0-day ( día cero en inglés ) es un término que denota vulnerabilidades no parcheadas , así como malware , contra las cuales aún no se han desarrollado mecanismos de protección [1] .
El término en sí significa que los desarrolladores tuvieron 0 días para corregir el defecto: la vulnerabilidad o el ataque se hace público hasta que el fabricante del software publica las correcciones para el error (es decir, la vulnerabilidad puede explotarse potencialmente al ejecutar copias de la aplicación sin la capacidad para protegerse contra él) [2] .
Por el momento, muchos creadores de virus están centrando sus esfuerzos en descubrir vulnerabilidades desconocidas en el software. . Esto se debe a la alta eficiencia en el uso de vulnerabilidades, lo que, a su vez, está asociado a dos hechos: la alta prevalencia de software vulnerable (este es el software que suele ser atacado) y cierto intervalo de tiempo entre el descubrimiento de una vulnerabilidad por parte de un compañía de software y el lanzamiento de la actualización correspondiente para la corrección de errores.
Los creadores de virus utilizan varias técnicas para detectar vulnerabilidades, por ejemplo:
Una vez que se descubre una vulnerabilidad en el software, comienza el proceso de desarrollo de código malicioso , utilizando la vulnerabilidad descubierta para infectar computadoras individuales o redes informáticas.
A partir de 2017, el malware más notorio que explota la vulnerabilidad 0day en el software es el gusano ransomware de red WannaCry , que se descubrió en mayo de 2017. WannaCry usó el exploit EternalBlue en la vulnerabilidad SMB (Server Message Block) en los sistemas operativos Windows . Tras un intento exitoso de infiltrarse en una computadora, WannaCry instala la puerta trasera DoublePulsar para realizar más manipulaciones y acciones. Además, el igualmente conocido gusano Stuxnet usó una vulnerabilidad previamente desconocida en los sistemas operativos de la familia Windows relacionada con el algoritmo de procesamiento de accesos directos. Cabe señalar que, además de la vulnerabilidad de 0day, Stuxnet utilizó otras tres vulnerabilidades conocidas anteriormente.
Además de crear malware que usa vulnerabilidades de día cero en el software, los creadores de virus están trabajando activamente para crear malware que no es detectado por los escáneres y monitores antivirus . Estos programas maliciosos también se incluyen en la definición del término 0day.
La ausencia de detección por parte de los programas antivirus se logra mediante el uso de tecnologías como la ofuscación , el cifrado del código del programa, etc., por parte de los creadores de virus.
Debido al uso de tecnologías especiales, las tecnologías antivirus clásicas no pueden detectar las amenazas de día cero . Es por esta razón que los productos basados en tecnologías antivirus clásicas muestran resultados mediocres en las pruebas antivirus dinámicas.
Según las empresas de antivirus, para proporcionar una protección eficaz contra el malware y las vulnerabilidades de 0day, es necesario utilizar tecnologías de protección antivirus proactivas . Debido a las características específicas de las tecnologías de protección proactiva, pueden brindar protección igualmente efectiva contra amenazas conocidas y amenazas de día cero. Aunque vale la pena señalar que la efectividad de la protección proactiva no es absoluta, y una proporción significativa de las amenazas de día 0 pueden dañar a las víctimas de los intrusos. Actualmente no hay una confirmación independiente de estas afirmaciones.
Software malicioso | |
---|---|
Malware infeccioso | |
Ocultar métodos | |
Malware con fines de lucro |
|
Por sistemas operativos |
|
Proteccion |
|
contramedidas |
|