So schützen Sie sich vor Zero-Day-Angriffen
Wenn es um die verschiedenen Arten von Cyberangriffen geht, sind Zero-Day-Exploits am schlimmsten. Ich habe Angst vor ihnen und Hacker lieben sie. Bei vollständiger Ausnutzung sind die Renditen einer Zero-Day-Sicherheitsanfälligkeit unermesslich.
Sie müssen lediglich die Kosten eines Zero-Day-Exploits auf dem Schwarzmarkt überprüfen, um dessen Wert zu verstehen. In einem Fall, der von Forschern einer Sicherheitsfirma namens Trustwave entdeckt wurde, forderte ein russischer Hacker 90.000 US-Dollar für eine LPE-Sicherheitsanfälligkeit (Local Privilege Eskalation) in Windows.
Der Exploit funktionierte unter allen Windows-Versionen und ermöglichte es einem Angreifer, Fernzugriff auf das System eines Opfers zu erhalten und auf Ressourcen zuzugreifen, die ihm sonst nicht zur Verfügung stehen würden.
Abgesehen vom Schwarzmarkt gibt es auch legitime Exploit-Akquisitionsunternehmen, die ein Vermögen für eine Zero-Day-Schwachstelle zahlen.
Eines der beliebtesten ist Zerodium, bei dem je nach Beliebtheit und Sicherheitsstufe des betroffenen Systems zwischen 10.000 und 2.500.000 US-Dollar gezahlt werden können.
Was ist ein Zero-Day-Exploit?
Es handelt sich um einen Angriff auf Systeme, bei dem Schwachstellen ausgenutzt werden, die dem Systementwickler und dem Systemhersteller unbekannt sind.
Und das macht Zero-Day-Angriffe so verheerend. Von der Entdeckung der Sicherheitsanfälligkeit bis zur Erstellung eines Fixes haben Hacker genügend Zeit, um die Systeme zu verwüsten.
Da die Sicherheitsanfälligkeit bisher nicht bekannt war, ist herkömmliche Antivirensoftware unwirksam, da sie den Angriff nicht als Bedrohung erkennt. Sie verlassen sich auf Malware-Signaturen, die sich bereits in ihrer Datenbank befinden, um Angriffe zu blockieren.
Das einzige Mal, dass die herkömmliche Antivirensoftware Sie vor Zero-Day-Angriffen schützen kann, ist, nachdem der Hacker eine Zero-Day-Malware entwickelt und einen ersten Angriff ausgeführt hat.
Aber bis dahin wird es keine Zero-Day-Bedrohung mehr sein, oder?
Also, was empfehle ich stattdessen? Es gibt eine Reihe von Schritten, die Sie unternehmen können, um sich vor Zero-Day-Bedrohungen zu schützen, und wir werden alle in diesem Beitrag behandeln.
Alles beginnt damit, dass Sie zu einem Antivirenprogramm der nächsten Generation wechseln, das sich nicht auf herkömmliche Methoden stützt, um Angriffe zu stoppen.
Der Stuxnet-Angriff
Während wir über Zero-Day-Exploits sprechen, erzähle ich Ihnen von dem größten und brillantesten Zero-Day-Angriff. Der Stuxnet-Angriff.
Es zielte auf eine Urananlage im Iran ab und wurde geschaffen, um den Plan des Iran zur Herstellung von Atomwaffen zu sabotieren. Es wird angenommen, dass der bei dem Angriff verwendete Wurm eine Zusammenarbeit zwischen der US-Regierung und der israelischen Regierung war und vier Zero-Day-Fehler im Microsoft Windows-Betriebssystem ausnutzte.
Das Unglaubliche an dem Stuxnet-Angriff ist, dass er den digitalen Bereich überschritten und es geschafft hat, Schaden in der physischen Welt zu verursachen. Es soll zur Zerstörung von etwa einem Fünftel der iranischen Atomzentrifugen geführt haben.
Der Wurm hatte auch den Zweck, Computer, die nicht direkt mit den Zentrifugen verbunden waren, kaum oder gar nicht zu beschädigen.
Es wird interessanter. Die Kernkraftwerke hatten einen Luftspalt, was bedeutete, dass sie nicht direkt mit dem Internet verbunden waren. Die Angreifer zielten also auf fünf iranische Organisationen ab, die direkt am Atomprojekt beteiligt waren, und vertrauten darauf, dass sie den Wurm über infizierte Flash-Laufwerke verbreiten.
Zwei Varianten des Stuxnet-Wurms wurden entdeckt. Die erste wurde 2007 verwendet und blieb unentdeckt, bis die zweite mit signifikanten Verbesserungen im Jahr 2010 eingeführt wurde.
Der Stuxnet-Wurm wurde schließlich entdeckt, aber nur, weil er versehentlich seinen Angriffsbereich über das Kernkraftwerk Natanz hinaus erweitert hat.
Der Stuxnet-Angriff ist ein Beispiel dafür, wie Zero-Day-Schwachstellen unkonventionell ausgenutzt werden können. Es werden auch die Auswirkungen dieser Art von Angriffen auf Unternehmen hervorgehoben. Dazu gehören Produktivitätsverluste, Systemausfallzeiten und Vertrauensverlust in das Unternehmen.
Zu den konventionelleren Methoden, mit denen Zero-Day-Schwachstellen ausgenutzt werden, gehören:
- Um sensible Daten zu stehlen
- So laden Sie Malware in Systeme
- Um unbefugten Zugriff auf Systeme zu erhalten
- Gateway für andere Malware
Beispiele für Zero-Day-Angriffe im Jahr 2019
Operationsassistent Opium
Diese Zero-Day-Sicherheitsanfälligkeit wurde in Google Chrome gefunden und ermöglichte es Hackern, unbefugten Zugriff auf das betroffene System zu erhalten.
Die erste Instanz der Sicherheitslücke, die ausgenutzt wurde, wurde auf einer koreanischen Nachrichtenseite von den Sicherheitslösungen von Kaspersky entdeckt.
Hacker hatten der Website bösartigen Code injiziert, der dafür verantwortlich war, ob Leser, die die Website besuchten, die Zielversion von Google Chrome verwendeten.
WhatsApp Zero-Day-Exploit
Hacker konnten eine Sicherheitsanfälligkeit in WhatsApp ausnutzen, die es ihnen ermöglichte, Spyware in das Telefon des Opfers zu injizieren.
Es wird angenommen, dass der Angriff von einer israelischen Überwachungsfirma namens NSO Group verübt wurde und bis zu 1400 Menschen betraf.
Zero-Day-Exploit für iOS
Im Februar 2019 veröffentlichte Ben Hawkes, ein Sicherheitsingenieur bei Google, über sein Twitter-Handle zwei iOS-Schwachstellen, die Hacker ausnutzten.
Sie wurden alle in der nächsten Version des Betriebssystems zusammen mit einer weiteren Sicherheitsanfälligkeit behoben, die es Benutzern ermöglichte, andere Benutzer auszuspionieren, indem sie einfach einen Gruppen-Facetime-Aufruf initiierten.
Zero-Day-Exploit für Android
Ende 2019 entdeckte das Google Project Zero-Team einen Exploit in Android, der Angreifern den uneingeschränkten Zugriff auf verschiedene Telefontypen ermöglichte, darunter Pixel, Samsung, Xiaomi und Huawei.
Diese Angriffe waren auch mit der israelischen Firma NSO verbunden, aber die Firma bestritt dies.
Zero-Day-Bedrohungen für Smart-Home-Hubs
Zwei ethische Mitarbeiter gewannen beim jährlichen Pwn20wn-Hacking-Wettbewerb einen Gesamtpreis von 60.000 US-Dollar, nachdem sie eine Zero-Day-Sicherheitslücke in einem Amazon Echo erfolgreich ausgenutzt hatten.
Sie nutzten den Exploit, indem sie das Echo-Gerät mit einem schädlichen WiFi-Netzwerk verbanden. In den falschen Händen kann dieser Exploit verwendet werden, um Sie auszuspionieren oder unwissentlich die Kontrolle über Ihre Smart-Home-Geräte zu übernehmen.
Sehen Sie, wie ich absichtlich Beispiele für Zero-Day-Angriffe auf verschiedene Systemtypen gegeben habe? Das soll Ihnen beweisen, dass niemand in Sicherheit ist.
Die Bedrohung ist jetzt noch größer, da IoT-Geräte immer beliebter werden und keine einfache Möglichkeit zum Anwenden von Patches bieten. Entwickler konzentrieren sich eher auf Funktionalität als auf Sicherheit.
Maßnahmen, die Sie ergreifen können, um sich vor Zero-Day-Angriffen zu schützen
1. Verwenden Sie NGAV-Lösungen (Next Generation Antivirus)
Im Gegensatz zu herkömmlichen Lösungen stützen sich NGAV-Programme nicht auf vorhandene Datenbanken, um Malware zu erkennen. Sie analysieren vielmehr das Verhalten eines Programms, um festzustellen, ob es bedeutet, den Computer zu beschädigen.
Um Ihnen die Arbeit zu erleichtern, empfehle ich meinen beiden besten NGAV-Lösungen die Verwendung.
Beste Antivirenprogramme zum Schutz vor Zero-Day-Angriffen
Ich liebe Bitdefender aus mehreren Gründen. Erstens ist es eine der wenigen Sicherheitslösungen, die von AV-Test überprüft wurden, einer Organisation, die Sicherheitslösungen testet und bewertet. Mehrere Lösungen behaupten, fortschrittliche Erkennungsmethoden ohne Signatur zu verwenden, aber es ist nur ein Marketing-Stunt.
Bitdefender hingegen blockiert nachweislich 99% aller Zero-Day-Angriffe und hat in mehreren Tests die geringste Anzahl falsch positiver Ergebnisse registriert.
Diese Antivirenlösung verfügt außerdem über eine Anti-Exploit-Funktion, die sich hauptsächlich auf potenziell anfällige Anwendungen konzentriert und alle auf die Anwendung einwirkenden Prozesse aktiv analysiert. Wenn verdächtige Aktivitäten erkannt werden, können Sie das Virenschutzprogramm so konfigurieren, dass es automatisch blockiert wird, oder Sie können sich benachrichtigen lassen, damit Sie die richtige Aktion auswählen können.
Dieses Antivirenprogramm ist in verschiedenen Paketen erhältlich, je nachdem, ob Sie es in einer Heim- oder Arbeitsumgebung verwenden.
Norton ist eine vollständige Sicherheitssuite, die Sie effektiv gegen alle Formen von Cyberangriffen anleitet.
Das Antivirenprogramm nutzt eine vorhandene Datenbank mit Malware und Verhaltensanalysen, um Sie vor bekannten und unbekannten Angriffen zu schützen.
Es ist besonders nützlich, dass Norton über eine PEP-Funktion (Proactive Exploit Protection) verfügt, die eine zusätzliche Schutzschicht für die am stärksten gefährdeten Anwendungen und Systeme bietet.
Dies wird durch das Power Radiergummi-Tool noch verstärkt, das Ihren Computer scannt und alle Anwendungen und Malware mit hohem Risiko entfernt, die Ihren Computer möglicherweise infiziert haben.
Ein weiterer beeindruckender Aspekt von Norton ist, dass es eine virtuelle Umgebung erstellt, in der getestet werden kann, was verschiedene Dateien tun. Anschließend wird mithilfe von maschinellem Lernen festgestellt, ob die Datei schädlich oder fehlerfrei ist.
Norton Antivirus ist in vier Plänen verfügbar, von denen jeder seine eigenen Funktionen bietet.
2. Windows Defender Exploit Guard
Normalerweise empfehle ich keine Windows-Standardprogramme, aber das Hinzufügen von Exploit Guard zum Windows Defender-Sicherheitscenter hat meine Entschlossenheit gemildert.
Der Exploit Guard wurde in vier Hauptkomponenten unterteilt, um sich vor verschiedenen Arten von Angriffen zu schützen. Die erste ist die Reduzierung der Angriffsfläche, mit der Angriffe auf der Grundlage von Office-Dateien, Skripten und E-Mails blockiert werden können.
Es verfügt außerdem über eine Netzwerkschutzfunktion, die alle ausgehenden Verbindungen analysiert und alle Verbindungen beendet, deren Ziel verdächtig erscheint. Dies kann durch Analysieren des Hostnamens und der IP-Adresse des Ziels erreicht werden.
Auf der anderen Seite funktioniert diese Funktion nur, wenn Sie Microsoft Edge zum Surfen verwenden.
Die andere Komponente ist der kontrollierte Ordnerzugriff, der verhindert, dass böswillige Prozesse auf geschützte Ordner zugreifen und diese ändern.
Schließlich bietet Exploit Guard eine Exploit-Minderung, die zusammen mit Windows Defender Antivirus und Antivirus von Drittanbietern funktioniert, um die Auswirkungen potenzieller Exploits auf Anwendungen und Systeme zu verringern.
Diese vier Komponenten haben die Umwandlung von Windows Defender von einem herkömmlichen Antivirenprogramm in eine Sicherheitslösung der nächsten Generation erleichtert, die das Verhalten eines Prozesses analysiert, um festzustellen, ob er böswillig ist oder nicht.
Zugegebenermaßen kann Windows Defender Premium-Sicherheitslösungen von Drittanbietern nicht ersetzen. Aber es ist eine gute Alternative, wenn Sie ein festes Budget haben.
3. Patchen Sie Ihre Systeme regelmäßig
Wenn ein Patch bereits veröffentlicht wurde, bedeutet dies, dass die Bedrohung nicht mehr null Tage beträgt, da die Entwickler sich ihrer Existenz bewusst sind.
Dies bedeutet jedoch auch, dass die Sicherheitsanfälligkeit jetzt der Öffentlichkeit zur Verfügung steht und jeder mit den erforderlichen Fähigkeiten sie ausnutzen kann.
Um sicherzustellen, dass der Exploit nicht gegen Sie verwendet werden kann, sollten Sie den Patch sofort anwenden, wenn er veröffentlicht wird.
Ich empfehle sogar, dass Sie Ihr System so konfigurieren, dass es aktiv nach Patches sucht und diese automatisch anwendet, wenn sie gefunden werden. Dadurch wird jede Verzögerung zwischen der Veröffentlichung eines Patches und der Installation beseitigt.