content/zh-cn/images/repository/isc/2017-images/malicious-programs-img-04.jpg

零日的含义和定义

"零日"是一个广义术语,描述最近发现的黑客可以用来攻击系统的安全漏洞。术语"零日"指供应商或开发人员刚刚了解到缺陷,这意味着他们有"零日"来修复它。当黑客在开发人员有机会解决漏洞之前利用漏洞时,就会发生零日攻击。

零日有时被写成 0 日。漏洞、利用和攻击这三个词通常与“零日”一起使用,理解其中的区别很有帮助:

  • 一个 零日漏洞是攻击者在供应商意识到它之前发现的软件漏洞。由于供应商没有意识到,因此没有针对零日漏洞的补丁,从而攻击可能会成功。
  • 零日利用是黑客用来攻击具有先前未知漏洞的系统的方法。
  • 零日攻击是使用零日利用对受漏洞影响的系统造成损害或窃取数据。

什么是零日攻击,零日攻击如何工作?

软件通常具有安全漏洞,黑客可以利用这些漏洞造成严重破坏。软件开发人员一直在寻找漏洞来"修补",也就是说,开发他们在新更新中发布的解决方案。

但是,有时黑客或恶意行为者会在软件开发人员之前发现漏洞。在漏洞仍然开放时,攻击者可以编写和实现代码来利用它。这被称为漏洞利用代码。

漏洞利用代码可能导致软件用户受害,例如,通过身份盗窃或其他形式的网络犯罪。一旦攻击者发现零日漏洞,他们就需要一种方法来触达有漏洞的系统。他们经常通过 社会工程 电子邮件来执行此操作,这种邮件或者其它消息据称来自已知或合法的通信者,但实际上来自攻击者。该消息试图说服用户执行打开文件或访问恶意网站等操作。这样做会下载攻击者的恶意软件,该恶意软件会渗透用户的文件并窃取机密数据。

当漏洞被人知道时,开发人员会尝试修补它以阻止攻击。但是,安全漏洞通常不会被立即发现。开发人员有时可能需要几天、几周甚至几个月才能识别导致攻击的漏洞。即使零日补丁发布后,也不是所有用户都能快速实现它。近年来,黑客在发现漏洞后不久就会更快地利用漏洞。

漏洞可以在暗网上出售换来大笔钱。一旦漏洞被发现并打上补丁,它就不再被称为零日威胁。

零日攻击特别危险,因为唯一了解它们的人是攻击者自己。一旦渗透到网络中,犯罪分子可以立即攻击,也可以坐等最有利的时间。

谁在进行零日攻击?

进行零日攻击的恶意行为者根据其动机可分为不同类别。例如:

  • 网络犯罪分子—— 动机通常是经济收益的黑客
  • 黑客行动主义者 —— 受到政治或社会目标激励的黑客,希望借攻击吸引人们对其事业的关注
  • 企业间谍活动 —— 监视公司以获取有关信息的黑客
  • 网络战 —— 监视或攻击另一个国家的网络基础设施的国家或政治行为者

零日攻击的目标是谁?

零日黑客可以利用各种系统中的漏洞,包括:

  • 操作系统
  • 网页浏览器
  • 办公应用程序
  • 开源组件
  • 硬件和固件
  • 物联网(IoT)

结果是,有广泛的潜在受害者:

  • 使用易受攻击的系统(如浏览器或操作系统)的个人 黑客可以使用安全漏洞危及设备并构建大型 僵尸网络
  • 可以访问有价值的商务数据(如知识产权)的个人
  • 硬件设备、固件和物联网
  • 大型企业和组织
  • 政府机构
  • 政治目标和/或国家安全威胁

从定向和非定向的角度思考零日攻击有帮助:

  • 定向零日攻击针对潜在有价值的目标(例如大型组织、政府机构或高端个人)。
  • 非定向零日攻击通常针对易受攻击的系统(如操作系统或浏览器)的用户。

即使攻击者没有针对特定的个人,大量人员仍然可能受到零日攻击的影响,通常作为附带损害。非定向攻击旨在捕获尽可能多的用户,意味着普通用户的数据可能会受到影响。

如何识别零日攻击

由于零日漏洞有多种形式(例如缺少数据加密,缺少授权,破坏算法,bug,密码安全问题等),检测它们可能具有挑战性。由于这些类型漏洞的性质,有关零日漏洞的详细信息只有在漏洞得到识别后才可用。

受到零日漏洞攻击的组织可能会看到来自客户端或服务的意外流量或可疑扫描活动。一些零日检测技术包括:

  1. 使用恶意软件的现有数据库及其行为方式作为参考。虽然这些数据库更新速度非常快,并且可以作为参考点,但根据定义,零日攻击是新的和未知的。因此,现有数据库可以告诉您的东西有限。
  2. 或者,某些技术根据零日恶意软件与目标系统的交互方式来查找零日恶意软件的特征。这种技术不是检查传入文件的代码,而是查看它们与现有软件的交互,并尝试确定它们是否由恶意操作导致。
  3. 机器学习被越来越多的用来检测来自先前记录的漏洞的数据,以根据过去和当前与系统交互的数据来建立安全系统行为的基线。可用的数据越多,检测就越可靠。

通常混合使用不同检测系统。

零日攻击的例子

最近一些零日攻击的例子包括:

2021 年:Chrome 零日漏洞

2021 年,谷歌的 Chrome 遭遇了一系列零日威胁,导致 Chrome 发出更新。漏洞源于网页浏览器中使用的 V8 JavaScript 引擎中的一个 bug。

2020 年:Zoom

在这款流行的视频会议平台中发现了一个漏洞。这个零日攻击示例涉及黑客远程访问用户的PC,如果他们运行的是旧版本的 Windows。如果目标是管理员,黑客可以完全接管他们的机器并访问他们的所有文件。

2020 年:Apple iOS

苹果的 iOS 通常被描述为最安全的主要智能手机平台。然而,在 2020 年,它成为至少两套 iOS 零日漏洞的受害者,包括一个允许攻击者远程侵入 iPhone 的零日漏洞 bug。

2019 年:Microsoft Windows,东欧

这次攻击的重点是本地升级权限,Microsoft Windows 的一个脆弱部分,并针对东欧的政府机构。零日漏洞滥用了 Microsoft Windows 中的本地权限漏洞来运行任意代码和安装应用程序,并查看和更改受被侵入应用程序上的数据。当攻击被识别并报告给 Microsoft 安全响应中心报告时,后者开发并推出了补丁。

2017 年:Microsoft Word

该零日漏洞利用侵入了个人银行账户。受害者是在不知不觉中打开恶意 Word 文档的人们。该文档显示"加载远程内容"提示,向用户显示一个弹出窗口,请求从另一个程序进行外部访问。当受害者点击"是"时,该文档在其设备上安装了恶意软件,能够捕获银行登录凭据。

Stuxnet

零日攻击最著名的例子之一是 Stuxnet。该恶意计算机蠕虫于 2010 年首次发现,但其根源可追溯到 2005 年,它影响了运行可编程逻辑控制器(PLC)软件的制造业计算机。它的主要目标是伊朗的铀浓缩工厂,以破坏该国的核计划。该蠕虫通过西门子 Step7 软件中的漏洞感染了PLC ,导致 PLC 在装配线机械上执行意外命令。Stuxnet 的故事随后被 制作成一部名为《零日》的纪录片

如何保护自己免受零日攻击

为了获得零日保护并确保您的计算机和数据安全,个人和组织都必须遵循网络安全最佳实践。这包括:

使所有软件和操作系统保持最新状态。这是因为供应商包括安全补丁以涵盖新版本中新发现的漏洞。保持最新状态可确保您更安全。

仅使用必不可少的应用程序。您拥有的软件越多,潜在的漏洞就越多。您可以通过仅使用所需的应用程序来降低网络风险。

使用防火墙。防火墙 在保护您的系统免受零日威胁方面发挥着至关重要的作用。您可以通过将其配置为仅允许必要事务来确保最大程度的保护。

在组织内,教育用户。许多零日攻击利用人为错误。教导员工和用户良好的安全习惯将有助于保持他们的在线安全,并保护组织免受零日漏洞和其他数字威胁。

使用综合反病毒软件解决方案。卡巴斯基全方位安全软件 通过阻止已知和未知威胁来帮助保护您的设备安全。

相关文章:

什么是零日攻击?—— 定义和解释

什么是零日,什么是零日漏洞、利用和攻击?了解零日,包括零日检测和预防。
Kaspersky Logo