فروشندگان نرم افزار به طور مداوم آسیب پذیری های نادیده گرفته شده را جستجو می کنند . پس از کشف آن، یک اصلاح کد که به نام «پچ» نیز شناخته می شود، صادر می کنند. با این حال، آسیب‌پذیری روز صفر یا حمله روز صفر یک ضعف نرم‌افزاری است که قبل از اینکه فروشنده این نقص را کشف کند توسط مهاجمان پیدا می‌شود. در این مقاله، بینشی در مورد عملکرد حملات روز صفر ارائه می‌کنیم، در مورد روندهای آسیب‌پذیری روز صفر صحبت می‌کنیم و نمونه‌هایی از حملات روز صفر را مشاهده می‌کنیم.

همچنین اگر به مقاله های مربوط به هک علاقه مند هستید پیشنهاد می کنیم مقاله های هک واتساپ و هک اینستاگرام را مطالعه نمایید .

حمله روز صفر (Zero-day) چیست؟

هر از گاهی، آسیب پذیری هایی در سیستم های محاسباتی کشف می شود. این آسیب‌پذیری‌ها حفره‌های امنیتی را نشان می‌دهند که به مهاجمان اجازه دسترسی غیرمجاز به یک سیستم، آسیب رساندن یا به خطر انداختن آن را می‌دهند. آسیب پذیری های شناخته شده در مخازن عمومی مانند پایگاه داده آسیب پذیری ملی (NVD) مستند شده اند.

هم فروشندگان نرم افزار و هم محققان مستقل امنیت دائماً به دنبال آسیب پذیری های جدید در محصولات نرم افزاری هستند. هنگامی که آسیب‌پذیری کشف می‌شود، مسئولیت فروشنده نرم‌افزار است که به‌سرعت وصله‌ای را صادر کند. که به مشکل امنیتی رسیدگی می‌کند – کاربران نرم‌افزار می‌توانند وصله را برای محافظت از خود نصب کنند.

حمله صفر روز (یا روز صفر) یک آسیب پذیری نرم افزاری است که قبل از اینکه فروشنده از آن آگاه شود توسط مهاجمان مورد سوء استفاده قرار می گیرد. در آن نقطه، هیچ وصله‌ای وجود ندارد. بنابراین مهاجمان می‌توانند به راحتی از آسیب‌پذیری سوء استفاده کنند و بدانند که هیچ دفاعی وجود ندارد. این آسیب‌پذیری‌های روز صفر را به یک تهدید امنیتی شدید تبدیل می‌کند.

نکته:

هنگامی که مهاجمان آسیب‌پذیری روز صفر را شناسایی می‌کنند، به یک مکانیسم تحویل برای دسترسی به سیستم آسیب‌پذیر نیاز دارند. در بسیاری از موارد مکانیسم تحویل یک ایمیل مهندسی شده اجتماعی است – یک ایمیل یا پیام دیگری که ظاهراً از یک خبرنگار شناخته شده یا قانونی است، اما در واقع از یک مهاجم است. این پیام سعی می‌کند کاربر را متقاعد کند که اقدامی مانند باز کردن یک فایل یا بازدید از یک وب‌سایت مخرب را انجام دهد و ناخواسته سوء استفاده را فعال کند.

بهره برداری روز صفر چیست و چرا خطرناک است؟

بهره‌برداری روز صفر زمانی است که مهاجم از آسیب‌پذیری روز صفر برای حمله به یک سیستم استفاده می‌کند. این اکسپلویت ها به ویژه خطرناک هستند، زیرا احتمال موفقیت آنها بیشتر از حملات علیه آسیب پذیری های ایجاد شده است. در روز صفر، زمانی که یک آسیب‌پذیری عمومی می‌شود، سازمان‌ها هنوز فرصتی برای اصلاح این آسیب‌پذیری نداشته‌اند و بهره‌برداری را ممکن می‌سازد.

چیزی که اکسپلویت های روز صفر را خطرناک تر می کند این است که برخی از گروه های مجرم سایبری پیشرفته از بهره برداری های روز صفر به صورت استراتژیک استفاده می کنند. این گروه‌ها بهره‌برداری‌های روز صفر را برای استفاده با اهداف با ارزش مانند مؤسسات پزشکی یا مالی یا سازمان‌های دولتی رزرو می‌کنند. این احتمال کشف آسیب پذیری توسط قربانی را کاهش می دهد و می تواند طول عمر سوء استفاده را افزایش دهد.

حتی پس از ایجاد یک پچ، کاربران همچنان باید سیستم های خود را به روز کنند. اگر این کار را انجام ندهند، مهاجمان می توانند تا زمانی که سیستم وصله شود، از یک سوء استفاده روز صفر استفاده کنند.

آناتومی یک حمله روز صفر

یک حمله روز صفر معمولاً به صورت زیر انجام می شود:

به دنبال آسیب‌پذیری‌ها 

مهاجمان از طریق کد جستجو می‌کنند یا با برنامه‌های محبوب آزمایش می‌کنند و به دنبال آسیب‌پذیری می‌گردند. همچنین ممکن است آسیب‌پذیری‌ها را در بازار سیاه خریداری کنند (جزئیات بیشتر در مورد بازارهای روز صفر را در زیر ببینید).

کد سوء استفاده ایجاد شده 

مهاجمان یک برنامه بدافزار یا سایر ابزارهای فنی برای سوء استفاده از آسیب‌پذیری ایجاد می‌کنند.

در جستجوی سیستم‌های متاثر از آسیب‌پذیری 

مهاجمان می‌توانند از ربات‌ها، اسکنرهای خودکار و روش‌های دیگر برای شناسایی سیستم‌هایی که از آسیب‌پذیری رنج می‌برند استفاده کنند.

برنامه ریزی حمله

در یک حمله هدفمند به یک سازمان خاص، مهاجمان ممکن است شناسایی دقیقی برای شناسایی بهترین راه برای نفوذ به سیستم آسیب پذیر انجام دهند. در یک حمله غیر هدفمند، مهاجمان معمولاً از ربات‌ها یا کمپین‌های فیشینگ گسترده استفاده می‌کنند تا سعی کنند تا جایی که ممکن است به سیستم‌های آسیب‌پذیر نفوذ کنند.

نفوذ 

یک مهاجم از دفاع محیطی یک سازمان یا دستگاه شخصی عبور می کند.

بهره برداری روز صفر راه اندازی شد 

مهاجمان اکنون می توانند کد را از راه دور بر روی ماشین در معرض خطر اجرا کنند.

مهاجمان چه کسانی هستند؟

عوامل تهدید که حملات روز صفر را برنامه ریزی و انجام می دهند می توانند به چندین دسته تعلق داشته باشند:

مجرمان سایبری – هکرهایی که انگیزه اصلی آنها معمولاً مالی است.
Hacktivists – مهاجمانی که با یک ایدئولوژی انگیزه دارند، معمولاً می خواهند حملات بسیار قابل مشاهده باشد تا به آنها در اهداف خود کمک کنند.
جاسوسی شرکتی – مهاجمانی که قصد دارند به طور غیرقانونی اطلاعات خصوصی از دیگران به دست آورند

سازمان های جنگ سایبری – در سال‌های اخیر دولت‌های ملی و نهادهای امنیت ملی اغلب به تهدیدات سایبری علیه زیرساخت‌های کشور دیگر یا سازمان‌هایی در داخل کشور دیگر متوسل شده‌اند که زیرساخت‌های حیاتی را نشان می‌دهند (مثلاً حمله استاکس‌نت).

حملات هدفمند در مقابل حملات غیر هدفمند روز صفر

حملات هدفمند روز صفر علیه اهدافی با مشخصات بالا، مانند موسسات دولتی یا عمومی، سازمان‌های بزرگ و کارمندان ارشد که دسترسی ممتاز به سیستم‌های شرکتی، دسترسی به داده‌های حساس، مالکیت معنوی یا دارایی‌های مالی دارند، انجام می‌شود.

حملات غیرهدفمند روز صفر معمولاً علیه تعداد زیادی از کاربران خانگی یا تجاری که از یک سیستم آسیب‌پذیر مانند سیستم عامل یا مرورگر استفاده می‌کنند انجام می‌شود. اغلب، هدف مهاجم این است که این سیستم‌ها را به خطر بیندازد و از آنها برای ساخت بات‌نت‌های عظیم استفاده کند. . نمونه اخیر حمله WannaCry بود که از سوء استفاده EternalBlue در پروتکل فایل SMB ویندوز برای به خطر انداختن بیش از 200000 ماشین در یک روز استفاده کرد. حملات غیر هدفمند همچنین می توانند سخت افزار، سیستم عامل و اینترنت اشیا (IoT) را هدف قرار دهند.

روندهای آسیب پذیری روز صفر

بهره برداری های روز صفر مشاهده شده در طبیعت از هشت مورد در سال 2016 به 49 در سال 2017 افزایش یافته است. ابتکار Trend Micro Zero Day، شبکه ای از محققان که تحقیقات روز صفر را تشویق می کند، 382 آسیب پذیری جدید را در نیمه اول سال 2018 پیدا کرد. نه همه آسیب پذیری ها. به طور فعال توسط مهاجمان هدف قرار می گیرند و فقط برخی از آنها سوء استفاده در دسترس دارند.

کارشناسان پیش بینی می کنند که بهره برداری های روز صفر بسیار بیشتر خواهد شد. Cybersecurity Ventures انتظار دارد که تا سال 2021، مهاجمان روزانه یک سوء استفاده جدید را راه اندازی کنند. در سال 2015، تقریباً یک اکسپلویت در هفته وجود داشت.

نمونه هایی از حملات روز صفر

در زیر سه نمونه از حملات روز صفر با مشخصات بالا آورده شده است که خطر شدید حملات روز صفر را برای سازمان ها نشان می دهد.

استاکس نت

استاکس نت به عنوان اولین سلاح سایبری جهان شناخته شد. این بدافزار برای نفوذ به سانتریفیوژهای غنی‌سازی اورانیوم ایران در سال 2006 مورد استفاده قرار گرفت. استاکس نت یک سیستم کنترل صنعتی خاص را آلوده کرد و سرعت سانتریفیوژها را تا حدی کاهش داد که خود را از بین بردند. در طی این فرآیند سیستم های نظارتی ایران به نظر می رسید که سیستم ها به طور عادی کار می کنند.

RSA

در سال 2011، مهاجمان از یک آسیب‌پذیری اصلاح‌نشده در Adobe Flash Player برای ورود به شبکه فروشنده امنیتی RSA استفاده کردند. مهاجمان ایمیل‌ها را از طریق ضمیمه‌های صفحه گسترده اکسل بین کارکنان RSA توزیع کردند. پیوست ها یک فایل فلش را فعال کردند که از آسیب پذیری روز صفر فلش سوء استفاده می کرد. اطلاعات دزدیده شده شامل اطلاعات کلیدی است که توسط مشتریان RSA در توکن های امنیتی SecurID استفاده می شود.

سونی

در سال 2014، یک حمله روز صفر سونی پیکچرز را هدف قرار داد.  جزئیات آسیب پذیری مورد سوء استفاده در این حمله ناشناخته مانده است. این حمله باعث از بین رفتن شبکه سونی شد و مهاجمان اطلاعات حساس شرکتی را در سایت های اشتراک فایل فاش کردند، از جمله اطلاعات شخصی در مورد کارمندان سونی و خانواده های آنها، مکاتبات داخلی، اطلاعات مربوط به حقوق مدیران و … کپی از فیلم های اکران نشده سونی. مهاجمان از نوعی بدافزار پاک کننده Shamoon برای پاک کردن چندین سیستم در شبکه شرکتی سونی استفاده کردند.

بازار روز صفر

آسیب پذیری روز صفر یک دارایی ارزشمند است. برای فروشندگان نرم افزار که می خواهند از کاربران خود محافظت کنند آسیب پذیر است . برای مهاجمانی که می توانند از آنها به نفع خود استفاده کنند ارزشمند است.

سه بازار به وجود آمده است که محققین مشروع و مخرب در آنها آسیب‌پذیری‌ها و اکسپلویت‌های روز صفر را معامله می‌کنند:

بازارهای کلاه سفید

چندین برنامه جایزه وجود دارد که در آن فروشندگان نرم افزار و سازمان های امنیتی برای کشف یک آسیب پذیری ناشناخته جدید پول پرداخت می کنند. برنامه های Bounty توسط GitHub و BugCrowd، توسط برندهای فناوری بزرگ مانند اپل، مایکروسافت، و فیس بوک و حتی توسط سازمان های دولتی از جمله پنتاگون راه اندازی شده اند. همه اینها در صورتی که بتوانند آسیب‌پذیری امنیتی را شناسایی و مستند کنند، بین صدها تا صدها هزار دلار به محققان ارائه می‌دهند.}

فیدهای روز صفر

شرکت های تحقیقاتی امنیتی فیدهای روز صفر را با اطلاعاتی در مورد آسیب پذیری های ناشناخته به مشتریان خود ارائه می دهند که برای حفظ ارزش خود خصوصی نگه داشته می شوند.}

بازارهای کلاه خاکستری

کارگزاران روز صفر هستند که به دنبال تحقیقات خوب در روز صفر هستند و آن را از طرف مشتریان خود خریداری می کنند و هویت خریدار و فروشنده را ناشناس نگه می دارند. فروشنده، که ممکن است یک محقق قانونی باشد، هیچ کنترلی بر اینکه خریدار نهایی با اطلاعات آسیب‌پذیری چه خواهد کرد، ندارد. اگرچه ممکن است به فروشندگان نرم افزار یا احزاب قانونی ارائه شود، در برخی موارد ممکن است به یک کشور خارجی متخاصم، یک سازمان تروریستی یا یک گروه هکر فروخته شود.}

بازارهای سیاه

یک بازار سیاه پر رونق برای آسیب‌پذیری‌ها و سوءاستفاده‌های روز صفر وجود دارد. هکرها یا محققان غیراخلاقی، آسیب‌پذیری‌هایی را که کشف می‌کنند را برای فروش عرضه می‌کنند . عوامل تهدید با هدف انجام حملات علیه آسیب‌پذیرها، آن‌ها را خریداری می‌کنند.

سیستم های محققانی که این بازارهای سیاه را رصد می کنند گزارش می دهند. که ایجاد و توزیع اطلاعات و سوء استفاده های روز صفر توسط مجرمان سایبری در حال افزایش است.}

حفاظت و پیشگیری از روز صفر

دفاع در برابر حملات روز صفر دشوار است. اما راه هایی برای آماده سازی وجود دارد. راهنمای ما برای محافظت از روز صفر را بخوانید. تا چهار روش برتر را که می‌تواند به شما در جلوگیری از حملات روز صفر کمک کند، بدانید:

Windows Defender Exploit Guard

یک ابزار امنیتی ساخته شده در ویندوز 2010، که دارای چندین قابلیت است. که می تواند به طور موثر در برابر حملات روز صفر محافظت کند. این می تواند اولین خط دفاعی در برابر حملات روز صفر باشد که نقاط انتهایی ویندوز را هدف قرار می دهند.

آنتی ویروس نسل بعدی (NGAV)

آنتی ویروس های سنتی تا حد زیادی در برابر اکسپلویت های روز صفر بی اثر هستند. زیرا از آسیب پذیری ها در نرم افزارهای موجود استفاده می کنند. با این حال، راه حل های نسل بعدی آنتی ویروس (NGAV) از هوش تهدید، تجزیه و تحلیل رفتاری، تجزیه و تحلیل کد یادگیری ماشین و تکنیک های اختصاصی ضد سوء استفاده استفاده می کند. که می تواند در برابر برخی از حملات روز صفر موثر باشد.

مدیریت وصله(Patch)

ایجاد یک فرآیند رسمی و پیاده‌سازی ابزارهای خودکار، می‌تواند به سازمان‌ها کمک کند. تا سیستم‌هایی را که نیاز به وصله دارند شناسایی کنند، وصله‌ها را به‌دست آورند و به سرعت آن‌ها را مستقر کنند. قبل از اینکه مهاجمان بتوانند با یک حمله روز صفر حمله کنند.

برنامه واکنش به حادثه

داشتن یک برنامه خاص متمرکز بر حملات روز صفر می تواند سردرگمی را کاهش دهد . یعنی شانس شناسایی، کاهش و کاهش آسیب ناشی از حملات روز صفر را افزایش دهد.

محافظت در برابر حمله روز صفر با Cynet

پلتفرم تشخیص و پاسخ پیشرفته تهدیدات Cynet 360 محافظت در برابر تهدیداتی از جمله حملات روز صفر، تهدیدات پایدار پیشرفته (APT)، بدافزارهای پیشرفته و تروجان هایی را فراهم می کند. که می توانند از اقدامات امنیتی مبتنی بر امضای سنتی فرار کنند.

رفتار شبه بهره برداری را مسدود کنید

Cynet بر حافظه نقاط پایانی نظارت می کند تا الگوهای رفتاری مورد سوء استفاده را کشف کند، مانند درخواست غیرمعمول پردازش پردازش و موارد دیگر.

مسدود کردن بدافزارهای ناشی از اکسپلویت

Cynet از محافظت چندلایه بدافزار استفاده می کند. که شامل تجزیه و تحلیل استاتیک مبتنی بر ML، sandboxing، نظارت بر رفتار فرآیند است. علاوه بر این، آنها اطلاعات هش و تهدید را ارائه می دهند. این تضمین می کند که حتی اگر سوء استفاده موفق روز صفر با مهاجم ارتباط برقرار کند و بدافزار اضافی را دانلود کند.

تهدیدهای پنهان را کشف کنید

Cynet از یک متدولوژی دشمن محور برای شناسایی دقیق تهدیدات در سراسر زنجیره حمله استفاده می کند. Cynet مانند یک دشمن فکر می کند . رفتارها و شاخص ها را در نقاط پایانی، فایل ها، کاربران و شبکه ها تشخیص می دهد. آنها گزارشی جامع از عملیات یک حمله ارائه می دهند. صرف نظر از اینکه حمله ممکن است در کجا نفوذ کند.

 

5 راه برای دفاع در برابر بدافزارهای روز صفر

در محاسبات، اصطلاح روز صفر به مجهول اطلاق می شود. اگر آسیب‌پذیری، بهره‌برداری یا تهدیدی از هر نوعی برای محققان امنیتی شناخته نشده باشد، می‌توان آن را به عنوان «حمله روز صفر» طبقه‌بندی کرد.

بیاموزید که بدافزار روز صفر چیست و چرا می‌تواند از آنتی ویروس سنتی مبتنی بر امضا عبور کند. 5 راه را کشف کنید که می توانید از آنها برای دفاع در برابر بدافزارهای روز صفر استفاده کنید.

بهره برداری روز صفر: نمونه های اخیر و چهار استراتژی تشخیص

بهره‌برداری‌های روز صفر تکنیک‌هایی هستند که توسط عوامل مخرب برای حمله به سیستمی که دارای آسیب‌پذیری است، استفاده می‌کنند. در حالی که کاربران و توسعه‌دهندگان سیستم هنوز از آسیب‌پذیری بی‌اطلاع هستند.

درک کنید که چرا سوء استفاده های روز صفر بسیار شدید هستند. نمونه هایی از نقض های مخرب ناشی از روز صفر را ببینید . یاد بگیرید که چگونه حملات روز صفر را شناسایی کنید.

سوالات متداول

آسیب پذیری های روز صفر چیست؟

آسیب‌پذیری‌های روز صفر نقص‌های امنیتی ناشناخته یا باگ‌های نرم‌افزار، سفت‌افزار یا سخت‌افزاری هستند که فروشنده درباره آن‌ها اطلاعی ندارد، یا پچ یا به‌روزرسانی رسمی برای رفع آسیب‌پذیری ندارد. اغلب فروشندگان و کاربران از وجود یک آسیب پذیری آگاه نیستند مگر اینکه توسط یک محقق گزارش شود یا در نتیجه یک حمله کشف شود.

‌
حملات روز صفر چیست؟

وقتی بازیگران بد بتوانند با موفقیت بدافزاری را توسعه دهند و به کار گیرند که از آسیب‌پذیری روز صفر سوء استفاده می‌کند، آن بدافزار به یک حمله روز صفر تبدیل می‌شود. در نتیجه بهره برداری از آسیب پذیری، بازیگران بد به داده های حساس و/یا سیستم های حیاتی دسترسی غیرمجاز پیدا می کنند.

‌
بهره برداری روز صفر چیست؟

بهره برداری روز صفر تکنیکی است که بازیگران بد برای حمله به سیستم هایی که دارای آسیب پذیری هستند استفاده می کنند. محققان از اکسپلویت ها برای نشان دادن تأثیر «بهره برداری» از نقص برای دستیابی به دسترسی غیرمجاز یا به خطر انداختن سیستم زیربنایی استفاده می کنند.

Zero-Day Exploits نام خود را به این دلیل گرفته اند که برای روز صفر به طور عمومی شناخته شده اند. این امکان وجود دارد که بازیگران بدخواه سوء استفاده هایی را ایجاد کنند و منتظر بمانند تا از آنها به صورت استراتژیک استفاده کنند. در این حالت، حتی با وجود اینکه مهاجم از سوء استفاده می‌داند، هنوز به طور عمومی شناخته نشده است و همچنان یک سوء استفاده روز صفر محسوب می‌شود.

‌
تهدید یک بهره برداری روز صفر

دفاع در برابر اکسپلویت ها بسیار دشوار است زیرا داده های مربوط به اکسپلویت عموماً فقط پس از اتمام دوره حمله برای تجزیه و تحلیل در دسترس هستند. این حملات می تواند به شکل کرم های چند شکلی، ویروس ها، تروجان ها و سایر بدافزارها باشد.

هنگامی که یک آسیب‌پذیری عمومی می‌شود و محققان راه‌حلی را کشف می‌کنند یا فروشنده یک وصله ایجاد کرده است، به جای یک «سوءاستفاده روز صفر» به یک آسیب‌پذیری شناخته شده یا «n-day» تبدیل می‌شود.

بهترین روش ها برای محافظت در برابر حملات روز صفر چیست؟

تمرین توسعه چرخه عمر نرم افزار ایمن برای اطمینان از امنیت کد و نرم افزار ایمن برای به حداقل رساندن خطرات یا آسیب پذیری های احتمالی.

 

یک برنامه مدیریت آسیب پذیری قوی و یک برنامه وصله داشته باشید. به عنوان مثال، نرم افزار را در اسرع وقت به روز کنید، به خصوص به روز رسانی های امنیتی حیاتی.

آموزش آگاهی از امنیت سایبری بر مهندسی اجتماعی، شناسایی کمپین های فیشینگ و نیزه فیشینگ و اجتناب از وب سایت های مخرب متمرکز بود.

استقرار کنترل‌های امنیتی لایه‌ای از جمله فایروال‌های محیطی، IPS/IDS، و سایر کنترل‌های امنیتی مرکز داده و همچنین کنترل‌های امنیتی نقطه پایانی.

استفاده از خرده‌بخشی و کمترین امتیاز، به‌ویژه در سیستم‌های با ارزش بالا، تا رسیدن به اهداف را برای مهاجمان دشوارتر و گران‌تر کند.

‌
نقش دید بلادرنگ و تقسیم بندی در پاسخ به حمله روز صفر چیست؟

حتی اگر نرم‌افزار آسیب‌پذیر باشد، یک بازیگر بد ممکن است لزوماً نتواند اکسپلویت خود را با موفقیت اجرا کند، اگر هدف، مسائل کنترل دسترسی به خوبی طراحی شده باشد.

مشاهده بی‌درنگ تیم‌های امنیتی، فناوری اطلاعات و شبکه را قادر می‌سازد تا ترافیک عادی و رفتار برنامه‌ها را مدل‌سازی و درک کنند. این به آن‌ها کمک می‌کند اتصالات جدید و تلاش‌های ناموفق غیرمعمول برای اتصال به حجم کاری را شناسایی کنند که می‌تواند نشانگر آن باشد

 

نتیجه

آسیب‌پذیری روز صفر یک ضعف در یک سیستم رایانه‌ای است. که می‌تواند توسط مهاجم مورد سوء استفاده قرار گیرد و توسط طرف‌های آسیب‌دیده شناسایی نشده است. حمله روز صفر تلاشی از سوی یک عامل تهدید برای نفوذ، آسیب یا به خطر انداختن سیستمی است. که تحت تأثیر یک آسیب پذیری ناشناخته است. با توجه به ماهیت حمله، قربانی دفاعی در جای خود نخواهد داشت و به همین دلیل احتمال موفقیت آن بسیار زیاد است.

اگر سازمان شما قربانی یک سوء استفاده روز صفر شود چه اتفاقی می افتد؟ بدانید که چگونه از سازمان خود در برابر حملات غافلگیرکننده و ناشناخته محافظت کنید.