Уязвимость нулевого дня

На данный момент многие вирусописатели фокусируют свои усилия именно на обнаружении неизвестных уязвимостей в программном обеспечении.^{[источник не указан 2050 дней]} Это обусловлено высокой эффективностью использования уязвимостей, что, в свою очередь, связано с двумя фактами — высоким распространением уязвимого ПО (именно такое программное обеспечение, как правило, атакуют) и некоторым временным промежутком между обнаружением уязвимости компанией-разработчиком программного обеспечения и выпуском соответствующего обновления для исправления ошибки.

Для обнаружения уязвимостей вирусописатели используют различные техники, например:

• Дизассемблирование программного кода и последующий поиск ошибок непосредственно в коде программного обеспечения;
• Реверс-инжиниринг и последующий поиск ошибок в алгоритмах работы программного обеспечения;

• После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода, использующего обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей.

  По состоянию на 2017 год самой известной вредоносной программой, использующей 0day уязвимость в программном обеспечении, является сетевой червь-вымогатель WannaCry, который был обнаружен в мае 2017 года. WannaCry использовал эксплойт EternalBlue в уязвимости SMB (Server Message Block) на операционных системах семейства Windows. При удачной попытке внедриться в компьютер WannaCry устанавливает бэкдор DoublePulsar для дальнейших манипуляции и действий. Также, не менее известный червь Stuxnet использовал ранее неизвестную уязвимость операционных систем семейства Windows, связанную с алгоритмом обработки ярлыков. Следует отметить, что, помимо 0day уязвимости, Stuxnet использовал ещё три ранее известные уязвимости.

  Помимо создания вредоносных программ, использующих 0day уязвимости в программном обеспечении, вирусописатели активно работают и над созданием вредоносных программ, не детектируемых антивирусными сканерами и мониторами. Данные вредоносные программы также попадают под определение термина 0day.

  Отсутствие детектирования антивирусными программами достигается за счёт применения вирусописателями таких технологий, как обфускация, шифрование программного кода и др.

  Защита

  В связи с применением специальных технологий, 0day-угрозы не могут быть обнаружены классическими антивирусными технологиями. Именно по этой причине продукты, в которых сделана ставка на классические антивирусные технологии, показывают весьма посредственный результат в динамических антивирусных тестированиях.

  По мнению антивирусных компаний, для обеспечения эффективной защиты против 0day вредоносных программ и уязвимостей нужно использовать проактивные технологии антивирусной защиты. Благодаря специфике проактивных технологий защиты они способны одинаково эффективно обеспечивать защиту как от известных угроз, так и от 0day-угроз. Хотя стоит отметить, что эффективность проактивной защиты не является абсолютной, и весомая доля 0day-угроз способна причинить вред жертвам злоумышленников. Независимых подтверждений этим утверждениям на настоящий момент нет.

  См. также

  • Компьютерный вирус
  • Хакерская атака
  • Несанкционированный доступ
  • 1. ↑ About Zero Day Exploits  (неопр.). Дата обращения: 2 июля 2018. Архивировано из [netsecurity.about.com/od/newsandeditorial1/a/aazeroday.htm оригинала] 8 августа 2011 года.
    2. ↑ Flash Vulnerabilities Causing Problems  (неопр.). Дата обращения: 17 августа 2016. Архивировано 17 августа 2016 года.

    Ссылки

    • 0-Day Patch — Exposing Vendors (In)security Performance (англ.)
    • 0day.today — 0day Exploit DataBase (англ.)
    • Attackers seize on new zero-day in Word (англ.)
    • Человеческий фактор: лекарство от социальной инженерии (рус.)
    • Vulnerability database  (неопр.). US-CERT.
    • Zero Day Tracker  (неопр.). research.eeye.com.
    • Zero Day Vulnerability Tracking Project  (неопр.). www.zero-day.cz.

    В статье не хватает ссылок на источники (см. рекомендации по поиску). Информация должна быть проверяема, иначе она может быть удалена. Вы можете отредактировать статью, добавив ссылки на авторитетные источники в виде сносок. (18 января 2012)

    В статье есть список источников, но не хватает сносок. Без сносок сложно определить, из какого источника взято каждое отдельное утверждение. Вы можете улучшить статью, проставив сноски на источники, подтверждающие информацию. Сведения без сносок могут быть удалены.

    Некоторые внешние ссылки в этой статье ведут на сайты, занесённые в спам-лист. Эти сайты могут нарушать авторские права, быть признаны неавторитетными источниками или по другим причинам быть запрещены в Википедии. Редакторам следует заменить такие ссылки ссылками на соответствующие правилам сайты или библиографическими ссылками на печатные источники либо удалить их (возможно, вместе с подтверждаемым ими содержимым). Список проблемных ссылок netsecurity.about.com/od/newsandeditorial1/a/aazeroday.htm