제로 데이(컴퓨팅)

Zero-day (computing)

제로데이(zero-day)는 타겟소프트웨어 벤더와 같이 이전에는 그 완화에 관심이 있는 사람이 몰랐던 컴퓨터 소프트웨어의 취약성입니다.취약성이 완화될 때까지 해커는 이를 악용하여 프로그램, 데이터, 추가 컴퓨터 또는 [1]네트워크에 악영향을 미칠 수 있습니다.제로데이를 이용한 부정 이용은 제로데이 공격 또는 제로데이 공격이라고 불립니다.

제로데이라는 용어는 원래 새로운 소프트웨어가 공개된 후 며칠을 의미하기 때문에 제로데이는 출시 전 개발자의 컴퓨터를 해킹해 얻은 것이다.결국 이 용어는 이 해킹을 허용한 취약성과 공급업체가 이를 [2][3][4]수정해야 하는 일수에 적용되었습니다.벤더는 이 취약성을 알게 되면 패치를 작성하거나 회피책을 제시하여 이 취약성을 완화합니다.

벤더가 이 취약성을 인식한 지 얼마 되지 않았을수록 수정이나 완화책이 개발되지 않았을 가능성이 높아집니다.수정 프로그램이 개발되면 시간이 지남에 따라 수정 프로그램을 적용하는 사용자가 많아짐에 따라 공격이 성공할 가능성이 낮아집니다.제로 데이 부정 이용의 경우, 예를 들면, 이 취약성을 수정하는 관련 없는 업데이트에 의해서, 의도치 않게 취약성이 수정되지 않는 한, 유저가 문제를 수정하는 벤더 제공 패치를 적용했을 가능성은 제로이므로 부정 이용은 계속 됩니다.제로 데이 공격은 심각한 [5]위협입니다.

공격 벡터

제로 데이 취약성의 잠재적인 공격 벡터는 기존의 취약성 및 사용 가능한 패치가 있는 취약성과 동일합니다.예를 들어 사용자가 악성 웹 사이트를 방문할 경우 사이트의 악성 코드가 브라우저의 패치되지 않은 취약성을 이용할 수 있습니다.웹 브라우저는 널리 보급되고 사용되기 때문에 범죄자들에게 특별한 표적이 된다.사이버 범죄자 및 이스라엘의 NSO [6]그룹스파이웨어국제적인 벤더도 SMTP를 통해 악의적인 전자 메일 첨부 파일을 보낼 수 있습니다.이러한 첨부 파일은 첨부 [7]파일을 여는 애플리케이션의 취약성을 악용합니다.US-CERT와 같은 데이터베이스에 점점 더 많이 나타나는 등 일반적인 파일 형식을 활용하는 악용은 매우 많고 자주 발생합니다.범죄자는 말웨어를 조작하여 이러한 파일 형식의 부정 이용을 이용하여 공격받은 시스템을 손상시키거나 [8]기밀 데이터를 훔칠 수 있습니다.

취약성의 창

소프트웨어 부정 이용하는 것이 처음 활성화되고 나서 취약한 시스템의 수가 축소되어 중요하지 않게 될 때까지의 시간을 취약성 [9]창이라고 합니다.각 소프트웨어 취약성의 타임라인은 다음과 같은 주요 이벤트로 정의됩니다.

  • t: 이 취약성은 (누구나) 발견됩니다0.
  • t1a: 보안 패치가 공개됩니다(소프트웨어 벤더 등).
  • t: 부정 이용은 액티브하게 됩니다1b.
  • t: 대부분의 취약한 시스템이 패치를 적용했습니다2.

따라서 취약성 창 길이의 공식은 다음과 같습니다.t2t를 클릭합니다1b.

이 공식에서, 는 언제나 사실이다.t0t1a, 및t0t주의해 주세요1b.t0 0일째와는 다릅니다.예를 들어, 해커가 최초로 검출한 경우(다음 주소)t0)의 취약성은 벤더가 나중에 알게 될 가능성이 있습니다(제0일째).

일반적인 취약성의 경우,t1b >t이는 소프트웨어 벤더가 취약성을 인식하고 보안 패치를 공개할 시간이 있었음을 의미합니다1a.t1a(해커가 실행 가능한 공격을 하기 전에)t제로 데이 부정 이용의 경우1b,t1bt패치를 사용할 수 있게 되기 전에 부정 이용하는 것이 활성화 됩니다1a.

소프트웨어 벤더는 기존의 취약성을 공개하지 않음으로써 다음과 같은 이점을 얻으려고 합니다.t2 전에t1b 도달하여 부정 이용을 회피합니다.그러나 공급업체는 해커들이 스스로 취약성을 발견하지 않을 것이라는 보장을 하지 않습니다.또한 해커들은 보안 패치 자체를 분석하여 근본적인 취약성을 발견하고 자동으로 악용할 [10]수 있습니다.이러한 악용은 시간까지 효과적으로 사용할 수 있습니다.t를 클릭합니다2.

실제로 취약성의 기간은 시스템, 벤더 및 개별 취약성에 따라 달라집니다.보통 일 단위로 측정되며, 2006년의 한 보고서에서는 평균 [11]28일로 추정됩니다.

보호.

제로 데이 보호는 제로 데이 악용에 대한 보호를 제공하는 기능입니다.제로 데이 공격은 일반적으로 대중에게 알려져 있지 않기 때문에, 그것들로부터 방어하는 것이 어려운 경우가 많습니다.제로 데이 공격은, 「시큐어」네트워크에 대해서 유효하게 되는 경우가 많아, 기동 후에도 검출되지 않는 경우가 있습니다.따라서, 이른바 시큐어 시스템의 유저도 상식을 발휘해, 안전한 컴퓨팅 [12]습관을 몸에 익힐 필요가 있습니다.

버퍼 오버플로와 같은 제로 데이 메모리 손상 취약성의 효과를 제한하기 위해 많은 기술이 존재합니다.이러한 보호 메커니즘은 MacOS, Windows Vista 등 최신 운영 체제에 존재합니다(참조 항목:Windows Vista), Solaris, Linux, Unix 및 Unix와 같은 환경에 새롭게 도입된 보안 및 안전 기능. Windows XP Service Pack 2에는 일반적인 메모리 손상 취약성에[13] 대한 제한적인 보호 기능이 포함되어 있으며 이전 버전에는 더 적은 보안 기능이 포함되어 있습니다.제로 데이 버퍼 오버플로 취약성을 완화하기 위한 데스크톱 및 서버 보호 소프트웨어도 있습니다.일반적으로 이러한 기술은 공격을 막기 위해 [14]공격을 사전에 차단하기 위해 경험적 종료 분석을 수반합니다.

이러한 종류의 솔루션은 알고리즘적으로 임의 코드를 분석하여 악성 여부를 판별하는 것이 불가능하기 때문에 해결 불가능한 선형 경계 오토마톤에 대한 중단 문제로 감소하기 때문에 도달할 수 없을 수 있다고 제안되어 왔다.그러나 광범위한 악의적인 동작을 제거하기 위해 대부분의 경우 일반적인 경우(즉, 모든 프로그램을 악성 또는 비악성 범주로 분류하는 것)에 대처할 필요가 없습니다.이는 일부 안전한 프로그램과 모든 안전하지 않은 프로그램을 모두 거부하면서 제한된 프로그램 집합(예: 주어진 기계 리소스 하위 집합에만 액세스하거나 수정할 수 있는 프로그램)의 안전성을 인식하기에 충분합니다.이를 위해서는 이러한 안전한 프로그램의 무결성이 유지되어야 합니다.이것은 커널 레벨의 부정 [citation needed]이용에 직면했을 경우 어려운 일이 될 수 있습니다.

Zeroday Emergency Response Team(ZERT)은 제로데이의 악용에 대해 벤더 이외의 패치를 릴리스하기 위해 작업한 소프트웨어 엔지니어 그룹입니다.

제로 데이 웜은 컴퓨터 보안 전문가에게 아직 알려지지 않은 상태에서 기습 공격을 이용합니다.최근 이력을 보면 웜의 [15]전파 속도가 증가하고 있습니다.적절하게 설계된 웜은 매우 빠르게 확산되어 인터넷 및 기타 [citation needed]시스템에 파괴적인 결과를 초래할 수 있습니다.

윤리

제로 데이 취약성 정보의 수집 및 사용에는 다양한 이데올로기가 존재합니다.많은 컴퓨터 보안 벤더가 제로데이의 취약성에 대한 조사를 실시하여 취약성의 본질과 개인, 컴퓨터 웜 및 바이러스에 의한 취약성을 보다 잘 이해하고 있습니다.또는 일부 벤더는 취약성을 구입하여 연구 [clarification needed]역량을 강화합니다.이러한 프로그램의 예로는 TipingPoint의 제로 데이 이니셔티브가 있습니다.이러한 취약점을 팔고 사는 것이 기술적으로 불법은 아니지만, 공개 방법에 대해서는 많은 논란이 있다.2006년 독일의 사이버범죄협약 제6조 및 정보시스템 공격에 관한 EU 프레임워크 결정 제6조 포함 결정은 판매 또는 제조상의 취약성을 [citation needed]불법으로 만들 수 있습니다.

대부분의 공식 프로그램은 Rain Forest Puppy의 공개 가이드라인 또는 최신 OIS 보안 취약성 보고 및 [citation needed]대응 지침을 따릅니다.일반적으로 이러한 규칙에서는 벤더에 통지 없이 취약성을 공개하고 패치를 작성하기 위한 충분한 시간을 확보할 수 없습니다.

바이러스

제로 데이 바이러스(제로 데이 멀웨어 또는 차세대 멀웨어라고도 함)는 이전에는 알려지지 않은 컴퓨터 바이러스 또는 특정 바이러스 백신 소프트웨어 시그니처를 아직 사용할 [16]수 없는 기타 멀웨어입니다.

지금까지 안티바이러스 소프트웨어는 멀웨어를 식별하기 위해 서명에 의존했습니다.바이러스 시그니처는 특정 바이러스를 검출 및 식별하는 데 사용할 수 있는 고유한 패턴 또는 코드입니다.안티바이러스는 파일 서명을 스캔하여 알려진 악성 코드의 데이터베이스와 비교합니다.일치하면 파일에 플래그가 지정되고 위협으로 취급됩니다.시그니처 베이스 검출의 주된 제한은 이미 알려진 말웨어에만 플래그를 붙일 수 있기 때문에 제로 데이 [17]공격에는 사용할 수 없다는 것입니다.대부분의 최신 안티바이러스소프트웨어는 아직 시그니처를 사용하고 있지만 다른 유형의 [citation needed]분석도 수행합니다.

코드 분석

코드 분석에서는 파일의 머신 코드를 분석하여 의심스러운 점이 없는지 확인합니다.일반적으로 말웨어에는 특징적인 동작이 있습니다.코드 분석에서는 코드에 이것이 존재하는지 여부를 검출하려고 합니다.

코드 분석은 유용하지만 상당한 한계가 있습니다.특히 코드 섹션이 매우 복잡하고 분석을 물리치기 위해 의도적으로 작성된 경우에는 코드 섹션이 무엇을 의도하는지를 결정하는 것이 항상 쉬운 것은 아닙니다.코드 분석의 또 다른 제한사항은 사용 가능한 시간과 리소스입니다.바이러스 대책 소프트웨어의 경쟁 세계에서는 분석의 효과와 관련된 시간 지연 사이에 항상 균형이 있습니다.

코드 분석의 한계를 극복하는 방법 중 하나는 안티바이러스 소프트웨어가 안전한 샌드박스에서 의심스러운 코드 섹션을 실행하고 동작을 관찰하는 것입니다.이는 동일한 코드를 분석하는 것보다 훨씬 빠를 수 있지만 샌드박스를 탐지하려는 코드의 시도를 거부(검출)해야 합니다.

범용 시그니처

일반 시그니처는 멀웨어의 특정 항목이 아닌 특정 동작에 고유한 시그니처입니다.대부분의 새 멀웨어는 완전히 새로운 것은 아니지만 이전 멀웨어의 변형이거나 하나 이상의 이전 멀웨어 예제의 코드를 포함합니다.따라서 이전 분석 결과를 새로운 멀웨어에 대해 사용할 수 있습니다.

안티바이러스 소프트웨어 업계의 경쟁력

안티바이러스 업계에서는 일반적으로 대부분의 벤더의 시그니처 기반 보호가 동일하게 효과적이라는 것이 통용되고 있습니다.멀웨어 항목에 대해 시그니처를 사용할 수 있는 경우 모든 제품(장애가 없는 경우)이 시그니처를 검출해야 합니다.그러나 일부 벤더는 다른 벤더보다 훨씬 빠르게 새로운 바이러스를 인식하거나 고객의 시그니처 데이터베이스를 업데이트하여 바이러스를 [18]탐지합니다.

제로 데이 바이러스 보호의 측면에서는 다양한 효과가 있습니다.독일의 컴퓨터 잡지는 제로 데이 바이러스의 검출율이 20%에서 68%[19]까지 다양하다는 것을 발견하지 못했다.현재 제조사가 경쟁하고 있는 것은 주로 제로 데이 바이러스 퍼포먼스 분야입니다.

미국 정부의 관여

NSA의 제로 데이 악용 이용(2017년)

4월 중순에서 2017년은 해커들로 알려진 쉐도우 중개업(TSB)이 이른바 링크된 러시아 government,[20][21]발표 파일에서 NSA(로 NSA에서 의혹을 처음에 그냥 간주되어 나중에 내부 내용, 미국 내부 고발자 에드워드 스노든 통해 확인했다)[22]하는 등 일련의'zero-day 위업의 targ.Micros etingSociety for Worldwide Interbank Financial Telecommunication(SWIFT)의 서비스 [23][24][25]프로바이더에 침투하기 위한 도구와 Windows 소프트웨어입니다.Ars Technica는 2017년 [26]1월 중순 Shadow Brokers의 해킹 주장을 보고했으며, 4월 Shadow Brokers는 이를 [26]증거로 게재했다.

취약성 에퀴티 프로세스

주요 기사:취약성 에퀴티 프로세스

2016년에 처음 공개된 취약성 평등 프로세스는 미국 연방정부가 제로 데이 컴퓨터 보안 취약점을 어떻게 처리해야 하는지 결정하기 위해 사용하는 프로세스입니다. 일반 컴퓨터 보안을 개선하기 위해 일반에 공개할 것인지, 아니면 공격적 사용을 위해 이를 비밀로 할 것인지입니다.정부의 [27]적들이 프로세스는 비공개 계약에 의한 제한, 위험 등급의 결여, NSA에 대한 특별 대우, 기본 [28]옵션으로서의 공개에 대한 완전한 약속 미달 등 많은 결함으로 인해 비판을 받아 왔습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ 비교:"What is a Zero-Day Vulnerability?". pctools. Symantec. Archived from the original on 2017-07-04. Retrieved 2016-01-20. A zero day vulnerability refers to an exploitable bug in software that is unknown to the vendor. This security hole may be exploited by crackers before the vendor becomes aware and hurries to fix it—this exploit is called a zero day attack.
  2. ^ Zetter, Kim (Nov 11, 2014). "Hacker Lexicon: What Is a Zero Day?". Wired.
  3. ^ "Where the term "Zero Day" comes from - mmmm". 2018-01-31. Archived from the original on 2018-01-31. Retrieved 2021-09-05.
  4. ^ "Flash Vulnerabilities Causing Problems". ESET. Archived from the original on March 4, 2016. Retrieved Mar 4, 2016.
  5. ^ The Man Who Found Stuxnet Sergey Ulasen in the Spotlight (스팟에서 스턱스넷을 발견한 남자) 2011년 11월 2일 발행
  6. ^ Ahmed, Azam; Perlroth, Nicole (19 June 2017). "Using Texts as Lures, Government Spyware Targets Mexican Journalists and Their Families". The New York Times. Archived from the original on 2017-12-29. Retrieved 19 May 2019.
  7. ^ "SANS sees upsurge in zero-day Web-based attacks". Computerworld. Archived from the original on December 22, 2008.
  8. ^ "E-mail Residual Risk Assessment" (PDF). Avinti, Inc. p. 2.
  9. ^ Johansen, Håvard; Johansen, Dag; Renesse, Robbert van (2007-05-14). Venter, Hein; Eloff, Mariki; Labuschagne, Les; Eloff, Jan; Solms, Rossouw von (eds.). New Approaches for Security, Privacy and Trust in Complex Environments. IFIP International Federation for Information Processing. Springer US. pp. 373–384. doi:10.1007/978-0-387-72367-9_32. ISBN 9780387723662.
  10. ^ Halvar, Flake (2016-10-25). "Structural Comparison of Executable Objects". Lecture Notes in Informatics: 46. doi:10.17877/de290r-2007.
  11. ^ Internet Security Threat Report. Vol. 10. Symantec Corp. September 2006. p. 12.
  12. ^ "What is a Zero-Day Exploit? - An introduction to zero-day software exploits and tips on avoiding them at home". what-is-what.com.
  13. ^ "Changes to Functionality in Microsoft Windows XP Service Pack 2". Microsoft.
  14. ^ "Mitigating XML Injection 0-Day Attacks through Strategy-Based Detection Systems" (PDF). Retrieved 29 December 2013.
  15. ^ "2021 has broken the record for zero-day hacking attacks". MIT Technology Review. Retrieved 2022-05-01.
  16. ^ "Cyberhawk – zero day threat detection review". Kickstartnews. Retrieved 29 December 2013.
  17. ^ "What Are Zero-Day Attacks? Safety Detective". Safety Detective. 2018-08-30. Retrieved 2018-11-22.
  18. ^ Robert Westervelt (April 2011). "Antivirus vendors go beyond signature-based antivirus". Retrieved 7 January 2019.
  19. ^ Goodin, Dan (21 December 2008). "Anti-virus protection gets worse". The Channel. Retrieved 29 December 2013.
  20. ^ "Circumstantial evidence and conventional wisdom indicates Russian responsibility. Here's why that is significant". Twitter. August 16, 2016. Retrieved August 22, 2016.
  21. ^ Price, Rob. "Edward Snowden: Russia might have leaked ni9G3r alleged NSA cyberweapons as a 'warning'". Business Insider. Retrieved August 22, 2016.
  22. ^ Sam Biddle (August 19, 2016). "The NSA Leak is Real, Snowden Documents Confirm". The Intercept. Retrieved April 15, 2017.
  23. ^ Henry Farrell (April 15, 2017), "Hackers have just dumped a treasure trove of NSA data. Here's what it means.", The Washington Post, retrieved April 15, 2017
  24. ^ Baldwin, Clare (15 April 2017). "Hackers release files indicating NSA monitored global bank transfers". Reuters. Retrieved April 15, 2017.
  25. ^ Lawler, Richard. "Shadow Brokers release also suggests NSA spied on bank transactions". Engadget. Retrieved April 15, 2017.
  26. ^ a b Dan Goodin (2017-01-13). "NSA-leaking Shadow Brokers lob Molotov cocktail before exiting world stage". Ars Technica. Retrieved January 14, 2017.
  27. ^ Newman, Lily Hay (2017-11-15). "Feds Explain Their Software Bug Stash—But Don't Erase Concerns". WIRED. Retrieved 2017-11-16.
  28. ^ McCarthy, Kieren (15 November 2017). "The four problems with the US government's latest rulebook on security bug disclosures". The Register. Retrieved 2017-11-16.


추가 정보

제로 데이 공격의 예
  • 2021년 4월, 구글은 크롬 브라우저에 대한 업데이트를 발표했는데, 이 업데이트는 해커에 의해 노출된 제로 데이 취약성을 수정한 것이었다.
  • 2020년 사이버 보안 회사인 오퍼치는 알려지지 않은 개인이 줌의 제로 데이 취약성을 발견했다고 보고했다.

(연대순서)