فروشندگان نرم افزار به طور مداوم آسیب پذیری های نادیده گرفته شده را جستجو می کنند . پس از کشف آن، یک اصلاح کد که به نام «پچ» نیز شناخته می شود، صادر می کنند. با این حال، آسیبپذیری روز صفر یا حمله روز صفر یک ضعف نرمافزاری است که قبل از اینکه فروشنده این نقص را کشف کند توسط مهاجمان پیدا میشود. در این مقاله، بینشی در مورد عملکرد حملات روز صفر ارائه میکنیم، در مورد روندهای آسیبپذیری روز صفر صحبت میکنیم و نمونههایی از حملات روز صفر را مشاهده میکنیم.
همچنین اگر به مقاله های مربوط به هک علاقه مند هستید پیشنهاد می کنیم مقاله های هک واتساپ و هک اینستاگرام را مطالعه نمایید .
آنچه در این مقاله خواهید خواند :
هر از گاهی، آسیب پذیری هایی در سیستم های محاسباتی کشف می شود. این آسیبپذیریها حفرههای امنیتی را نشان میدهند که به مهاجمان اجازه دسترسی غیرمجاز به یک سیستم، آسیب رساندن یا به خطر انداختن آن را میدهند. آسیب پذیری های شناخته شده در مخازن عمومی مانند پایگاه داده آسیب پذیری ملی (NVD) مستند شده اند.
هم فروشندگان نرم افزار و هم محققان مستقل امنیت دائماً به دنبال آسیب پذیری های جدید در محصولات نرم افزاری هستند. هنگامی که آسیبپذیری کشف میشود، مسئولیت فروشنده نرمافزار است که بهسرعت وصلهای را صادر کند. که به مشکل امنیتی رسیدگی میکند – کاربران نرمافزار میتوانند وصله را برای محافظت از خود نصب کنند.
حمله صفر روز (یا روز صفر) یک آسیب پذیری نرم افزاری است که قبل از اینکه فروشنده از آن آگاه شود توسط مهاجمان مورد سوء استفاده قرار می گیرد. در آن نقطه، هیچ وصلهای وجود ندارد. بنابراین مهاجمان میتوانند به راحتی از آسیبپذیری سوء استفاده کنند و بدانند که هیچ دفاعی وجود ندارد. این آسیبپذیریهای روز صفر را به یک تهدید امنیتی شدید تبدیل میکند.
هنگامی که مهاجمان آسیبپذیری روز صفر را شناسایی میکنند، به یک مکانیسم تحویل برای دسترسی به سیستم آسیبپذیر نیاز دارند. در بسیاری از موارد مکانیسم تحویل یک ایمیل مهندسی شده اجتماعی است – یک ایمیل یا پیام دیگری که ظاهراً از یک خبرنگار شناخته شده یا قانونی است، اما در واقع از یک مهاجم است. این پیام سعی میکند کاربر را متقاعد کند که اقدامی مانند باز کردن یک فایل یا بازدید از یک وبسایت مخرب را انجام دهد و ناخواسته سوء استفاده را فعال کند.
بهرهبرداری روز صفر زمانی است که مهاجم از آسیبپذیری روز صفر برای حمله به یک سیستم استفاده میکند. این اکسپلویت ها به ویژه خطرناک هستند، زیرا احتمال موفقیت آنها بیشتر از حملات علیه آسیب پذیری های ایجاد شده است. در روز صفر، زمانی که یک آسیبپذیری عمومی میشود، سازمانها هنوز فرصتی برای اصلاح این آسیبپذیری نداشتهاند و بهرهبرداری را ممکن میسازد.
چیزی که اکسپلویت های روز صفر را خطرناک تر می کند این است که برخی از گروه های مجرم سایبری پیشرفته از بهره برداری های روز صفر به صورت استراتژیک استفاده می کنند. این گروهها بهرهبرداریهای روز صفر را برای استفاده با اهداف با ارزش مانند مؤسسات پزشکی یا مالی یا سازمانهای دولتی رزرو میکنند. این احتمال کشف آسیب پذیری توسط قربانی را کاهش می دهد و می تواند طول عمر سوء استفاده را افزایش دهد.
حتی پس از ایجاد یک پچ، کاربران همچنان باید سیستم های خود را به روز کنند. اگر این کار را انجام ندهند، مهاجمان می توانند تا زمانی که سیستم وصله شود، از یک سوء استفاده روز صفر استفاده کنند.
یک حمله روز صفر معمولاً به صورت زیر انجام می شود:
به دنبال آسیبپذیریها
مهاجمان از طریق کد جستجو میکنند یا با برنامههای محبوب آزمایش میکنند و به دنبال آسیبپذیری میگردند. همچنین ممکن است آسیبپذیریها را در بازار سیاه خریداری کنند (جزئیات بیشتر در مورد بازارهای روز صفر را در زیر ببینید).
کد سوء استفاده ایجاد شده
مهاجمان یک برنامه بدافزار یا سایر ابزارهای فنی برای سوء استفاده از آسیبپذیری ایجاد میکنند.
در جستجوی سیستمهای متاثر از آسیبپذیری
مهاجمان میتوانند از رباتها، اسکنرهای خودکار و روشهای دیگر برای شناسایی سیستمهایی که از آسیبپذیری رنج میبرند استفاده کنند.
برنامه ریزی حمله
در یک حمله هدفمند به یک سازمان خاص، مهاجمان ممکن است شناسایی دقیقی برای شناسایی بهترین راه برای نفوذ به سیستم آسیب پذیر انجام دهند. در یک حمله غیر هدفمند، مهاجمان معمولاً از رباتها یا کمپینهای فیشینگ گسترده استفاده میکنند تا سعی کنند تا جایی که ممکن است به سیستمهای آسیبپذیر نفوذ کنند.
نفوذ
یک مهاجم از دفاع محیطی یک سازمان یا دستگاه شخصی عبور می کند.
بهره برداری روز صفر راه اندازی شد
مهاجمان اکنون می توانند کد را از راه دور بر روی ماشین در معرض خطر اجرا کنند.
عوامل تهدید که حملات روز صفر را برنامه ریزی و انجام می دهند می توانند به چندین دسته تعلق داشته باشند:
مجرمان سایبری – هکرهایی که انگیزه اصلی آنها معمولاً مالی است.
Hacktivists – مهاجمانی که با یک ایدئولوژی انگیزه دارند، معمولاً می خواهند حملات بسیار قابل مشاهده باشد تا به آنها در اهداف خود کمک کنند.
جاسوسی شرکتی – مهاجمانی که قصد دارند به طور غیرقانونی اطلاعات خصوصی از دیگران به دست آورند
سازمان های جنگ سایبری – در سالهای اخیر دولتهای ملی و نهادهای امنیت ملی اغلب به تهدیدات سایبری علیه زیرساختهای کشور دیگر یا سازمانهایی در داخل کشور دیگر متوسل شدهاند که زیرساختهای حیاتی را نشان میدهند (مثلاً حمله استاکسنت).
حملات هدفمند روز صفر علیه اهدافی با مشخصات بالا، مانند موسسات دولتی یا عمومی، سازمانهای بزرگ و کارمندان ارشد که دسترسی ممتاز به سیستمهای شرکتی، دسترسی به دادههای حساس، مالکیت معنوی یا داراییهای مالی دارند، انجام میشود.
حملات غیرهدفمند روز صفر معمولاً علیه تعداد زیادی از کاربران خانگی یا تجاری که از یک سیستم آسیبپذیر مانند سیستم عامل یا مرورگر استفاده میکنند انجام میشود. اغلب، هدف مهاجم این است که این سیستمها را به خطر بیندازد و از آنها برای ساخت باتنتهای عظیم استفاده کند. . نمونه اخیر حمله WannaCry بود که از سوء استفاده EternalBlue در پروتکل فایل SMB ویندوز برای به خطر انداختن بیش از 200000 ماشین در یک روز استفاده کرد. حملات غیر هدفمند همچنین می توانند سخت افزار، سیستم عامل و اینترنت اشیا (IoT) را هدف قرار دهند.
بهره برداری های روز صفر مشاهده شده در طبیعت از هشت مورد در سال 2016 به 49 در سال 2017 افزایش یافته است. ابتکار Trend Micro Zero Day، شبکه ای از محققان که تحقیقات روز صفر را تشویق می کند، 382 آسیب پذیری جدید را در نیمه اول سال 2018 پیدا کرد. نه همه آسیب پذیری ها. به طور فعال توسط مهاجمان هدف قرار می گیرند و فقط برخی از آنها سوء استفاده در دسترس دارند.
کارشناسان پیش بینی می کنند که بهره برداری های روز صفر بسیار بیشتر خواهد شد. Cybersecurity Ventures انتظار دارد که تا سال 2021، مهاجمان روزانه یک سوء استفاده جدید را راه اندازی کنند. در سال 2015، تقریباً یک اکسپلویت در هفته وجود داشت.
در زیر سه نمونه از حملات روز صفر با مشخصات بالا آورده شده است که خطر شدید حملات روز صفر را برای سازمان ها نشان می دهد.
استاکس نت به عنوان اولین سلاح سایبری جهان شناخته شد. این بدافزار برای نفوذ به سانتریفیوژهای غنیسازی اورانیوم ایران در سال 2006 مورد استفاده قرار گرفت. استاکس نت یک سیستم کنترل صنعتی خاص را آلوده کرد و سرعت سانتریفیوژها را تا حدی کاهش داد که خود را از بین بردند. در طی این فرآیند سیستم های نظارتی ایران به نظر می رسید که سیستم ها به طور عادی کار می کنند.
در سال 2011، مهاجمان از یک آسیبپذیری اصلاحنشده در Adobe Flash Player برای ورود به شبکه فروشنده امنیتی RSA استفاده کردند. مهاجمان ایمیلها را از طریق ضمیمههای صفحه گسترده اکسل بین کارکنان RSA توزیع کردند. پیوست ها یک فایل فلش را فعال کردند که از آسیب پذیری روز صفر فلش سوء استفاده می کرد. اطلاعات دزدیده شده شامل اطلاعات کلیدی است که توسط مشتریان RSA در توکن های امنیتی SecurID استفاده می شود.
در سال 2014، یک حمله روز صفر سونی پیکچرز را هدف قرار داد. جزئیات آسیب پذیری مورد سوء استفاده در این حمله ناشناخته مانده است. این حمله باعث از بین رفتن شبکه سونی شد و مهاجمان اطلاعات حساس شرکتی را در سایت های اشتراک فایل فاش کردند، از جمله اطلاعات شخصی در مورد کارمندان سونی و خانواده های آنها، مکاتبات داخلی، اطلاعات مربوط به حقوق مدیران و … کپی از فیلم های اکران نشده سونی. مهاجمان از نوعی بدافزار پاک کننده Shamoon برای پاک کردن چندین سیستم در شبکه شرکتی سونی استفاده کردند.
آسیب پذیری روز صفر یک دارایی ارزشمند است. برای فروشندگان نرم افزار که می خواهند از کاربران خود محافظت کنند آسیب پذیر است . برای مهاجمانی که می توانند از آنها به نفع خود استفاده کنند ارزشمند است.
سه بازار به وجود آمده است که محققین مشروع و مخرب در آنها آسیبپذیریها و اکسپلویتهای روز صفر را معامله میکنند:
چندین برنامه جایزه وجود دارد که در آن فروشندگان نرم افزار و سازمان های امنیتی برای کشف یک آسیب پذیری ناشناخته جدید پول پرداخت می کنند. برنامه های Bounty توسط GitHub و BugCrowd، توسط برندهای فناوری بزرگ مانند اپل، مایکروسافت، و فیس بوک و حتی توسط سازمان های دولتی از جمله پنتاگون راه اندازی شده اند. همه اینها در صورتی که بتوانند آسیبپذیری امنیتی را شناسایی و مستند کنند، بین صدها تا صدها هزار دلار به محققان ارائه میدهند.}
شرکت های تحقیقاتی امنیتی فیدهای روز صفر را با اطلاعاتی در مورد آسیب پذیری های ناشناخته به مشتریان خود ارائه می دهند که برای حفظ ارزش خود خصوصی نگه داشته می شوند.}
کارگزاران روز صفر هستند که به دنبال تحقیقات خوب در روز صفر هستند و آن را از طرف مشتریان خود خریداری می کنند و هویت خریدار و فروشنده را ناشناس نگه می دارند. فروشنده، که ممکن است یک محقق قانونی باشد، هیچ کنترلی بر اینکه خریدار نهایی با اطلاعات آسیبپذیری چه خواهد کرد، ندارد. اگرچه ممکن است به فروشندگان نرم افزار یا احزاب قانونی ارائه شود، در برخی موارد ممکن است به یک کشور خارجی متخاصم، یک سازمان تروریستی یا یک گروه هکر فروخته شود.}
یک بازار سیاه پر رونق برای آسیبپذیریها و سوءاستفادههای روز صفر وجود دارد. هکرها یا محققان غیراخلاقی، آسیبپذیریهایی را که کشف میکنند را برای فروش عرضه میکنند . عوامل تهدید با هدف انجام حملات علیه آسیبپذیرها، آنها را خریداری میکنند.
سیستم های محققانی که این بازارهای سیاه را رصد می کنند گزارش می دهند. که ایجاد و توزیع اطلاعات و سوء استفاده های روز صفر توسط مجرمان سایبری در حال افزایش است.}
دفاع در برابر حملات روز صفر دشوار است. اما راه هایی برای آماده سازی وجود دارد. راهنمای ما برای محافظت از روز صفر را بخوانید. تا چهار روش برتر را که میتواند به شما در جلوگیری از حملات روز صفر کمک کند، بدانید:
یک ابزار امنیتی ساخته شده در ویندوز 2010، که دارای چندین قابلیت است. که می تواند به طور موثر در برابر حملات روز صفر محافظت کند. این می تواند اولین خط دفاعی در برابر حملات روز صفر باشد که نقاط انتهایی ویندوز را هدف قرار می دهند.
آنتی ویروس های سنتی تا حد زیادی در برابر اکسپلویت های روز صفر بی اثر هستند. زیرا از آسیب پذیری ها در نرم افزارهای موجود استفاده می کنند. با این حال، راه حل های نسل بعدی آنتی ویروس (NGAV) از هوش تهدید، تجزیه و تحلیل رفتاری، تجزیه و تحلیل کد یادگیری ماشین و تکنیک های اختصاصی ضد سوء استفاده استفاده می کند. که می تواند در برابر برخی از حملات روز صفر موثر باشد.
ایجاد یک فرآیند رسمی و پیادهسازی ابزارهای خودکار، میتواند به سازمانها کمک کند. تا سیستمهایی را که نیاز به وصله دارند شناسایی کنند، وصلهها را بهدست آورند و به سرعت آنها را مستقر کنند. قبل از اینکه مهاجمان بتوانند با یک حمله روز صفر حمله کنند.
داشتن یک برنامه خاص متمرکز بر حملات روز صفر می تواند سردرگمی را کاهش دهد . یعنی شانس شناسایی، کاهش و کاهش آسیب ناشی از حملات روز صفر را افزایش دهد.
پلتفرم تشخیص و پاسخ پیشرفته تهدیدات Cynet 360 محافظت در برابر تهدیداتی از جمله حملات روز صفر، تهدیدات پایدار پیشرفته (APT)، بدافزارهای پیشرفته و تروجان هایی را فراهم می کند. که می توانند از اقدامات امنیتی مبتنی بر امضای سنتی فرار کنند.
Cynet بر حافظه نقاط پایانی نظارت می کند تا الگوهای رفتاری مورد سوء استفاده را کشف کند، مانند درخواست غیرمعمول پردازش پردازش و موارد دیگر.
Cynet از محافظت چندلایه بدافزار استفاده می کند. که شامل تجزیه و تحلیل استاتیک مبتنی بر ML، sandboxing، نظارت بر رفتار فرآیند است. علاوه بر این، آنها اطلاعات هش و تهدید را ارائه می دهند. این تضمین می کند که حتی اگر سوء استفاده موفق روز صفر با مهاجم ارتباط برقرار کند و بدافزار اضافی را دانلود کند.
Cynet از یک متدولوژی دشمن محور برای شناسایی دقیق تهدیدات در سراسر زنجیره حمله استفاده می کند. Cynet مانند یک دشمن فکر می کند . رفتارها و شاخص ها را در نقاط پایانی، فایل ها، کاربران و شبکه ها تشخیص می دهد. آنها گزارشی جامع از عملیات یک حمله ارائه می دهند. صرف نظر از اینکه حمله ممکن است در کجا نفوذ کند.
در محاسبات، اصطلاح روز صفر به مجهول اطلاق می شود. اگر آسیبپذیری، بهرهبرداری یا تهدیدی از هر نوعی برای محققان امنیتی شناخته نشده باشد، میتوان آن را به عنوان «حمله روز صفر» طبقهبندی کرد.
بیاموزید که بدافزار روز صفر چیست و چرا میتواند از آنتی ویروس سنتی مبتنی بر امضا عبور کند. 5 راه را کشف کنید که می توانید از آنها برای دفاع در برابر بدافزارهای روز صفر استفاده کنید.
بهره برداری روز صفر: نمونه های اخیر و چهار استراتژی تشخیص
بهرهبرداریهای روز صفر تکنیکهایی هستند که توسط عوامل مخرب برای حمله به سیستمی که دارای آسیبپذیری است، استفاده میکنند. در حالی که کاربران و توسعهدهندگان سیستم هنوز از آسیبپذیری بیاطلاع هستند.
درک کنید که چرا سوء استفاده های روز صفر بسیار شدید هستند. نمونه هایی از نقض های مخرب ناشی از روز صفر را ببینید . یاد بگیرید که چگونه حملات روز صفر را شناسایی کنید.
آسیبپذیریهای روز صفر نقصهای امنیتی ناشناخته یا باگهای نرمافزار، سفتافزار یا سختافزاری هستند که فروشنده درباره آنها اطلاعی ندارد، یا پچ یا بهروزرسانی رسمی برای رفع آسیبپذیری ندارد. اغلب فروشندگان و کاربران از وجود یک آسیب پذیری آگاه نیستند مگر اینکه توسط یک محقق گزارش شود یا در نتیجه یک حمله کشف شود.
وقتی بازیگران بد بتوانند با موفقیت بدافزاری را توسعه دهند و به کار گیرند که از آسیبپذیری روز صفر سوء استفاده میکند، آن بدافزار به یک حمله روز صفر تبدیل میشود. در نتیجه بهره برداری از آسیب پذیری، بازیگران بد به داده های حساس و/یا سیستم های حیاتی دسترسی غیرمجاز پیدا می کنند.
بهره برداری روز صفر تکنیکی است که بازیگران بد برای حمله به سیستم هایی که دارای آسیب پذیری هستند استفاده می کنند. محققان از اکسپلویت ها برای نشان دادن تأثیر «بهره برداری» از نقص برای دستیابی به دسترسی غیرمجاز یا به خطر انداختن سیستم زیربنایی استفاده می کنند.
Zero-Day Exploits نام خود را به این دلیل گرفته اند که برای روز صفر به طور عمومی شناخته شده اند. این امکان وجود دارد که بازیگران بدخواه سوء استفاده هایی را ایجاد کنند و منتظر بمانند تا از آنها به صورت استراتژیک استفاده کنند. در این حالت، حتی با وجود اینکه مهاجم از سوء استفاده میداند، هنوز به طور عمومی شناخته نشده است و همچنان یک سوء استفاده روز صفر محسوب میشود.
دفاع در برابر اکسپلویت ها بسیار دشوار است زیرا داده های مربوط به اکسپلویت عموماً فقط پس از اتمام دوره حمله برای تجزیه و تحلیل در دسترس هستند. این حملات می تواند به شکل کرم های چند شکلی، ویروس ها، تروجان ها و سایر بدافزارها باشد.
هنگامی که یک آسیبپذیری عمومی میشود و محققان راهحلی را کشف میکنند یا فروشنده یک وصله ایجاد کرده است، به جای یک «سوءاستفاده روز صفر» به یک آسیبپذیری شناخته شده یا «n-day» تبدیل میشود.
تمرین توسعه چرخه عمر نرم افزار ایمن برای اطمینان از امنیت کد و نرم افزار ایمن برای به حداقل رساندن خطرات یا آسیب پذیری های احتمالی.
یک برنامه مدیریت آسیب پذیری قوی و یک برنامه وصله داشته باشید. به عنوان مثال، نرم افزار را در اسرع وقت به روز کنید، به خصوص به روز رسانی های امنیتی حیاتی.
آموزش آگاهی از امنیت سایبری بر مهندسی اجتماعی، شناسایی کمپین های فیشینگ و نیزه فیشینگ و اجتناب از وب سایت های مخرب متمرکز بود.
استقرار کنترلهای امنیتی لایهای از جمله فایروالهای محیطی، IPS/IDS، و سایر کنترلهای امنیتی مرکز داده و همچنین کنترلهای امنیتی نقطه پایانی.
استفاده از خردهبخشی و کمترین امتیاز، بهویژه در سیستمهای با ارزش بالا، تا رسیدن به اهداف را برای مهاجمان دشوارتر و گرانتر کند.
حتی اگر نرمافزار آسیبپذیر باشد، یک بازیگر بد ممکن است لزوماً نتواند اکسپلویت خود را با موفقیت اجرا کند، اگر هدف، مسائل کنترل دسترسی به خوبی طراحی شده باشد.
مشاهده بیدرنگ تیمهای امنیتی، فناوری اطلاعات و شبکه را قادر میسازد تا ترافیک عادی و رفتار برنامهها را مدلسازی و درک کنند. این به آنها کمک میکند اتصالات جدید و تلاشهای ناموفق غیرمعمول برای اتصال به حجم کاری را شناسایی کنند که میتواند نشانگر آن باشد
آسیبپذیری روز صفر یک ضعف در یک سیستم رایانهای است. که میتواند توسط مهاجم مورد سوء استفاده قرار گیرد و توسط طرفهای آسیبدیده شناسایی نشده است. حمله روز صفر تلاشی از سوی یک عامل تهدید برای نفوذ، آسیب یا به خطر انداختن سیستمی است. که تحت تأثیر یک آسیب پذیری ناشناخته است. با توجه به ماهیت حمله، قربانی دفاعی در جای خود نخواهد داشت و به همین دلیل احتمال موفقیت آن بسیار زیاد است.
اگر سازمان شما قربانی یک سوء استفاده روز صفر شود چه اتفاقی می افتد؟ بدانید که چگونه از سازمان خود در برابر حملات غافلگیرکننده و ناشناخته محافظت کنید.