Zero-day Attack là gì? Tìm hiểu tấn công lỗ hổng Zero-day

Ý nghĩa và định nghĩa của Zero-day

Zero-day là một thuật ngữ rộng mô tả các lỗ hổng bảo mật được phát hiện gần đây mà tin tặc có thể sử dụng để tấn công hệ thống. Thuật ngữ “zero-day” đề cập đến thực tế là nhà cung cấp hoặc nhà phát triển chỉ mới biết về lỗ hổng – có nghĩa là họ có “zero-day” để sửa chữa nó. Một cuộc tấn công zero-day diễn ra khi tin tặc khai thác lỗ hổng trước khi các nhà phát triển có cơ hội giải quyết nó.

Zero-day đôi khi được viết là 0 ngày (0-day). Các từ dễ bị tổn thương, khai thác và tấn công thường được sử dụng cùng với zero-day và thật hữu ích khi hiểu sự khác biệt:

• Lỗ hổng zero-day là một lỗ hổng phần mềm được phát hiện bởi những kẻ tấn công trước khi nhà cung cấp biết về nó. Bởi vì các nhà cung cấp không biết, không có bản vá nào tồn tại cho các lỗ hổng zero-day, khiến các cuộc tấn công có khả năng thành công.
• Khai thác zero-day là phương pháp mà tin tặc sử dụng để tấn công các hệ thống có lỗ hổng chưa được xác định trước đó.
• Tấn công zero-day (Zero-day Attack) là việc sử dụng phương thức khai thác zero-day để gây thiệt hại hoặc đánh cắp dữ liệu từ hệ thống bị ảnh hưởng bởi lỗ hổng bảo mật.

Các cuộc tấn công zero-day (Zero-day Attack) là gì và nó hoạt động ntn?

Phần mềm thường có các lỗ hổng bảo mật mà tin tặc có thể khai thác để gây ra sự tàn phá. Các nhà phát triển phần mềm luôn tìm kiếm các lỗ hổng để “vá” – tức là phát triển một giải pháp mà họ phát hành trong một bản cập nhật mới.

Tuy nhiên, đôi khi tin tặc hoặc các tác nhân độc hại phát hiện ra lỗ hổng trước khi các nhà phát triển phần mềm thực hiện. Trong khi lỗ hổng vẫn còn mở, những kẻ tấn công có thể viết và triển khai một đoạn mã để tận dụng nó. Đây được gọi là mã khai thác.

Mã khai thác có thể dẫn đến việc người dùng phần mềm trở thành nạn nhân – ví dụ: thông qua hành vi trộm cắp danh tính hoặc các hình thức tội phạm mạng khác. Khi những kẻ tấn công xác định được lỗ hổng zero-day, chúng cần một cách để tiếp cận hệ thống dễ bị tấn công. Họ thường làm điều này thông qua một email được thiết kế theo phương thức xã hội – tức là email hoặc tin nhắn khác được cho là từ một phóng viên đã biết hoặc hợp pháp nhưng thực sự là từ một kẻ tấn công. Thông báo cố gắng thuyết phục người dùng thực hiện một hành động như mở tệp hoặc truy cập trang web độc hại. Làm như vậy sẽ tải xuống phần mềm độc hại của kẻ tấn công, phần mềm độc hại này xâm nhập vào tệp của người dùng và đánh cắp dữ liệu bí mật.

Khi một lỗ hổng được biết đến, các nhà phát triển sẽ cố gắng vá nó để ngăn chặn cuộc tấn công. Tuy nhiên, các lỗ hổng bảo mật thường không được phát hiện ngay lập tức. Đôi khi có thể mất vài ngày, vài tuần hoặc thậm chí vài tháng trước khi các nhà phát triển xác định được lỗ hổng đã dẫn đến cuộc tấn công. Và ngay cả khi bản vá lỗi zero-day được phát hành, không phải tất cả người dùng đều nhanh chóng thực hiện nó. Trong những năm gần đây, tin tặc đã nhanh hơn trong việc khai thác các lỗ hổng ngay sau khi được phát hiện.

Khai thác có thể được bán trên dark web với số tiền lớn. Khi một khai thác được phát hiện và vá, nó không còn được coi là mối đe dọa không ngày nữa.

Các cuộc tấn công Zero-day đặc biệt nguy hiểm vì những người duy nhất biết về chúng là chính những kẻ tấn công. Khi đã xâm nhập được mạng, bọn tội phạm có thể tấn công ngay lập tức hoặc ngồi chờ thời điểm thuận lợi nhất để thực hiện.

Ai thực hiện các cuộc tấn công zero day (Zero-day Attack)?

Các tác nhân độc hại thực hiện các cuộc tấn công zero-day thuộc nhiều loại khác nhau, tùy thuộc vào động cơ của chúng. Ví dụ:

• Tội phạm mạng – tin tặc có động cơ thường là thu lợi tài chính
• Hacktivists – những tin tặc được thúc đẩy bởi một lý do chính trị hoặc xã hội, những người muốn các cuộc tấn công được hiển thị để thu hút sự chú ý của họ
• Gián điệp công ty – tin tặc theo dõi các công ty để lấy thông tin về họ
• Chiến tranh mạng – các quốc gia hoặc các chủ thể chính trị theo dõi hoặc tấn công cơ sở hạ tầng mạng của một quốc gia khác

Mục tiêu cho khai thác zero-day (Zero-day Attack) là ai?

Một cuộc tấn công zero-day có thể khai thác các lỗ hổng trong nhiều hệ thống, bao gồm:

• Các hệ điều hành
• Trình duyệt web
• Ứng dụng văn phòng
• Các thành phần nguồn mở
• Phần cứng và phần mềm
• Internet vạn vật (IoT)

Do đó, có rất nhiều nạn nhân tiềm năng:

• Các cá nhân sử dụng hệ thống dễ bị tấn công, chẳng hạn như trình duyệt hoặc hệ điều hành Tin tặc có thể sử dụng các lỗ hổng bảo mật để xâm nhập thiết bị và xây dựng các mạng botnet lớn
• Các cá nhân có quyền truy cập vào dữ liệu kinh doanh có giá trị, chẳng hạn như tài sản trí tuệ
• Thiết bị phần cứng, chương trình cơ sở và Internet of Things
• Các doanh nghiệp và tổ chức lớn
• Cơ quan chính phủ
• Các mục tiêu chính trị và / hoặc các mối đe dọa an ninh quốc gia

Sẽ rất hữu ích khi nghĩ về các cuộc tấn công zero-day (Zero-day Attack) có mục tiêu và không nhắm mục tiêu:

• Các cuộc tấn công zero-day có mục tiêu được thực hiện nhằm vào các mục tiêu có giá trị tiềm năng – chẳng hạn như các tổ chức lớn, cơ quan chính phủ hoặc các cá nhân nổi tiếng.
• Các cuộc tấn công zero-day không nhắm mục tiêu thường được tiến hành chống lại người dùng của các hệ thống dễ bị tấn công, chẳng hạn như hệ điều hành hoặc trình duyệt.

Ngay cả khi những kẻ tấn công không nhắm mục tiêu vào các cá nhân cụ thể, một số lượng lớn người vẫn có thể bị ảnh hưởng bởi các cuộc tấn công zero-day, thường là thiệt hại tài sản thế chấp. Các cuộc tấn công không nhắm mục tiêu nhằm thu hút càng nhiều người dùng càng tốt, có nghĩa là dữ liệu của người dùng trung bình có thể bị ảnh hưởng.

Cách xác định các cuộc tấn công zero-day (Zero-day Attack)

Bởi vì lỗ hổng zero-day có thể có nhiều dạng – chẳng hạn như thiếu mã hóa dữ liệu, thiếu quyền, thuật toán bị hỏng, lỗi, sự cố với bảo mật mật khẩu, v.v. – chúng có thể khó phát hiện. Do bản chất của các loại lỗ hổng này, thông tin chi tiết về khai thác zero-day chỉ có sẵn sau khi khai thác được xác định.

Các tổ chức bị tấn công bởi khai thác zero-day có thể thấy lưu lượng truy cập không mong muốn hoặc hoạt động quét đáng ngờ bắt nguồn từ khách hàng hoặc dịch vụ. Một số kỹ thuật phát hiện zero-day bao gồm:

• Sử dụng cơ sở dữ liệu hiện có về phần mềm độc hại và cách chúng hoạt động như một tài liệu tham khảo. Mặc dù các cơ sở dữ liệu này được cập nhật rất nhanh và có thể hữu ích như một điểm tham chiếu, nhưng theo định nghĩa, việc khai thác zero-day là mới và chưa được biết đến. Vì vậy, có một giới hạn về số lượng cơ sở dữ liệu hiện có có thể cho bạn biết.
• Ngoài ra, một số kỹ thuật tìm kiếm các đặc điểm của phần mềm độc hại zero-day dựa trên cách chúng tương tác với hệ thống mục tiêu. Thay vì kiểm tra mã của các tệp đến, kỹ thuật này xem xét các tương tác mà chúng có với phần mềm hiện có và cố gắng xác định xem chúng có phải là kết quả của các hành động độc hại hay không.
• Máy học (machine learning) ngày càng được sử dụng để phát hiện dữ liệu từ các lần khai thác đã ghi trước đó để thiết lập đường cơ sở cho hành vi an toàn của hệ thống dựa trên dữ liệu của các tương tác trong quá khứ và hiện tại với hệ thống. Càng nhiều dữ liệu có sẵn, khả năng phát hiện càng trở nên đáng tin cậy.

Thông thường, kết hợp các hệ thống phát hiện khác nhau được sử dụng.

Ví dụ về các cuộc tấn công zero-day (Zero-day Attack)

Một số ví dụ gần đây về các cuộc tấn công zero-day bao gồm:

• 2021: Lỗ hổng zero-day của Chrome

Vào năm 2021, Chrome của Google phải chịu một loạt các mối đe dọa trong zero-day, khiến Chrome phải đưa ra các bản cập nhật . Lỗ hổng bắt nguồn từ một lỗi trong công cụ JavaScript V8 được sử dụng trong trình duyệt web.

• 2020: Zoom

Một lỗ hổng đã được tìm thấy trong nền tảng hội nghị truyền hình phổ biến. Ví dụ về cuộc tấn công zero-day này liên quan đến việc tin tặc truy cập từ xa vào PC của người dùng nếu họ đang chạy phiên bản Windows cũ hơn. Nếu mục tiêu là quản trị viên, tin tặc hoàn toàn có thể chiếm quyền điều khiển máy của họ và truy cập vào tất cả các tệp của họ.

• 2020: Apple iOS

IOS của Apple thường được coi là bảo mật nhất trong số các nền tảng điện thoại thông minh lớn. Tuy nhiên, vào năm 2020, nó đã trở thành nạn nhân của ít nhất hai tập hợp lỗ hổng zero-day trên iOS, bao gồm cả lỗi zero-day cho phép kẻ tấn công xâm nhập iPhone từ xa.

• 2019: Microsoft Windows, Đông Âu

Cuộc tấn công này tập trung vào các đặc quyền leo thang cục bộ, một phần dễ bị tấn công của Microsoft Windows và nhắm mục tiêu vào các tổ chức chính phủ ở Đông Âu. Khai thác zero-day đã lạm dụng lỗ hổng đặc quyền cục bộ trong Microsoft Windows để chạy mã tùy ý và cài đặt ứng dụng, đồng thời xem và thay đổi dữ liệu trên các ứng dụng bị xâm phạm. Sau khi cuộc tấn công được xác định và báo cáo cho Trung tâm Phản hồi Bảo mật của Microsoft, một bản vá đã được phát triển và tung ra.

• 2017: Microsoft Word

Khai thác zero-day này đã xâm phạm các tài khoản ngân hàng cá nhân. Nạn nhân là những người vô tình mở một tài liệu Word độc hại. Tài liệu hiển thị lời nhắc “tải nội dung từ xa”, hiển thị cho người dùng cửa sổ bật lên yêu cầu quyền truy cập bên ngoài từ chương trình khác.

Khi nạn nhân nhấp vào “có”, tài liệu đã cài đặt phần mềm độc hại trên thiết bị của họ, phần mềm này có thể lấy được thông tin đăng nhập ngân hàng.

• Stuxnet

Một trong những ví dụ nổi tiếng nhất của cuộc tấn công zero-day là Stuxnet. Được phát hiện lần đầu tiên vào năm 2010 nhưng với nguồn gốc lan rộng từ năm 2005, loại sâu máy tính độc hại này đã ảnh hưởng đến các máy tính sản xuất chạy phần mềm bộ điều khiển logic lập trình (PLC).

Mục tiêu chính là các nhà máy làm giàu uranium của Iran nhằm phá vỡ chương trình hạt nhân của nước này. Sâu này đã lây nhiễm các PLC thông qua các lỗ hổng trong phần mềm Siemens Step7, khiến các PLC thực hiện các lệnh không mong muốn trên máy móc dây chuyền lắp ráp. Câu chuyện về Stuxnet sau đó đã được dựng thành một bộ phim tài liệu có tên là Zero Days .

Cách bảo vệ bản thân trước các cuộc tấn công zero-day (Zero-day Attack)

Để bảo vệ zero-day và giữ an toàn cho máy tính và dữ liệu của bạn, điều cần thiết cho cả cá nhân và tổ chức là tuân theo các phương pháp hay nhất về an ninh mạng. Điêu nay bao gồm:

Luôn cập nhật tất cả phần mềm và hệ điều hành. Điều này là do các nhà cung cấp bao gồm các bản vá bảo mật để che các lỗ hổng mới được xác định trong các bản phát hành mới. Luôn cập nhật đảm bảo bạn an toàn hơn.

Chỉ sử dụng các ứng dụng cần thiết. Bạn càng có nhiều phần mềm, bạn càng có nhiều lỗ hổng tiềm ẩn. Bạn có thể giảm rủi ro cho mạng của mình bằng cách chỉ sử dụng các ứng dụng bạn cần.

Sử dụng tường lửa. Tường lửa đóng một vai trò thiết yếu trong việc bảo vệ hệ thống của bạn chống lại các mối đe dọa trong zero-day. Bạn có thể đảm bảo sự bảo vệ tối đa bằng cách định cấu hình nó để chỉ cho phép các giao dịch cần thiết.

Trong tổ chức, giáo dục người dùng. Nhiều cuộc tấn công zero-day (Zero-day Attack) lợi dụng lỗi của con người. Dạy cho nhân viên và người dùng thói quen an toàn và bảo mật tốt sẽ giúp họ an toàn khi trực tuyến và bảo vệ các tổ chức khỏi bị khai thác zero-day và các mối đe dọa kỹ thuật số khác.

Sử dụng giải pháp phần mềm chống vi-rút toàn diện. Kaspersky Total Security giúp bảo mật thiết bị của bạn bằng cách chặn các mối đe dọa đã biết và chưa biết.

Theo: kaspersky

Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.

Nội dung đề xuất