O que é e como detectar vírus, malware Zero Dias

Recentemente, aprendemos como Quero chorar, uma ransomware que afetou milhares de usuários e centenas de empresas, colocou todos os níveis de administração de TI do mundo em alerta, graças à sua rápida disseminação e inúmeras ameaças latentes.

E é assim que Wannacry espalhou e afetou os dados de muitas pessoas que exigiam pagamento por seus "resgate“É importante que saibamos que este tipo de vírus não é o único que afeta toda a segurança e privacidade dos usuários e é por isso que a Solvetic se empenha em analisar essas ameaças e informar como conhecê-las e tomar medidas para evitá-las.

Proteger-se contra ameaças desse tipo é importante quando queremos e precisamos que nossas informações estejam seguras. A primeira coisa a saber é quais são esses vírus e ataques e, em seguida, quais ferramentas temos para lidar com eles.

É por isso que hoje falaremos em detalhes sobre uma nova ameaça chamada Zero dias (Dia zero).

O que realmente é Zero DiasEmbora Zero Dias tecnicamente não tenha o mesmo impacto que Wannacry em termos de privacidade e economia, pode afetar significativamente o desempenho e vários parâmetros e dados do usuário e, ao contrário do Wannacry que ataca os sistemas operacionais Windows, isso pode afetar o Windows, Linux ou Mac OS.

O Zero Day está incluído em um "grupo" de ataques denominado Zero-Day Ameaças e consiste basicamente em atacar uma vulnerabilidade, que é frequente, no sistema operacional que ainda não foi detalhado pela empresa ou desenvolvedor e que pode afetar dados, aplicativos , rede ou hardware do sistema operacional.

O fim Zero dias ou zero dias indica que os desenvolvedores do sistema têm zero dias, nada, para resolver o problema e que cada minuto gasto na procura de uma solução para esse vírus pode estar causando danos a vários usuários em todo o mundo.

Este tipo de ataque também é chamado Exploração de Zero Dias e pode assumir várias formas, como malware, worms, cavalos de Tróia, entre outros tipos de ameaças e os invasores aproveitam essas vulnerabilidades de segurança para lançar seu ataque massivo.

Infelizmente, com esse novo ataque, a vulnerabilidade é explorada e explorada pelo invasor antes que haja um patch para corrigi-la.

1. Como funciona o vírus Zero Days


Mencionamos que esses vírus se aproveitam das vulnerabilidades de segurança para lançar seu ataque, mas existem várias maneiras de fazer isso e são basicamente as seguintes:

Usando códigos de exploração, pegando as vulnerabilidades encontradas e, assim, implantando vírus ou malware no computador de destino.

Utilização de meios como e-mails ou redes sociais por usuários com pouco conhecimento para acessar sites criados pelos atacantes e desta forma o código malicioso será baixado e executado no computador da vítima.

As etapas envolvidas em um ataque de Zero Dias consistem no seguinte:

Verificação de vulnerabilidadeNesta etapa os atacantes usam códigos para realizar uma análise detalhada em busca de falhas de segurança nos sistemas e em casos especiais os Zero Dias Exploit são vendidos ou comprados pelos atacantes.

Bugs encontradosNesse ponto, os invasores encontram uma falha de segurança que ainda não foi descoberta pelos desenvolvedores do sistema.

Criação de códigoDepois que a vulnerabilidade é descoberta, os invasores continuam a criar o código de exploração ou Zero Days Exploit.

Infiltração de sistemaOs invasores acessam o sistema sem serem detectados pelos desenvolvedores.

Executando o vírus Zero DayAssim que os atacantes tiverem acesso ao sistema, eles poderão hospedar o vírus desenvolvido para afetar seu desempenho no computador.

É basicamente assim que Zero Dias funciona e o pior de tudo é que muitas vezes vulnerabilidades eles são descobertos pelos invasores e não pelos desenvolvedores, portanto, neste ponto, eles têm uma vantagem, pois essas falhas podem ser vendidas a outros invasores para fins maliciosos.

Além desta fase, o ataque de vírus Zero Days possui uma janela de tempo na qual pode causar estragos e falhas em centenas ou milhares de computadores e usuários, uma vez que esta janela de tempo está no período em que a ameaça foi publicada e no período em que os patches de segurança para ele são lançados. Este período de tempo inclui:

  • Tempo de publicação do ataque para os usuários.
  • Detecção e Análise detalhada de vulnerabilidade.
  • Desenvolvimento de um correção para o fracasso.
  • Publicação oficial de fragmento de segurança.
  • Lançamento, distribuição e instalação do patch nos computadores afetados.

Isso pode demorar minutos, horas ou dias em que o ataque se espalhará aproveitando esse tempo.

2. Tipos de ataques de zero dias


Existem alguns tipos de ataques que podemos saber para posteriormente tomar as medidas de segurança necessárias, alguns desses ataques são:

Malware Zero DayEste ataque refere-se ao código malicioso criado pelo invasor para encontrar as vulnerabilidades que ainda não foram encontradas. Esse ataque pode se espalhar de várias maneiras, incluindo anexos, spam, pishing, sites fraudulentos, etc.

Trojan Zero DiasEmbora não sejam tão comuns, eles permitem que muitos outros sejam alojados em um vírus e, dessa forma, o sistema de destino pode ser atacado e afetado.

Worm Zero DiasEsse tipo de ataque tem a capacidade de excluir arquivos, roubar senhas, se espalhar pela rede, e esse tipo de ataque ainda não foi identificado pelos desenvolvedores de segurança, daí o nome zero dias.

3. Como detectar um ataque de Zero Dias

Existem várias técnicas que permitem detectar um ataque Zero Dias a tempo de tomar as medidas de segurança necessárias. Estas técnicas incluem:

Técnicas baseadas em assinaturaEste tipo de detecção depende das assinaturas de exploits conhecidos.

Técnicas estatísticasEste tipo de técnica baseia-se em perfis de ataques ocorridos em períodos anteriores e permite ver uma tendência.

Técnica baseada em comportamentoEste tipo de técnica é baseado na análise da ação entre o exploit e o alvo.

Técnica híbridaCom este tipo de técnica, podemos usar vários métodos de análise.

4. Estatísticas de zero dias


Abaixo, temos as seguintes estatísticas que mostram como Zero Dias aumentou gradualmente seu escopo e nível de risco para os usuários, alguns dados relevantes são:
  • 35% do malware em todo o mundo é Zero Dias.
  • Um dos principais ataques do Zero Days é por meio de JavaScript.
  • 73% dos ataques por meio de sites são feitos por meio de downloads de drivers.
  • A maioria dos ataques do cavalo de Tróia Zero Days é realizada em ambientes Linux.
  • Existem mais de 18,4 milhões de variedades de malware Zero Dias.
  • O malware baseado em macro está ganhando terreno.
  • O principal ataque à rede, chamado Wscript.shell, tinha como foco o ataque à Alemanha.

Indicamos que em várias ocasiões os exploits Zero Days podem ser vendidos para outros atacantes ou para empresas, a fim de não divulgar a vulnerabilidade e perder credibilidade, bem, esta é uma lista gerada pela Forbes onde vemos o preço que um Zero Days Exploit pode ter no mercado:

  • Mac OS X: Entre $ 20.000 e $ 50.000.
  • Adobe Reader: Entre $ 5.000 e $ 30.000.
  • Android: Entre $ 30.000 e $ 60.0000.
  • Flash ou Java: Entre $ 40.000 e $ 100.000.
  • Janelas: Entre $ 60.000 e $ 120.000.
  • IOS: Entre $ 100.000 e $ 250.000.
  • Microsoft Word: Entre $ 50.000 e $ 100.000.

Podemos ver como os preços variam dependendo do nível de segurança de cada aplicativo ou sistema operacional.

5. Lista de vulnerabilidade de zero dias


A empresa de segurança Symantec, conhecida por suas técnicas de implementação contra vários tipos de ameaças, publicou uma lista com as vulnerabilidades Zero Dias mais relevantes por categorias, anexamos cada link para saber um pouco mais sobre seu funcionamento:

Adobe / Flash

  • Vulnerabilidade de execução remota de código - CVE-2014-0502
  • Operação Greedy Wonk (CVE-2014-0498))
  • Operação Pawn Storm (CVE-2015-7645)
  • Vulnerabilidade de estouro de buffer (CVE-2014-0515)

Apache

  • Vulnerabilidade na execução remota de código e ataques DoS (CVE-2014-0050, CVE-2014-0094)

Microsoft Word

  • Vulnerabilidade de execução remota de código - CVE-2104-1761

janelas

  • Vulnerabilidade em fontes TrueType (CVE2014-4148)
  • Vulnerabilidade de política de grupo remoto (CVE 2015-0008)
  • Vulnerabilidade de execução de pacote OLE (CVE 2014-4114)

6. Negócios com ataques de zero dias


Vimos os números que uma vulnerabilidade de sistema pode custar, mas a questão é que existe um mercado que se baseia em dias zero e pode ser formado por mentes criminosas que pagam grandes somas para obter as vulnerabilidades ou entidades que pagam encontrar as falhas e evitar ataques, existem três tipos de traders neste mundo Zero Days:

Mercado negroDiga aos invasores que eles estão trocando códigos de exploração ou Zero Days Exploit.

Mercado brancoNesse tipo de negócio, os pesquisadores detectam falhas e as vendem para as empresas que desenvolvem o sistema ou aplicativo.

Mercado cinzaNeste mercado, as vulnerabilidades são vendidas a entidades governamentais, militares ou de inteligência para serem utilizadas como mecanismo de vigilância.

7. Como nos proteger de Zero Dias


Agora vem um dos pontos mais importantes e são as medidas que devemos levar em conta para nos proteger dos ataques de dia zero. Aqui estão algumas dicas:

Desativar Java de navegadoresComo vimos anteriormente, Java se tornou um dos canais preferidos dos invasores do Zero Days para implementar vários tipos de vírus em computadores usando técnicas como DDoS.

O conselho é desabilitar o Java para evitar esse tipo de ataque e não seremos afetados, pois os sites modernos estão em HTML5 e o Java não será necessário.

Para desativar o Java no Safari vá ao menu Safari / Preferências e na guia Segurança nós desativamos a caixa Permitir JavaScript

PROLONGAR

Nas versões atuais do Mozilla Firefox, o uso de Java foi desativado por razões de segurança:

PROLONGAR

Para desativar o JavaScript no Google Chrome, vá até o menu Personalizar e controlar o Google Chrome, selecione a opção Configurações / Mostrar configurações avançadas, na guia Privacidade, selecionamos Configurações de conteúdo e na janela exibida localizamos o campo JavaScript e ativamos a caixa Não permita que nenhum site execute JavaScript.

Atualize o sistema operacionalUma razão pela qual o Zero Dias se espalhou é devido aos sistemas operacionais desatualizados, recomendamos atualizá-los continuamente para que todos os patches de segurança sejam aplicados. Em sistemas operacionais Windows, podemos ir para Configuração / atualização e segurança:

PROLONGAR

Em ambientes Mac OS seremos notificados quando houver novas atualizações através da Store e em ambientes Linux podemos executar comandos como sudo apt update.

Use software de segurançaÉ importante que, além das atualizações do sistema operacional e dos respectivos aplicativos, utilizemos softwares de segurança para ajudar a mitigar o impacto do Zero Dias no sistema:

PROLONGAR

Alguns dos programas que podemos usar são:

Evite baixar anexos de remetentes desconhecidosUma das formas mais úteis de propagação do Zero Days é por meio de e-mails em massa que os usuários abrem e clicam nos respectivos links sem saber que se destinam a sites fraudulentos onde o malware será instalado posteriormente.

Uma das formas de camuflagem desses e-mails é por meio de alegadas notificações judiciais, embargos, mensagens de nossas entidades bancárias, entre outros:

PROLONGAR

Devemos ter cuidado e verificar os remetentes, ligar para confirmar as notificações e nunca baixar anexos deste tipo de e-mail ou clicar nos links.

Sempre use um mecanismo de firewallOs firewalls nos ajudam a proteger contra conexões desconhecidas na rede, que são abundantes de forma significativa. Com um firewall podemos criar regras que definem parâmetros em determinados programas ou acesso ao nosso computador e assim aumentaremos a segurança do mesmo.

PROLONGAR

Zero dias É uma ameaça diária mas se tivermos cuidado evitaremos ser um dos canais de propagação desta e no processo garantiremos que as nossas informações estão protegidas e sempre disponíveis. Na medida do possível, recomendamos que nossos amigos, familiares ou colegas mantenham seus sistemas e aplicativos atualizados e, acima de tudo, evitem abrir e-mails suspeitos ou executar arquivos não confiáveis.

wave wave wave wave wave