Что такое уязвимость нулевого дня (0day)?

Введение

Последние события показали, что в сфере киберпреступности произошли серьезные изменения. На первое место по активности вышли программы-вымогатели. Исследователи отметили это еще в сентябре 2016 года — тогда шифровальщик Locky впервые вошел в тройку самых опасных и популярных вредоносных программ в мире, согласно отчету Check Point ThreatIndex. А еще раньше, в феврале, Голливудский медицинский центр заплатил 17 тысяч долларов в биткоинах, чтобы разблокировать все свои системы. Спустя год, весной 2017, в тройке самых активных вредоносных программ по-прежнему были ransomware-зловреды, но лидерство перехватил Cryptowall. Потом были WannaCry и Petya, которые показали, что даже компании с высоким уровнем защиты сети не всегда могут оградиться от атак. Особенно если в организации нет практики регулярного обновления программ.

Теперь злоумышленникам не нужно с нуля разрабатывать инструменты для атак — их можно купить или арендовать как сервис. Например, вымогатель Cerber работает по модели Ransomware-as-a-Service, позволяя подписчикам организовывать сколько угодно ransomware-атак. Каждый день он запускает восемь вымогательских кампаний по всему миру, а ежегодный прогнозируемый доход этой франшизы — 2,3 миллиона долларов США. Средства взлома, доставки, шифрования, управления, сбора денег — все это уже доступно для использования и регулярно обновляется создателями.

На днях Check Point раскрыла личность преступника, который стоит за серией таргетированных кибератак, направленных на 4 000 компаний. Атаки начались в апреле 2017 года и были нацелены на крупнейшие международные организации нефтегазовой, производственной, финансовой и строительной отраслей. Глобальный масштаб кампании привел исследователей к выводу, что за ней стоит экспертная группировка или спонсируемое государством агентство. Однако выяснилось, что кампания — дело рук одинокого двадцатипятилетнего гражданина Нигерии, интересующегося творчеством рэпера 50 cent. На его странице в Facebook стоит статус: «Разбогатей или умри в попытках» (Get rich or die trying) из одноименного рэп-альбома.

Мошенник использовал троян NetWire, который позволяет полностью контролировать зараженное устройство, и кейлоггинговую программу Hawkeye. Кампания привела к 14 успешным заражениям и позволила создателю заработать тысячи долларов. Это еще раз подтверждает тезис о том, что даже неопытный хакер-одиночка за небольшие деньги может организовать успешные атаки на крупнейшие мировые компании.

Вирусы [ править ]

Нулевого день вирус (также известный как нулевой день вредоносные программы или следующее поколение вредоносные программы ) является ранее неизвестным компьютерным вирусом или другими вредоносными программами , для которых конкретных антивирусов подпись еще не доступна.

Традиционно антивирусное программное обеспечение полагалось на сигнатуры для идентификации вредоносных программ. Сигнатура вируса — это уникальный образец или код, который можно использовать для обнаружения и идентификации определенных вирусов. Антивирус сканирует сигнатуры файлов и сравнивает их с базой данных известных вредоносных кодов. Если они совпадают, файл помечается и рассматривается как угроза. Основным ограничением обнаружения на основе сигнатур является то, что оно способно помечать только уже известные вредоносные программы, что делает его бесполезным против атак нулевого дня. Большинство современных антивирусных программ по-прежнему используют сигнатуры, но также проводят другие виды анализа. необходима цитата

Анализ кода править

В анализе кода , то машинный код файла анализируется , чтобы увидеть , если есть что — то , что выглядит подозрительно. Как правило, вредоносное ПО имеет характерное поведение; Анализ кода пытается определить, присутствует ли это в коде.

Хотя анализ кода полезен, он имеет значительные ограничения. Не всегда легко определить, для чего предназначен фрагмент кода, особенно если он очень сложен и был специально написан с целью помешать анализу. Еще одно ограничение анализа кода — это время и доступные ресурсы. В конкурентном мире антивирусного программного обеспечения всегда существует баланс между эффективностью анализа и необходимой временной задержкой.

Один из подходов к преодолению ограничений анализа кода заключается в том, чтобы антивирусное программное обеспечение запускало подозрительные участки кода в безопасной песочнице и наблюдало за их поведением. Это может быть на порядки быстрее, чем анализ того же кода, но должно противостоять (и обнаруживать) попытки кода обнаружить песочницу.

Общие подписи править

Общие сигнатуры — это сигнатуры, которые относятся к определенному поведению, а не к конкретному элементу вредоносного ПО. Большинство новых вредоносных программ не являются полностью новыми, но представляют собой вариации более ранних вредоносных программ или содержат код из одного или нескольких более ранних примеров вредоносного ПО. Таким образом, результаты предыдущего анализа могут быть использованы против новых вредоносных программ.

Конкурентоспособность в индустрии антивирусного программного обеспечения править

В антивирусной индустрии принято считать, что защита на основе сигнатур большинства поставщиков одинаково эффективна. Если для вредоносного ПО доступна сигнатура, то каждый продукт (за исключением неисправных) должен ее обнаружить. Однако некоторые поставщики значительно быстрее других узнают о новых вирусах и / или обновляют базы данных сигнатур своих клиентов для их обнаружения.

Существует широкий диапазон эффективности с точки зрения защиты от вирусов нулевого дня. Немецкий компьютерный журнал c’t обнаружил , что частота обнаружения для нулевого дня вирусов варьировалась от 20% до 68%. В первую очередь производители конкурируют в области защиты от вирусов нулевого дня.

Окно уязвимости [ править ]

Время от момента, когда программный эксплойт впервые становится активным, до момента, когда количество уязвимых систем сокращается до незначительного значения, известно как «окно уязвимости». График каждой уязвимости программного обеспечения определяется следующими основными событиями:

• t : уязвимость обнаружена (кем угодно).
• t _1a : исправление безопасности опубликовано (например, поставщиком программного обеспечения).
• t _1b : активизируется эксплойт.
• t ₂ : Патч уже применен к наиболее уязвимым системам.

Таким образом, формула длины окна уязвимости: t ₂ — t _1b.

В этой формулировке всегда верно, что t ≤ t 1a и t ≤ t 1b

Обратите внимание, что t не то же самое, что Day Zero. Например, если хакер первым обнаружит (в момент t ) уязвимость, поставщик может узнать о ней гораздо позже (в нулевой день)

Для обычных уязвимостей t _1b > t _1a . Это означает, что поставщик программного обеспечения знал об уязвимости и имел время опубликовать исправление безопасности ( t _1a ) до того, как какой-либо хакер смог создать работоспособный эксплойт ( t _1b ). Для эксплойтов нулевого дня t _1b ≤ t _1a , так что эксплойт становится активным до того, как патч становится доступным.

Не раскрывая известные уязвимости, поставщик программного обеспечения надеется достичь t ₂ до достижения t _1b , избегая, таким образом, любых эксплойтов. Однако производитель не дает никаких гарантий, что хакеры не найдут уязвимости самостоятельно. Кроме того, хакеры могут сами анализировать исправления безопасности и, таким образом, обнаруживать лежащие в их основе уязвимости и автоматически генерировать рабочие эксплойты. Эти эксплойты могут эффективно использоваться до момента t ₂ .

На практике продолжительность окна уязвимости варьируется в зависимости от системы, поставщика и отдельных уязвимостей. Он часто измеряется в днях, при этом в одном из отчетов за 2006 год средний показатель оценивается в 28 дней.

BREAKING DOWN ‘Zero Day Attack’

Атака с нулевым днем ​​может включать вредоносное ПО, шпионское ПО или несанкционированный доступ к информации о пользователе. Пользователи могут защитить себя от атак с нулевым днем, установив свое программное обеспечение, включая операционные системы, антивирусное программное обеспечение и интернет-браузеры, для автоматического обновления и быстрой установки любых рекомендуемых обновлений за пределы регулярно запланированных обновлений. При этом обновленное антивирусное программное обеспечение не обязательно защитит пользователя от атаки с нулевым днем, поскольку до тех пор, пока уязвимость программного обеспечения не станет общеизвестной, антивирусное программное обеспечение может не иметь возможности его обнаружить. Системы предотвращения вторжений в хост также помогают защитить от атак с нулевым днем, предотвращая и защищая от вторжений и защиты данных.

Подумайте об уязвимости в нулевом дне, как о разблокированной дверце автомобиля, которую владелец считает заблокированной, но обнаружение вора разблокировано. Вор может получить необнаруженные и украсть вещи из перчаточного ящика или багажника владельца автомобиля, которые не могут быть замечены до тех пор, пока не наступит повреждение, и вор уже давно ушел.

Известно, что уязвимости с нулевым дневным сроком эксплуатации используются злоумышленниками-хакерами, они также могут быть использованы государственными службами безопасности, которые хотят использовать их для наблюдения или атак. На самом деле, существует спрос на уязвимости нулевого дня из правительственных агентств безопасности, которые помогают стимулировать рынок для покупки и продажи информации об этих уязвимостях и способах их использования.

Эксплуатации с нулевым днем ​​могут публично раскрываться, раскрываться только поставщику программного обеспечения или продаваться третьей стороне. Если они проданы, их можно продавать с исключительными правами или без них. Лучшим решением проблемы безопасности, с точки зрения ответственной за нее софтверной компании, является этический хакер или белая шляпа, чтобы конфиденциально раскрыть недостаток компании, чтобы ее можно было зафиксировать до того, как преступные хакеры обнаружат ее. Но в некоторых случаях более чем одна сторона должна устранить эту уязвимость, чтобы полностью ее разрешить, поэтому полное частное раскрытие может быть невозможно.

На темном рынке информации за нулевой день преступные хакеры обмениваются информацией о том, как пробить уязвимое программное обеспечение, чтобы украсть ценную информацию.На сером рынке исследователи и компании продают информацию военным, спецслужбам и правоохранительным органам. На белом рынке компании платят хакерам белых хакеров или исследователям безопасности за обнаружение и раскрытие уязвимостей программного обеспечения разработчикам, чтобы они могли решить проблемы до того, как преступные хакеры найдут их.

В зависимости от покупателя, продавца и полезности информация за нулевой день может стоить от нескольких тысяч до нескольких сотен тысяч долларов, что делает ее потенциально прибыльным рынком для участия. Прежде чем транзакция может быть завершена, продавец должен предоставить доказательство концепции (PoC), чтобы подтвердить существование эксплойта нулевого дня. Для тех, кто хочет обмениваться информацией о нулевом дне, неизвестно, сеть Tor позволяет проводить анонимные транзакции с нулевым днем ​​с использованием биткойна.

Атаки с нулевым днем ​​могут представлять меньшую угрозу, чем кажется. Правительства могут иметь более простые способы следить за своими гражданами, а нулевые дни — не самый эффективный способ эксплуатации предприятий или частных лиц. Атака должна быть развернута стратегически и без знания цели, чтобы иметь максимальный эффект. Выявление атаки с нулевым днем ​​на миллионы компьютеров сразу может выявить существование уязвимости и получить исправление, выпущенное слишком быстро, чтобы нападающие достигли своей конечной цели.

В апреле 2017 года Microsoft узнала об атаке нулевого дня в своем программном обеспечении Microsoft Word. Злоумышленники использовали вредоносное ПО Dridex banker trojan для использования уязвимой и непартийной версии программного обеспечения. Троян разрешил злоумышленникам встраивать вредоносный код в документы Word, которые автоматически запускаются при открытии документов. Атака была обнаружена антивирусным поставщиком McAfee, который уведомил Microsoft о своем скомпрометированном программном обеспечении. Несмотря на то, что нападение с нулевым днем ​​было раскопано в апреле, миллионы пользователей уже были нацелены с января.

5-й нулевой день 20 марта

СОЛНЕЧНЫЙ ДЕНЬ БЕЛОЙ РАСЫ

Пятый день поста «Дни скорби и плача» связан с Белой расой.

Этот день поста посвящен первопредкам людей Белой расы, пришедшим на Землю со звезд Большой Медведицы и поселившимся на материке Арктида (Арктика), свободном тогда еще от ледяного покрова. Это представители народов Европы (славяне, немцы, скандинавы и другие), Ирана и Индии, то есть современная индоевропейская раса. Вклад Белой расы в культуру человечества – это Учение о Космическом законе, о противостоянии сил Света и Тьмы, окончательной победе Добра над Злом, о победе над Конечным Временем, в котором заключено Зло, о выходе из колеса воплощений, а также различные медицинские знания.

Учение древних Ариев является праматерью всех существовавших когда-либо религий. Арии принесли на Землю морально-этический закон Космоса, положенный в основу Мироздания. Белая раса последовательно шла по пути Света, но не смогла в полной мере противостоять тому, что Дьявол создал искажение Света.

Грех Белой расы состоит в осквернении Божественных законов, в гордыне и в невозможности противодействовать искажениям Света, вносимые дьяволом.

Рекомендации: В этот день молятся, обратившись на Север. Не ешьте от восхода до заката Солнца. Молитесь об окончательной победе Добра над Злом, о сохранении чистоты Божественных Законов.

Как защитить себя от уязвимости нулевого дня

В современном мире, где хранится много личных данных о вас из разных компаний, вы в значительной степени зависите от действий компаний, владеющих компьютерными системами.

Это не значит, что вы ничего не должны делать, чтобы защитить себя, потому что есть много вещей, которые вы можете сделать.

Что вы можете сделать?

Например, при выборе вашего банка, посмотрите на его прошлые результаты. Если он был взломан один раз, тогда нет смысла паниковать, потому что большинство крупных пострадали от хакеров по крайней мере один раз. Отличительной чертой хорошей компании является то, что она учится на своих ошибках. Если компания постоянно подвергается преследованию или теряла данные несколько раз, возможно, стоит избегать её.

Когда вы создаете учетную запись в компании, убедитесь, что ваши учетные данные отличаются от учетных данных на других сайтах. Важно убедиться, что вы используете разные пароли для каждой учетной записи. Постоянно обновляйте программное обеспечение на своем компьютере и следите за тем, чтобы все доступные обновления безопасности были установлены

Постоянно обновляйте программное обеспечение на своем компьютере и следите за тем, чтобы все доступные обновления безопасности были установлены.

В дополнение к обновлению программного обеспечения на вашем компьютере, обновляйте также прошивку для вашего оборудования. Это включает в себя маршрутизаторы, смартфоны, компьютеры и другие подключенные устройства, включая веб-камеры.

Измените пароли по умолчанию для таких устройств, как маршрутизаторы, веб-камеры и других подключенных устройств.

Читайте новости

Читайте новости о технологиях, следите за объявлениями и советами по безопасности от компаний. Хорошие компании сообщат о любых известных им уязвимостях и предоставят подробную информацию о серьезности и лучшем способе защиты.

В случае использования уязвимости нулевого дня, совет может быть «обходным путём» или может включать рекомендацию не использовать части программного или аппаратного обеспечения, пока не будет найдено и применено исправление. Совет будет варьироваться в зависимости от серьезности и вероятности использования эксплойта.

Не поддавайтесь мошенничеству

Вы должны понимать, что получение писем и сообщений от друзей и знакомых с неожиданным содержанием (например, «Эй, зацени это») указывает на потерю ими контроля над своими аккаунтами

Всегда проявляйте осторожность. Если ваш друг обычно не отправляет вам такие ссылки, то удалите электронное письмо или свяжитесь с человеком, используя другой метод, и спросите его, умышленно ли он отправил вам сообщение

Когда вы находитесь в сети, убедитесь, что ваш браузер обновлен и никогда не переходите по ссылкам из электронных писем, в которых говорится, что они из вашего банка. Всегда идите прямо на сайт банка, используя метод, который вы обычно используете (т.е. введите URL).

Банк никогда не попросит вас ввести пароль по электронной почте, в текстовом сообщении или сообщении в социальной сети. В случае сомнений свяжитесь с банком по телефону, чтобы узнать, не отправили ли они вам сообщение.

Если вы используете общедоступный компьютер, убедитесь, что вы очистили историю Интернета, когда уходите из-за компьютера, и убедитесь, что вы вышли из всех своих учетных записей. Используйте режим инкогнито, когда находитесь в общественном месте, так чтобы любые следы вашего использования компьютера сводились к минимуму.

Остерегайтесь рекламы и ссылок на веб-страницах, даже если они выглядят подлинно. Иногда реклама использует технику, называемую межсайтовым скриптингом, чтобы получить доступ к вашим данным.

Как можно обнаружить уязвимость нулевого дня?

Один из самых действующий и эффективных методов для обнаружения — анализ поведенческого фактора пользователей. Статистика позволяет проанализировать буквально каждый шаг человека в системе. И есть определенные шаблоны, которые можно считать нормой поведения человека. Если имеются отклонения от нормы — это уже является одним из факторов, которые могут косвенно или напрямую указывать на наличие уязвимостей 0day.

Так же, в системе или ПО можно:

• выполнить обратную разработку (т.е. исследовать «объект» с целью понять принцип его работы, проанализировать механизмы и процессы, создать интерпретацию с изменениями и т.п.);
• использовать дизассемблер (для подробного анализа программы, с целью выявления уязвимостей, изменения, поиска багов, взлома);
• осуществить фаззинг (тестирование ПО или системы путем подачи на вход ложных или случайных данных, впоследствии выполняется анализ возникших нарущений, ошибок и т.п.).

Обнаружение угроз нулевого дня на рабочей станции

За пределами периметра организации также нужна защита от неизвестных угроз, так как рабочая станция — последний рубеж обороны корпоративных данных. Check Point Sandblast Agent — это решение для защиты конечных устройств, которое позволяет предотвратить угрозы и атаки, связанные с подключением к внешнему Wi-Fi, с шифрованным трафиком, подключением к ПК внешних носителей и горизонтальным распространением атаки в сети.

Check Point SandBlast Agent постоянно анализирует все изменения системы в поисках подозрительных активностей. Например, он может отследить, если один процесс внедряет код в другой или если какая-либо программа оказывается взломанной.

Как и Check Point SandBlast, решение для конечных точек SandBlast Agent включает инструменты Threat Extraction и Threat Emulation, позволяющие остановить атаку нулевого дня. Все файлы, попадающие на рабочую станцию, будут проверены и при необходимости проэмулированы (на локальном или облачном устройстве). При скачивании из интернета все файлы, требующие эмуляции, мгновенно конвертируются в безопасные копии, при этом сохраняется их внешний вид, а оригинальный документ будет доступен для скачивания после окончания проверки. По статистике Check Point, только 10% пользователей скачивают оригинал документа.

BlueLeaks — самая громкая утечка данных из госорганов

Когда: июнь 2020 года.

Кого или что атаковали: правоохранительные органы и спецслужбы США.

Что произошло:

Хакеры из группировки Anonymous получили доступ к 269 Гб секретных данных правоохранительных органов и спецслужб США в виде более 1 млн файлов: видеоролики, электронные письма, аудиофайлы, а также документы по планированию и разведке за последние десять лет — включая те, что подтверждают слежку за активистами Black Lives Matter. Файлы передали группе хакеров-активистов DDoSecrets , которая опубликовала полученную информацию.

В ответ на это Twitter заблокировал аккаунт DDoSecrets, а в Германии заблокировали сервер , на котором хранились данные BlueLeaks — по запросу от американских властей.

Кстати, в январе 2019 года та же группировка опубликовала 175 Гб данных о тайных сделках Кремля, Русской православной церкви и участии России в войне на Донбассе .

Последствия: Опубликованные документы вызвали громкий скандал и обвинения в адрес американских спецслужб, которые завели уголовное дело в ответ на это. Их действия в отношении хакеров сравнили с преследованием WikiLeaks .

Кибератака на Tesla: как тебе такое, Илон Маск?

В 2016 году китайская хакерская группа Whitehat Keen Security Lab взломала Tesla Model S через точку доступа Wi-Fi . Tesla быстро устранила уязвимость, но потом хакеры проделали это снова. Они предлагали водителям подключиться к Wi-Fi, а потом устанавливали вредоносное ПО и получали полный доступ к системам управления.

В последующие годы обнаруживались все новые уязвимости . Например, можно было подключить свой ноутбук к сетевому кабелю за приборной панелью, запустить автомобиль с помощью специальной программы и управлять им. По счастливой случайности никто из водителей не пострадал, хотя у злоумышленников был доступ, в том числе, к тормозной системе. Это вызывает, в свою очередь, много вопросов к беспилотникам, где контроль со стороны водителя минимален.

В августе 2020 года русский хакер Егор Крючков попытался внедрить вредоносное ПО в систему управления Tesla . Для этого он предложил сотруднику компании взятку в $1 млн. Однако затея провалилась, а самого хакера осудили на пять лет.

10. Самая скандальная кибератака российских хакеров

Когда: май 2020 года.

Кого или что атаковали: Агентство национальной безопасности США.

Что произошло:

Хакеры попытались взломать почтовые серверы АНБ . Злоумышленники использовали уязвимость в агенте пересылки сообщений Exim, обнаруженную в июне 2019 года. Она позволяет преступнику отправлять вредоносное письмо на сервер и сразу же получать возможность удаленно запускать там же свой код.

АНБ обвинила в атаке хакерскую группировку Sandworm (она же — Telebots, Voodoo Bear, Iron Viking и BlackEnergy), связанную с Россией — ту самую, которая предположительно запустила вирус NotPetya. Ее же Минюст США позже обвинил в причастности к политическим событиям в Грузии и на Украине, а также во вмешательстве в выборы во Франции и атаке на компьютерную сеть Зимних Олимпийских игр в Пхенчхане в 2018 году .

Кибератака на звезд

В 2014 году, в результате нескольких кибератак, хакеры получили доступ к фото и видео знаменитостей, которые хранились в облаке iCloud. Многие из них — включая интимные — попали в сеть: их опубликовали на ресурсе 4chan. В числе пострадавших оказались Ким Кардашьян, Аврил Лавин, Кейли Куоко, Дженнифер Лоуренс, Кирстен Данст, Рианна, Скарлетт Йоханссон, Вайнона Райдер.

Ролик блогера Wylsacom об утечках 2014 года

Некоторые поспешили заявить, что фото и видео поддельные:

Кибератаки могут убивать?

К сожалению, да. В 2015 году хакеры взломали сайт Ashley Madison , предназначенный для знакомств замужних женщин и женатых мужчин. В результате атаки утекли данные 40 млн пользователей. Некоторым из них начали рассылать угрозы с требованием выкупа в $1 тыс. Некоторые из пострадавших испугались, что их супруг узнает об измене, и покончили с собой.

Второй случай произошел в сентябре 2020 года. Злоумышленники атаковали ИТ-систему университетской клиники в Дюссельдорфе. В результате 30 серверов и все подключенные устройства — в том числе аппараты жизнеобеспечения — на некоторое время вышли из строя. Этого оказалось достаточно, чтобы одна из пациенток скончалась . Полиция завела уголовное дело по факту убийства. Правда, позже в одном из изданий появилось опровержение: якобы смерть пациентки не была связана с кибератакой .

Условия для хакерской атаки

     Атака нулевого дня ведется течение периода «нулевого дня», когда злоумышленники имеют наилучшие условия для хакерской атаки: готовый хакерский эксплойт, а также отсутствие доступных исправлений и антивирусных сигнатур.

     При этом многие пользователи игнорируют необходимость установки патчей на ПО даже после их выхода — в особенности для программного обеспечения, не входящего в состав операционной системы, что открывает хакерам доступ для осуществления атак нулевого дня.

     Уязвимости могут иметь, а могут и не иметь эксплойты – это зависит от распространённости и функциональности программы и, соответственно, уровня внимания к ней со стороны киберпреступников при атаке нулевого дня.

     Типичный пример – эпидемия Мак-трояна Flashback. в Java, которую атаковал этот вирус нашли в начале года, но эксплойт для Мака появился только спустя месяц.

     Важно для противодействия атакам нулевого дня: если уязвимостей в конкретной программе не обнаружено – это не значит, что их нет. Это лишь значит, что а) ею пользуется слишком малое количество людей, чтобы случайно «нарваться» на ошибку или б) она не нужна, чтобы в ней специально копались в поиске таких ошибок

     Самая неприятная разновидность эксплойтов – т.н. зеродеи (эксплойт «нулевого дня», 0-day exploit). Обычно сначала находят уязвимость, потом разработчик срочно латает её специальной «заплаткой» («патч», patch), а уже потом подтягивается кибер-андерграунд, делает эксплойт и пытается атаковать пользователей, которые не успели установить патч, чтобы противостоять атаке нулевого дня.

     Точнее это сценарий, по которому мы бы хотели, чтобы развивались события. На самом деле иногда случается, что эксплойт появляется вместе с информацией об уязвимости или разработчик (например, Apple в случае с Flashback) и, в итоге, эксплойт опережает её появление.

     Эксплойт, для которого нет «заплатки» и называется зеродеем (нулевой день) и способствует атакам нулевого дня.

Что такое бэкдор?

Один из самых опасных видов вредоносного ПО, который очень сложно обнаружить и вменить его создание разработчику. Бэкдор являет собой уязвимость программы, специально допущенную создателем, которую он может использовать в любых целях, когда это будет необходимо. При этом зачастую невозможно доказать намеренное создание бэкдора, так как он неотличим от обыкновенной ошибки в коде.

Вот несколько примеров:

В мае прошлого года специалисты «Лаборатории Касперского» обнаружили бэкдор в прошивках маршрутизаторов D-Link DIR-620, благодаря которому злоумышленники могли получать доступ к управлению устройством и незаметно использовать пользовательское интернет-соединение;

В октябре 2018 года Томас Рид (Thomas Reed) из Malwarebytes сообщил, что macOS приложение для мониторинга курсов валют CoinTicker содержит бэкдор и может быть использовано для кражи пользовательских данных.

В январе 2019 года нидерландский эксперт по кибербезопасности Виктор Геверс (Victor Gevers) обнаружил бэкдор-аккаунт в базах данных MongoDB, использующихся тысячами компаний в России и ближнем зарубежье. В частности, злоумышленники могли получить несанкционированный доступ к данным Disney Russia или Единому реестру досудебных решений МВД Украины.

Защита

В связи с применением специальных технологий, 0day-угрозы не могут быть детектированы классическими антивирусными технологиями. Именно по этой причине продукты, в которых сделана ставка на классические антивирусные технологии, показывают весьма посредственный результат в динамических антивирусных тестированиях.

По мнению антивирусных компаний, для обеспечения эффективной защиты против 0day вредоносных программ и уязвимостей нужно использовать проактивные технологии антивирусной защиты. Благодаря специфике проактивных технологий защиты они способны одинаково эффективно обеспечивать защиту как от известных угроз, так и от 0day-угроз. Хотя стоит отметить, что эффективность проактивной защиты не является абсолютной, и весомая доля 0day-угроз способна причинить вред жертвам злоумышленников. Независимых подтверждений этим утверждениям на настоящий момент нет.