为了防止安全漏洞,大多数人都避免点击可疑电子邮件、消息和有风险的下载。然而一种通过“零”交互来感染设备的攻击方式正悄然而生。它就是我们今天要讨论的“零点击”攻击场景。
什么是“零点击”攻击
无论是直接利用目标软件中的漏洞,还是通过社会工程手段诱骗受害者放弃关键信息,传统的网络攻击方法都需要人为交互,才能实现入侵和扩散目的。
零点击攻击是黑客使用的最新方法,它不需要通过用户的鼠标点击、人为交互就能实现攻击目的。相比之下,网络钓鱼等传统网络攻击方法则需要依靠社会工程手段来诱骗受害者点击恶意内容。“零点击”攻击则是在没有任何特定提醒、意外点击或下载软件的情况下实现的。零点击攻击可谓彻底改变了网络安全的竞争环境。
零点击VS0 day
对于外行来说,这两种攻击听起来很相似。但是,零点击攻击和0 day攻击在本质上是完全不同的。零点击攻击不依赖于特定机制来控制系统。相比之下,0 day攻击依赖于现有的软件漏洞来发动破坏活动。
不过,两者之间虽存在本质区别,却也有关联。零点击攻击有时会利用一些潜藏很深的0 day漏洞,来实施攻击活动。
著名的零点击攻击案例
最近,最臭名昭著的零点击攻击与以色列安全公司NSO Group构建的侵入性间谍软件Pegasus有关。2021年9月,多伦多大学公民实验室(Citizen Lab)宣布发现了一种零点击攻击。该攻击允许攻击者在受害者的设备上安装Pegasus恶意软件,监听世界各国的人权活动人士、企业高管和政界人士。
此后不久,Google的Project Zero小组发布了对NSO Group的漏洞利用技术分析,该漏洞被称为“FORCEDENTRY”,可通过Pegasus间谍软件感染iPhone、iPad、Apple Watch和Mac等设备,除了允许访问文本信息、电话和电子邮件外,攻击者还可以访问摄像头和麦克风。该漏洞避开了苹果在推出 iOS14时设定的iMessage保护措施“BlastDoor”——一个沙盒安全系统,旨在防止一些可被利用的漏洞。幸运的是,Apple已经开发并发布了针对此漏洞的相关补丁。
零点击的危害力
可以说,零点击将安全威胁提升到了一个全新的水平。它与传统网络攻击相比,存在很多先进和高明的地方:
零点击攻击是不可见的。攻击者只需要瞄准受害者并发动攻击。受害者通常不知道他们的设备上存在任何未经批准的活动,从而使黑客能够阅读消息、筛选照片或存放间谍软件。
从犯罪分子的角度来看,零点击攻击的美妙之处在于,他们无需耗时耗力地设置陷阱,或诱骗受害者执行某个特定的任务。与零点击相比,社会工程或“广撒网”钓鱼(如最近的 COVID-19主题网络钓鱼)活动的成功率相对较低。
零点击攻击通过向用户的手机发送一条并不触发任何通知的消息,就能将某个有针对性的跟踪工具或间谍软件安装到受害者的设备上。用户甚至不需要解锁屏幕,手机就会被感染。
零点击攻击不会留下任何破坏过程产生的痕迹。
零点击攻击采用了目前最为先进的攻击技术,往往能够绕过各种安全端点、防病毒系统、以及防火墙。
除了具有欺骗性外,此类攻击还具有远程性和普遍性,它可以通过利用网络的全面覆盖、Wi-Fi的漏洞、以及数据的去中心化等新的应用形态,呈指数级增长地蔓延到移动设备中。
零点击攻击的工作原理
为了发起零点击攻击,黑客会将精心编码的数据发送到通过任何无线信号传递的目标设备中。这些数据旨在利用设备中硬件或软件的漏洞,一旦它成功漏洞并提取或监控数据,它就能运行命令可执行文件。数据包通常以通信消息的形式到达,如彩信、语音邮件、视频会议通话、WhatsApp等。
在某些情况下,旨在保护用户免受恶意网络活动侵害的安全措施甚至会助力零点击攻击。例如,端到端加密可能会导致难以确定是否发生了零点击攻击,因为除了发送者和接收者之外,没有人可以看到通过设备发送的数据包的内容。
零点击威胁“助推器”——暗网
网络犯罪集团通常会创建利用零点击漏洞的工具。这些工具可以在黑市上赚取数百万美元。由于零点击几乎无法追踪的性质,它们经常被民族国家行为者或希望进行网络攻击的政府机构使用。
攻击目标以前主要集中在记者身上。尽管采取了预防措施,但很多记者此前还是遭遇过零点击威胁,迫使他们删除了应用程序,重做了大量工作,甚至人身安全也受到了威胁。
零点击威胁防御建议
零点击攻击可能是黑客渗透设备的一种新的、狡猾的方式,但它们仍然是可以预防的。以下网络安全措施能够有效地防御零点击攻击:
- 使用最新的软件版本和补丁使您的系统保持最新状态。虽然这一条是老生常谈,但维护系统无疑是防止各种网络陷阱的关键手段;
- 设置系统以阻止弹出窗口和垃圾邮件。如果需要,鼓励个人相应地配置浏览器设置;
- 鼓励员工对企业帐户使用强身份验证码,尤其是那些连接到关键网络的帐户;
- 提醒员工仅从官方应用商店下载应用。与许多恶意模式一样,零点击攻击脚本可以在不安全、安全性薄弱或未经审查的软件应用程序中找到;
- 确保您的组织拥有一个强大的数据备份系统,这将有助于在发生侵入性零点击事件时加快恢复;
- 警惕手机异常发热、屏幕无法点亮、或通话时异常中断等现象,这些都可能与零点击攻击有着密切关系;
- 安装知名且强大的反间谍软件和反恶意软件工具;
- 持续监控通信应用程序中的陌生或未知呼叫、语音邮件和消息。如果发现可疑的东西,应该更新应用程序和设备的操作系统并运行恶意软件扫描。
作为一种高效的入侵手段,加上暗网提供的便利,零点击攻击势必会吸引更多恶意行为者的注意,我们必须践行优秀实践来最大限度地保护自身和企业免受此类威胁影响。
本文翻译自:https://www.cybertalk.org/2022/04/05/what-is-a-zero-click-attack-it-could-invisibly-corrupt-devices/