Coinbase – jedna z największych giełd kryptowalut w USA – była celem atakujących w okresie od maja do czerwca 2019 roku. Na szczęście Coinbase udaremniło atak – „wyrafinowany, wysoce ukierunkowany, przemyślany atak” Coinbase.

Atak miał na celu skompromitowanie jej systemów w celu uzyskania dostępu do funduszy użytkowników – kryptowalut wartych miliardy dolarów. Atak został zaplanowany przy użyciu dwóch luk typu „zero-day” w przeglądarce Mozilla Firefox (przeglądarka internetowa typu open source). Jednak jego zespół wykrył i zatrzymał atak na czas.

To prowadzi nas do pytania: czym są luki typu zero-day i jak można się przed nimi bronić? Poszukajmy ich odpowiedzi jedna po drugiej w tym poście.

Co to jest luka w zabezpieczeniach dnia zerowego?

Exploit typu zero-day (znany również jako 0-day) – podatność to luka w oprogramowaniu, która jest nieznana lub nie została usunięta przez zainteresowane strony. Ponieważ luka w zabezpieczeniach nie jest jeszcze znana ani złagodzona, hakerzy komputerowi mogą wykorzystać tę okazję do złamania zabezpieczeń oprogramowania, jego danych lub podłączonych maszyn lub sieci. W związku z tym ten atak lub exploit jest znany jako atak zero-day lub zero-day exploit, ponieważ oba wykorzystują lukę zero-day.

Co to jest luka w zabezpieczeniach oprogramowania? Błąd lub luka to usterka w oprogramowaniu lub systemie operacyjnym. Główną przyczyną błędu lub usterki może być błąd programistyczny lub nieprawidłowa konfiguracja. W obu przypadkach luka – jeśli nie zostanie usunięta lub nie naprawiona – tworzy lukę w zabezpieczeniach, która może zostać wykorzystana przez cyberprzestępców..

W jaki sposób wykorzystuje się lukę w zabezpieczeniach? „Hakerzy piszą kod, który jest ukierunkowany na określoną lukę w zabezpieczeniach. Pakują go do złośliwego oprogramowania zwanego exploitem zero-day. Złośliwe oprogramowanie wykorzystuje lukę, aby złamać zabezpieczenia systemu komputerowego lub spowodować niezamierzone zachowanie ”, według Norton – ekspert ds. Bezpieczeństwa.

Exploit może zagrozić Twojemu systemowi w celu kontrolowania go, blokowania dostępu do niego, szpiegowania Twoich działań cyfrowych, kradzieży lub blokowania danych w celu zapłacenia okupu itp. Ponadto taki exploit może być bezpośrednio dystrybuowany za pośrednictwem zainfekowanych mediów lub witryn internetowych i listy mailingowe lub w połączeniu z innymi typami ataków w celu przeprowadzenia bardziej wyrafinowanego ataku – jak miało to miejsce w przypadku ataku na Coinbase.

Jak zaatakowano Coinbase?

W ataku wykorzystano kombinację strategii – spear phishing i socjotechnikę w połączeniu z dwiema lukami zero-day. Pod koniec maja osoby atakujące wysłały kilka wiadomości phishingowych od Gregory’ego Harrisa, administratora dotacji badawczych na Uniwersytecie Cambridge. Te e-maile nie zawierały żadnych załączników ani linków i przeszły wszystkie testy bezpieczeństwa. Tym samym wydawały się odbiorcom uzasadnione.

Jednak; „17 czerwca o godzinie 6:31 Gregory Harris wysłał kolejnego e-maila, ale ten był inny. Zawierał adres URL, który po otwarciu w przeglądarce Firefox zainstalowałby złośliwe oprogramowanie zdolne do przejęcia kontroli nad czyjąś maszyną. Coinbase Security szybko odkryło, że te e-maile nie były zwyczajne… W ciągu kilku godzin Coinbase Security wykryło i zablokowało atak ”- napisał Coinbase.

Atakujący połączyli ze sobą dwie luki typu zero-day na potrzeby tego ataku. Pierwsza z nich pozwalała atakującemu na przeniesienie uprawnień ze strony do przeglądarki za pomocą JavaScript (CVE-2019–11707). Drugi pozwolił atakującemu na złamanie piaskownicy przeglądarki w celu uruchomienia kodu na maszynie hosta (CVE-2019–11708). Jak wspomniano powyżej, te luki typu „zero-day” dotyczyły przeglądarki Mozilla Firefox.

Jak Coinbase tego bronił?

Coinbase spodziewał się ataku; był gotowy ze strategią wykrywania i reagowania na ataki. Dlatego udało mu się udaremnić próbę ataku. „Byliśmy w stanie obronić się przed tym atakiem dzięki naszej kulturze w Coinbase stawiającej przede wszystkim na bezpieczeństwo, całkowitemu wdrożeniu naszych narzędzi do wykrywania i reagowania, jasnym i dobrze wyćwiczonym poradnikom oraz możliwości szybkiego unieważnienia dostępu” – twierdzi Coinbase.

Coinbase przede wszystkim zapewnia swoim pracownikom szkolenia z zakresu bezpieczeństwa. Atak został po raz pierwszy zauważony i zgłoszony przez jednego z pracowników. Został również oznaczony przez ich system wykrywania ataków. Następnie ich zespół bezpieczeństwa zbadał maszynę wspomnianego pracownika. Okazało się, że Mozilla Firefox wyskoczyła do curl – popularnego narzędzia do przesyłania danych za pośrednictwem różnych protokołów, w tym HTTP.

Było to na tyle podejrzane, że zrozumieli, że patrzą na atak. Próbowali określić zakres ataku, a następnie przeszukali swoje sieci pod kątem podejrzanych działań. Następnie ostatecznie odizolowali atak na zhakowaną maszynę, cofając wszystkie poświadczenia i blokując wszystkie konta danego pracownika. W ten sposób byli w stanie powstrzymać atak.

Jak zapobiegać exploitom zero-day?

Istnieją różne rodzaje technik obronnych służących do wykrywania i obrony przed exploitami zero-day. „Społeczność badawcza ogólnie sklasyfikowała techniki obrony przed exploitami dnia zerowego jako techniki statystyczne, oparte na sygnaturach, oparte na zachowaniu i techniki hybrydowe (Kaur & Singh, 2014). Głównym celem każdej z tych technik jest identyfikacja exploita w czasie rzeczywistym lub tak blisko czasu rzeczywistego, jak to tylko możliwe, i poddanie kwarantannie konkretnego ataku w celu wyeliminowania lub zminimalizowania szkód spowodowanych przez atak ”, zgodnie z raport opracowany przez SANS Institute.

Nie musisz jednak stosować wszystkich tych technik obronnych, ale musisz potwierdzić, że Twoje rozwiązanie zabezpieczające implementuje te techniki. To powiedziawszy, omówmy podstawowe środki, które musisz podjąć w swojej organizacji.

1. Zaktualizuj systemy

Ponieważ exploity dnia zerowego są oparte na nowych lub niezałatanych lukach w zabezpieczeniach, najlepiej jest regularnie aktualizować oprogramowanie i system operacyjny. Jeśli poprawka jest dostępna, atakujący znajdują i atakują komputery z niezałatanym oprogramowaniem.

Tak było w przypadku Heartbleed – krytycznego błędu w OpenSSL, bibliotece kryptograficznej typu open source, która implementuje SSL / TLS (metodologię szyfrowania używaną do zabezpieczania Internetu). „Teraz, nieco ponad dwa miesiące po Heartbleed, przeskanowaliśmy… znaleźliśmy 300 tys. (309,197) nadal podatnych na ataki” – napisał Errata Security.

2. Skanuj w poszukiwaniu luk

Nie wystarczy po prostu zaktualizować systemy; należy wykonać skanowanie luk w zabezpieczeniach, ponieważ mogą one zidentyfikować luki dnia zerowego. Takie rozwiązania symulują ataki i przeprowadzają przeglądy kodu danego oprogramowania (powiedzmy po aktualizacji), aby znaleźć nowe luki. Jeśli zostanie znaleziona luka, zespół ds. Bezpieczeństwa musi przeprowadzić przegląd kodu, przetestować oprogramowanie i szybko oczyścić podatny kod.

W większości przypadków organizacje wolno reagują na takie raporty dotyczące bezpieczeństwa, co zwykle kończy się pomyślnym atakiem. Dlaczego? Atakujący w większości szybko wykorzystują lukę zero-day, jak miało to miejsce w przypadku ataku na Coinbase. Tak było również w przypadku Equifax – biura informacji kredytowej w USA. Zespół ds. Bezpieczeństwa w Equifax spóźniał się dwa miesiące z łataniem błędu w Apache Struts, co doprowadziło do naruszenia bezpieczeństwa danych 147 milionów klientów, w tym ich danych osobowych..

3. Wybierz zaporę aplikacji

Zapora aplikacji sieci Web (WAF) to wyspecjalizowana zapora, która działa jako osłona między oprogramowaniem a siecią złośliwych podmiotów. Monitoruje ruch przychodzący do aplikacji w celu wykrywania i blokowania złośliwego ruchu.

WAF chroni przed najbardziej krytycznymi zagrożeniami i lukami w zabezpieczeniach, w tym lukami zero-day. Zwykle implementuje pewne funkcje wykrywania i weryfikacji ataków, które pomagają odfiltrować ataki. Następnie może również integrować się z innymi rozwiązaniami zabezpieczającymi, tworząc rozwiązanie parasolowe.

Chodzi o luki dnia zerowego i sposoby obrony przed exploitami dnia zerowego.