حملات و آسیب پذیری های روز صفر چیست؟

0 0 خواندن این مطلب 7 دقیقه زمان میبرد

منظور از حمله‌ و آسیب‌پذیری روز صفر چیست؟

طبق مقاله Sophos Zero Day Attacks، انواع مختلفی از آسیب پذیری های امنیتی برای حملات سایبری وجود دارد. شرکت ها مسئول حفاظت از سازمان های خود در برابر این حملات به منظور رعایت قانون و حفاظت از کارکنان، مشتریان و داده های خود هستند. یکی از رایج ترین این آسیب پذیری ها «آسیب پذیری روز صفر» است. اما بیایید ببینیم آسیب‌پذیری روز صفر چیست و هکرها چگونه از آن سوء استفاده می‌کنند؟

«روز صفر» و «آسیب‌پذیری روز صفر» به چه معناست؟

برنامه ها معمولا پس از انتشار آسیب پذیر هستند. این آسیب پذیری ها اغلب نقص یا حفره های ناخواسته در نرم افزار هستند. به عنوان مثال، یک نقص امنیتی که به مجرمان سایبری امکان دسترسی به داده های یک سازمان را می دهد. توسعه دهندگان نرم افزار همیشه به دنبال این آسیب پذیری ها هستند تا بتوانند آن ها را کشف و تجزیه و تحلیل کنند و سپس یک وصله برای رفع آسیب پذیری ارائه کنند. رفع مشکل در نسخه بعدی نرم افزار منتشر خواهد شد. با این حال، همانطور که می بینید، این فرآیند زمان بر است، گاهی اوقات ممکن است روزها، هفته ها یا حتی ماه ها طول بکشد، حتی زمانی که یک پچ روز صفر منتشر می شود، همه کاربران آن را به سرعت اجرا نمی کنند. بنابراین، هکرها در سراسر جهان می توانند به محض کشف یک آسیب پذیری و قبل از انتشار وصله، شروع به سوء استفاده از آن کنند. به عبارت دیگر، توسعه دهندگانی که به تازگی از آسیب پذیری یاد گرفته اند و روزی برای یافتن راه حلی برای مشکل ندارند. بنابراین به این آسیب‌پذیری‌ها «آسیب‌پذیری روز صفر» می‌گویند. حمله روز صفر زمانی اتفاق می‌افتد که هکرها قبل از اینکه توسعه‌دهندگان فرصتی برای رفع آن داشته باشند از این نقص سوء استفاده کنند.

واژه‌های آسیب‌پذیری، بهره‌برداری و حمله اغلب به جای واژه روز صفر استفاده می‌شوند و درک تفاوت بین آنها بسیار مهم است.

“آسیب پذیری روز صفر” یک آسیب پذیری نرم افزار قبل از اینکه شرکت یا صاحب نرم افزار از آن مطلع شود توسط مهاجمان کشف می شود. بنابراین، هیچ فرصتی برای انتشار یک وصله برای آسیب‌پذیری کشف‌شده وجود ندارد، و هیچ وصله‌ای برای آسیب‌پذیری‌های روز صفر در دسترس نیست. این امر احتمال حملات موفقیت آمیز را افزایش می دهد.
“روز صفر بهره برداری” این روشی است که توسط هکرها برای حمله به سیستم هایی با آسیب پذیری روز صفر استفاده می شود.
“حمله روز صفر” استفاده از یک اکسپلویت روز صفر برای آسیب رساندن یا سرقت داده ها از یک سیستم با آسیب پذیری روز صفر.

حمله روز صفر چیست و چگونه کار می کند؟

همانطور که اشاره کردیم، هکرها یا مهاجمان گاهی اوقات قبل از توسعه دهندگان نرم افزار آسیب پذیری های برنامه را کشف می کنند. بنابراین آنها از این فرصت برای نوشتن و پیاده سازی کد برای سوء استفاده از این آسیب پذیری استفاده می کنند. این کد “کد بهره برداری” نامیده می شود. برای مثال، کد اکسپلویت می‌تواند کاربران نرم‌افزار را از طریق سرقت هویت یا سایر اشکال جرایم سایبری قربانی کند. هنگامی که مهاجمان یک آسیب‌پذیری روز صفر را شناسایی کردند، به راهی برای دسترسی به سیستم آسیب‌پذیر نیاز دارند. آنها اغلب این کار را از طریق ایمیل انجام می دهند. به عنوان مثال، آنها یک ایمیل یا هر پیامی که به نظر می رسد از یک منبع شناخته شده یا قانونی (اما در واقع از طرف یک مهاجم است) ارسال می کنند. این پیام سعی می کند کاربر را متقاعد کند که اقدامی مانند باز کردن یک فایل یا بازدید از یک وب سایت مخرب انجام دهد. با انجام این کار، بدافزار دانلود شده و به فایل های کاربر نفوذ کرده و اطلاعات محرمانه را به سرقت می برد.

اکسپلویت ها در وب تاریک با مبالغ هنگفتی فروخته می شوند. با این حال، آنها تا زمانی که توسعه دهندگان وصله ها را منتشر کنند و همه کاربران آنها را پیاده سازی کنند معتبر هستند. هنگامی که یک آسیب پذیری کشف و رفع شد، دیگر تهدید روز صفر محسوب نمی شود.

در سال‌های اخیر، هکرها بلافاصله پس از کشف آسیب‌پذیری‌ها، به سرعت از آن‌ها سوء استفاده می‌کنند. حملات روز صفر یکی از خطرناک ترین انواع حملات هستند زیرا معمولاً تنها افرادی که از آنها اطلاع دارند خود مهاجمان هستند. هنگامی که مهاجمان وارد یک شبکه می شوند، می توانند بلافاصله حمله کنند یا عقب بنشینند و منتظر بهترین زمان برای انجام این کار باشند.

چه کسی حملات روز صفر را انجام می دهد؟

مهاجمانی که حملات روز صفر را انجام می دهند بسته به انگیزه حمله به دسته های مختلفی تقسیم می شوند. مثلا:

• مجرمان سایبری – هکرهایی که انگیزه آنها اغلب بهره برداری مالی است.
• هکتیویست ها – هکرهایی با انگیزه سیاسی یا اجتماعی که می خواهند به حملات رسانه ای تبدیل شوند تا توجه عمومی را به هدف خود جلب کنند.
• جاسوسی صنعتی هکرهایی که از شرکت ها برای کسب اطلاعات در مورد آنها جاسوسی می کنند.
• جنگ سایبری – هدف از این نوع مهاجمان جاسوسی یا حمله به زیرساخت های سایبری یک کشور دیگر است.

اهداف حملات روز صفر

یک حمله روز صفر می تواند از آسیب پذیری ها در سیستم های مختلف سوء استفاده کند، از جمله:

• سیستم های عامل
• مرورگرهای وب
• برنامه های کاربردی آفیس
• اجزای متن باز
• مواد
• اینترنت اشیا (IoT)

بنابراین، طیف وسیعی از قربانیان این امکان وجود دارد، به عنوان مثال:

• افرادی که از یک سیستم آسیب پذیر مانند مرورگر یا سیستم عامل قدیمی استفاده می کنند. هکرها می توانند از آسیب پذیری های امنیتی برای به خطر انداختن دستگاه ها و ایجاد بات نت های بزرگ سوء استفاده کنند.
• افرادی که به داده های تجاری ارزشمند دسترسی دارند.
• شرکت ها و سازمان های بزرگ
• سازمان های دولتی

حتی زمانی که مهاجمان افراد خاصی را هدف قرار نمی دهند، تعداد زیادی از افراد همچنان می توانند تحت تاثیر حملات روز صفر قرار بگیرند. هدف از حملات بدون هدف، به دام انداختن هر چه بیشتر کاربران است.

نمونه هایی از آخرین حملات روز صفر

کروم

در سال 2021، گوگل کروم با یک سری تهدیدات روز صفر مواجه شد که باعث شد به‌روزرسانی‌ها را منتشر کند. این آسیب‌پذیری ناشی از نقص موتور جاوا اسکریپت V8 مورد استفاده در مرورگر وب است.

بزرگنمایی

در سال 2020، یک آسیب پذیری در پلتفرم کنفرانس ویدیویی محبوب کشف شد. در این حمله روز صفر، هکرها در صورت استفاده از نسخه قدیمی ویندوز، به رایانه کاربر از راه دور دسترسی خواهند داشت. یک هکر می تواند به طور کامل کنترل دستگاه خود را در دست بگیرد و به تمام فایل های آنها دسترسی داشته باشد.

AppleiOS

iOS اپل اغلب امن ترین پلتفرم گوشی های هوشمند در نظر گرفته می شود. با این حال، در سال 2020 قربانی حداقل دو مجموعه از آسیب‌پذیری‌های روز صفر iOS شد، از جمله یک باگ روز صفر که آیفون‌ها را در برابر مهاجمان از راه دور آسیب‌پذیر می‌کرد.

چگونه حملات روز صفر را شناسایی کنیم؟

از آنجایی که آسیب‌پذیری‌های روز صفر می‌توانند اشکال مختلفی داشته باشند، مانند الگوریتم‌های معیوب، مسائل امنیتی رمز عبور و غیره، شناسایی آنها می‌تواند دشوار باشد. اطلاعات دقیق در مورد اکسپلویت های روز صفر نیز تنها پس از شناسایی اکسپلویت در دسترس است. سازمان‌هایی که توسط یک بهره‌برداری روز صفر مورد حمله قرار می‌گیرند ممکن است ترافیک غیرمنتظره یا فعالیت اسکن مشکوک را از مشتری یا سرویس ببینند. یکی از تکنیک‌های شناسایی حملات روز صفر، جستجوی ویژگی‌های بدافزار روز صفر بر اساس نحوه تعامل آن با سیستم هدف است. این تکنیک به‌جای بررسی کد فایل‌های دریافتی، تعاملات آن‌ها را با نرم‌افزارهای موجود بررسی می‌کند و سعی می‌کند تا مشخص کند که آیا آنها نتیجه اقدامات مخرب هستند یا خیر. علاوه بر این، یادگیری ماشین برای ایجاد یک خط پایه برای رفتار سیستم بر اساس داده‌های تعاملات گذشته و فعلی با برنامه استفاده می‌شود. هر چه داده های موجود بیشتر باشد، تشخیص قابل اعتمادتر است.

چگونه از رایانه ها و داده های حیاتی در برابر حملات روز صفر محافظت کنیم؟

برای محافظت در برابر حملات روز صفر و حفظ امنیت رایانه و داده‌های ارزشمند، ضروری است که افراد و سازمان‌ها از شیوه‌های امنیتی سایبری تأیید شده پیروی کنند. چندین استراتژی وجود دارد که می تواند به محافظت از کسب و کار شما در برابر حملات روز صفر کمک کند:

· همه نرم افزارها و سیستم عامل ها را به روز نگه دارید

این امر ضروری است زیرا وصله‌های امنیتی در نسخه‌های جدید اضافه می‌شوند تا آسیب‌پذیری‌های تازه شناسایی شده را پوشش دهند. بنابراین، انتشار وصله‌ها برای توسعه‌دهندگان کافی نیست و کاربران باید با به‌روزرسانی برنامه‌های خود، با اعمال آن وصله‌ها، امنیت خود را تضمین کنند. می توانید به روز رسانی خودکار برنامه را فعال کنید. در این صورت اپلیکیشن شما بدون دخالت دستی به روز می شود.

· تا حد امکان از برنامه های ضروری استفاده کنید

هرچه نرم افزار بیشتری روی سیستم خود داشته باشید، آسیب پذیری های احتمالی بیشتری خواهید داشت. بنابراین، می توانید با نصب برنامه های مورد نیاز خود، ریسک خود را کاهش دهید.

· از فایروال استفاده کنید

یکی از روش های رایج برای جلوگیری از آسیب پذیری های روز صفر استفاده از WAF – Web Application Firewall است.

یک توضیح ساده برای عملکرد این نوع فایروال ها این است که با جلوگیری از آسیب پذیری های رایج در برنامه های تحت وب، امکان نفوذ و خرابکاری برنامه ها را به حداقل می رساند.

نکته مهم در استفاده از WAF ها به روز نگه داشتن قوانین آنهاست. به این معنی که هر روز آسیب پذیری های مختلفی شناسایی و به لیست این فایروال ها اضافه می شود تا بتوانند از آسیب پذیری های مختلف شناخته شده جلوگیری کنند.

برخی از این حملات معروف که با استفاده از WAF تایید و متوقف شده اند را می توان در زیر ذکر کرد:

• جعل درخواست بین سایتی
• اسکریپت بین سایتی (XSS)
• تزریق SQL
• اطلاعیه های OWASP

بسیاری از فایروال های سخت افزاری امروزه دارای قابلیت WAF نیز هستند و می توان از آنها برای امنیت برنامه های وب استفاده کرد.

به عنوان مثال محصولات سری Sophos XG و XGS دارای این ویژگی امنیتی هستند.

· کارکنان سازمان خود را آموزش دهید

بسیاری از حملات روز صفر از خطای کاربر انسانی استفاده می کنند. آموزش عادات امنیتی خوب به کارمندان و کاربران به حفظ امنیت آنلاین آنها کمک می کند و از سازمان ها در برابر سوء استفاده های روز صفر و سایر تهدیدات شخص ثالث محافظت می کند.

· از نرم افزارهای ضد ویروس استفاده کنید

آنتی ویروس ها با مسدود کردن تهدیدات به محافظت از دستگاه های شما کمک می کنند.

· فایروال بخر

همانطور که در بالا ذکر شد، یکی از راه های جلوگیری از حملات روز صفر، فایروال سخت افزاری است. برای مثال فایروال Sophos یکی از قوی ترین و قابل اعتمادترین فایروال های سخت افزاری موجود در بازار است. وب سایت سوفوس یکی از نمایندگی های معتبر برای خرید فایروال سخت افزاری است.