Как работают «зиро-клики» и что можно сделать для защиты

Уважаемые пользователи!

Некоторые думают, если не кликать по опасным ссылкам, не открывать подозрительные файлы и не устанавливать программы, полученные из недостоверных источников, то заражения вредоносным ПО можно не опасаться. К сожалению, это не совсем так — существуют zero-click эксплойты, работающие без активного участия пользователя. 

Уязвимости, необходимые для успешной работы «зиро кликов» не валяются под ногами — на черном рынке информация о подобных дырах может стоить сотни тысяч, а то и миллионы долларов. Поэтому зловреды, использующие Zero-Click эксплойты, также получаются совсем не дешевыми.

Однако, это не означает, что атаки с применением zero-click эксплойтов редки. Во-первых, информация об уязвимостях часто публикуется различными исследователями в Интернете, порой вместе с proof-of-concept кодом. То есть через какое-то время любой киберпреступник, следящий за новостями в сфере информационной безопасности, сможет использовать эту уязвимость в своих зловредах. Да, разработчики ПО стараются оперативно закрывать такие дыры, но как мы знаем, далеко не все оперативно устанавливают обновления.

Во-вторых, не стоит забывать и об уязвимостях в IoT-устройствах, серверах, разнообразных сетевых хранилищах (NAS). Все это оборудование работает без постоянного контроля человека, а следовательно, для атак на них априори используются эксплойты, не требующие участия пользователя. Так что о Zero-Click атаках стоит знать — а лучше принимать меры для защиты от них.

На нескольких примерах Zero-Click атак из реальной жизни покажем, как они работают на практике и какие методы используют создатели эксплойтов нулевого клика, чтобы достичь своих целей.

Шпионская кампания Operation Triangulation

Недавно, сотрудники нашей компании были атакованы группой, использовавшей, в том числе и Zero-Click-эксплойт. Эта шпионская кампания получила название «Операция Триангуляция» (Operation Triangulation). С помощью сервиса iMessage на айфон жертвы злоумышленники отправляли сообщение, со специальным вложением, в котором содержался эксплойт. Благодаря ранее неизвестной уязвимости в iOS, этот эксплойт без взаимодействия со стороны пользователя вызывал выполнение вредоносного кода, который связывался с командным сервером и поэтапно загружал дополнительную вредоносную нагрузку. Она сначала повышала привилегии при помощи дополнительных эксплойтов, а затем запускала полноценную APT-платформу.

Для обхода внутренних защитных механизмов iPhone платформа работала исключительно в оперативной памяти устройства. Она позволяла злоумышленникам собирать информацию о владельце и запускать дополнительные плагины, подгружаемые с серверов управления. Обнаружить факт заражения удалось благодаря системе мониторинга и анализа сетевых событий KUMA.

Шпионское ПО Intellexa Predator и Zero-Click уязвимость в Safari

Еще один свежий пример — Apple выпустила важное обновление для iOS, macOS и ряда других программных продуктов, закрывшее несколько серьезных дырок. Уязвимость в браузере Apple Safari использовалась Zero-Click эксплойтом, входящим в состав шпионского ПО Predator от компании Intellexa.

Сперва атакующие ждали момента, когда жертва обращалась к любому сайту, соединение с которым не использовало шифрование (то есть HTTP, а не HTTPS). После этого они проводили атаку типа Man-in-the Middle (MITM), перенаправляя на зараженный сайт. Далее использовалась описанная выше уязвимость в браузере Safari. С ее помощью без каких-либо действий со стороны жертвы, атакующие получали возможность исполнять произвольный код на айфоне. Затем преступники устанавливали на зараженный айфон шпионское ПО.

Исследователями была обнаружена схожая цепочка, которую создатели Predator использовали для заражения Android-смартфонов — атака нулевого клика проводилась на браузер Chrome.

Как защищаться от атак с нулевым кликом

Основная опасность «зиро кликов» заключается в том, что их создатели не нуждаются в активных действиях со стороны жертвы, принципы онлайн-гигиены тут не сильно помогают. Однако, кое-что для защиты можно сделать:

• Вовремя обновляйте ПО. В первую очередь — ОС и все установленные в ней браузеры.
• Если вы опасаетесь атак с использованием коммерческого шпионского ПО серьезного уровня (NSO Pegasus и т. д.) — есть отдельный пост с рекомендациями, как от них можно защищаться.
• В случае iPhone полезно использовать Lockdown Mode. Режим помогает частично защититься от серьезных атак, но его ни в коем случае не стоит считать панацеей.
• Установите на все корпоративные устройства надежное защитное решение, которое позаботится о безопасности в те периоды времени, когда свежие уязвимости уже начали эксплуатировать, а соответствующие заплатки еще не вышли.
• Это относится в том числе и к iOS. Да, в силу политики Apple для этой операционной системы не существуют полноценных антивирусов. Однако в состав Kaspersky Endpoint Security для бизнеса входит приложение, которое может блокировать опасные веб-страницы, уменьшая вероятность эксплуатации уязвимостей в браузере.

Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru

Помните, что не только Вашему бизнесу нужна защита! 
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО». 

Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС

Приятной работы!