseguire comandi come sudo apt update.

Usa software di sicurezzaÈ importante che, oltre agli aggiornamenti del sistema operativo e delle rispettive applicazioni, utilizziamo software di sicurezza per aiutare a mitigare l'impatto di Zero Days sul sistema:

INGRANDIRE

Alcuni dei programmi che possiamo utilizzare sono:

Evita di scaricare allegati da mittenti sconosciutiUno dei modi più utili con cui Zero Days si diffonde è tramite e-mail di massa che gli utenti aprono e fanno clic sui rispettivi collegamenti senza sapere che sono diretti a siti Web fraudolenti in cui verrà successivamente installato il malware.

Uno dei modi in cui vengono camuffate queste e-mail è l'utilizzo di presunte notifiche giudiziarie, embarghi, messaggi delle nostre entità bancarie, tra gli altri:

INGRANDIRE

Bisogna stare attenti e verificare i mittenti, chiamare per confermare le notifiche e non scaricare mai allegati di questo tipo di mail o cliccare sui link.

Usa sempre un meccanismo firewallI firewall ci aiutano a proteggerci dalle connessioni sconosciute sulla rete, che sono abbondanti in modo significativo. Con un firewall possiamo creare regole che definiscono parametri su determinati programmi o accedere al nostro computer e in questo modo aumenteremo la sicurezza in esso.

INGRANDIRE

Zero giorni È una minaccia quotidiana, ma se stiamo attenti eviteremo di essere uno dei canali di propagazione di questo e nel processo ci assicureremo che le nostre informazioni siano protette e sempre disponibili. Per quanto possibile, consigliamo ai nostri amici, familiari o colleghi di mantenere aggiornati i loro sistemi e applicazioni e soprattutto di evitare di aprire e-mail sospette o eseguire file inaffidabili.

wave wave wave wave wave