حمله روز صفر (Zero day attack) چیست؟! (حملات روز صفر)

1399/10/21
هادی اکبرزاده
دانشنامه متفرقه
حمله روز صفر (Zero day attack) چیست؟! (حملات روز صفر)

حمله‌ی صفر روزه یا حمله‌ی روز صفر (Zero-day attack)، یک حمله یا تهدید رایانه‌ای است؛ که از یک آسیب‌پذیری در یک نرم‌افزار کاربردی که تا پیش از آن ناشناخته بوده‌است، بهره‌جویی می‌کند. این بدان معناست که توسعه‌دهندگان، برای رفع آسیب‌پذیری، صفر روز فرصت داشته‌اند. پیش از آنکه توسعه‌دهنده‌ی نرم‌افزار هدف، از آسیب‌پذیری آگاهی یابد، اکسپلویت صفر روزه (نرم‌افزاری که از یک حفره‌ی امنیتی برای اعمال یک حمله استفاده می‌کند)، توسط حمله‌کنندگان استفاده یا به اشتراک گذاشته می‌شود. این حملات صفر روزه، به گونه‌ای هستند که برای فروشندگان نرم افزارها و سخت افزارها یا آنتی ویروس‌ها، ناشناخته می‌باشند. هکرها از این آسیب پذیری‌ها، برای نفوذ به سیستم‌ها استفاده می‌کنند؛ که احتمال موفق بودن نفوذ آن‌ها نیز زیاد است. چراکه هنوز این نوع آسیب پذیری‌ها شناخته شده نیستند؛ تا راه مقابله با آن نیز ایجاد شود.

خلاصه
به‌طور خلاصه، آسیب‌پذیری‌ای که در یک نرم افزار هدف کشف شده و هنوز توسعه‌دهندگان آن نرم افزار از آن بی‌اطلاع هستند؛ سپس از طریق این آسیب‌پذیری، به آن نرم افزار هدف حمله‌ای رخ می‌دهد. به این نوع حملات، حملات صفر روزه گفته می‌شود. بنابراین، حملات روز صفر یا Zero Day، در واقع روشى از حمله یا نفوذ از طریق یکى از حفره‌هاى موجود در نرم‌افزارها یا برنامه‌هاى کاربردى مى‌باشد؛ که از دید طراحان و توسعه‌دهندگان آن مخفى مانده است. مهاجمان بدون اعلام به شرکت سازنده نرم‌افزار و پیش از شناسایى این آسیب‌پذیرى و مشکل امنیتى توسط برنامه‌نویسان، آن را کشف کرده و براى حمله و یا نفوذ به سیستم‌هاى کاربران، از آن استفاده مى‌کنند. به همین دلیل است که به این نوع حملات، روز صفر گفته مى‌شود.
پنجره آسیب‌پذیری

حملات صفر روزه، در دوره‌ی پنجره آسیب‌پذیری و طی دو زمان رخ می‌دهد. اول زمانی که یک آسیب‌پذیری برای اولین بار برای بهره‌برداری مورد استفاده قرار می‌گیرد؛ و دوم زمانی که توسعه‌دهندگان نرم‌افزار، شروع به توسعه و انتشار برای مقابله با این تهدید می‌کنند. برای کرم‌ها، ویروس‌ها، تروجان‌ها و دیگر حملات روز صفر، پنجره آسیب‌پذیری شامل:

  • توسعه دهندگان، نرم‌افزاری تولید می‌کنند که دارای آسیب‌پذیری ناشناخته است.
  • مهاجمان قبل از اینکه توسعه‌دهندگان عملی انجام دهند، نقاط آسیب‌پذیر را کشف می‌کنند.
  • مهاجم، اکسپلویت‌هایی را می‌نویسد که یا برای توسعه‌دهندگان شناخته شده نیست؛ و یا شناخته شده‌است؛ اما این نقاط آسیب‌پذیری هنوز به‌طور کامل بسته نشده‌اند.
  • توسعه دهنده یا عموم مردم، از آسیب‌پذیری آگاه می‌شود؛ و برنامه نویس مجبور است برای از بین بردن این آسیب‌پذیری، شروع به کار کند.
  • توسعه برای بهبود آسیب‌پذیری آزاد است.

از نظر مفهومی، وقتی یک رخداد توسط حمله صفر روزه اتفاق می‌افتد، کاربرانی که بهبود لازم را برای پوشش نقاط آسیب‌پذیر اعمال می‌کنند و به صورت مؤثر پنجره آسیب را پوشش می‌دهند متفاوت است از کاربرانی که با استفاده از نرم‌افزارهای متاثر به راحتی نقاط آسیب‌پذیر را پوشش می‌دهند. در همین حال، برخی از کاربران شاید از نقاط اسیب‌پذیری مطلع نبوده و این نقاط همچنان بدون پوشش باقی بمانند. بنابراین، طول پنجره‌های آسیب‌پذیری فقط به اندازه‌گیری در شرایطی که توسعه‌دهنده در پوشش نقاط آسیب‌پذیری آزاد است، وابسته است. اندازه‌گیری طول پنجره آسیب‌پذیری می‌تواند مشکل باشد، زیرا مهاجمان وقتی یک نقطه آسیب‌پذیری کشف می‌کنند، آن را اعلام نمی‌کنند. توسعه دهندگان به دلایلی مانند تجاری یا امنیتی، نمی‌خواهند این اطلاعات توزیع شود. توسعه دهندگان شاید مطلع نباشند که هم‌زمان با تعمیر آسیب‌پذیری، شاید مورد حمله صفر روزه قرار بگیرند. و شاید یک نقطه آسیب‌پذیری، به عنوان یک آسیب‌پذیری حمله صفر روزه ثبت نشده باشد.

اهداف استفاده از حمله روز صفر

  • نفوذ به سازمان‌های دولتی
  • نفوذ به شرکت‌های بزرگ
  • حملات سازمان یافته توسط دولت‌ها
  • استفاده از آسیب پذیری سیستم‌های خانگی برای ایجاد بات‌نت‌ها
  • نفوذ به دستگاه‌های IoT
  • و …

از آن‌جایی که آسیب‌پذیری‌های روز صفر، برای شرکت‌های امنیتی و دولت‌ها ارزشمند هستند، بازارهایی هم برای معامله‌ی این آسیب پذیری‌ها به‌وجود آمده است؛ که معمولا به بازارهای سیاه معروف بوده و در بخش دارک وب اینترنت فعالیت می‌کنند. برخی از سازمان‌ها، این آسیب‌پذیری‌ها را از محققانی که آن‌ها را کشف می‌کنند، تا صدها هزار دلار می‌خرند.

نمونه‌هایی از حملات روز صفرم

استاکس نت (Stuxnet):
یک کرم کامپیوتری سازمان یافته و مخربی که نیروگاه‌ها، پالایشگاه‌ها و… را مورد هدف قرار می‌دهد. این کرم کامپیوتری، با هدف حمله به تاسیسات هسته‌ای کشور عزیمان ایران طراحی شده بود. در این کرم، از آسیب‌پذیری‌های روز صفر موجود در نرم افزارهای مبتنی بر کامپیوترهای صنعتی (PLC ها) استفاده شده است. این کرم، کارکرد PLC ها را از طریق آسیب پذیری موجود در نرم افزار Siemens Step7 مورد هدف قرار میداد و باعث میشد تا دستورات غیرمنتظره‌ای در ماشین آلات صنعتی اجرا شود.

حمله روز صفر به سونی (Sony zero-day attack):
یک حمله مخرب برای شرکت سونی بود که در سال 2014 رخ داد؛ و باعث تخریب کامل شبکه سونی شد. هکرها از طریق این حمله، اطلاعات حساس شرکت سونی، شامل جزئیات فیلم‌ها، برنامه‌های تجاری و ایمیل‌های شخصی مدیران ارشد و… را به سرقت برده و در سطح اینترنت منتشر کردند. جزئیات دقیق آسیب‌پذیری که در حمله به شرکت سونی مورد استفاده قرار گرفت، هنوز معلوم نیست.

RSA:
در سال 2011، هکرها از آسیب‌پذیری موجود در Adobe Flash Player برای دسترسی گرفتن به شبکه شرکت امنیتی RSA استفاده کردند. مهاجمان، ایمیل‌هایی را با پیوست‌های صفحه‌گسترده برای کارکنان RSA فرستادند. صفحه‌گسترده، حاوی یک فایل فلش جاسازی شده بود؛ که از آسیب‌پذیری روز صفر موجود در فلش پلیر بهره‌برداری می‌کرد. هنگامی که یکی از کارکنان، صفحات گسترده را باز کرده بود، از طریق ابزار کنترل از راه دور Poison Ivy، مورد حمله قرار گرفته بود. پس از دسترسی به شبکه، مهاجمان اطلاعات حساسی را از شرکت کپی کرده و به سرورهای خارجی منتقل کردند.

عملیات آئورورا (Operation Aurora):
در سال 2009، از طریق یکی از آسیب‌پذیری‌های روز صفر، مالکیت معنوی چندین شرکت بزرگ، از جمله Google، Adobe Systems، Yahoo، و Dow Chemical مورد هدف قرار گرفت. این حمله، از طریق آسیب‌پذیری‌های موجود در برنامه‌های Internet Explorer و Perforce صورت گرفت.

حمله ی روز-صفر در سیستم عامل ویندوز:
در تاریخ 3 ژوئن 2016، کشف یک اکسپلویت روز- صفر که تمام نسخه‌های ویندوز از ویندوز 2000 تا ویندوز 10 را آلوده کرده‌است، گزارش شد. محققین تیم SpiderLabs از شرکت Trustwave ( تیمی از هکرهای کلاه سفید، بازرسان امنیتی و محققان که به موسسات درمقابله با جرایم سایبری، حفاظت از اطلاعات و کاهش مخاطرات کمک می‌کنند)، به تازگی پرده از وجود اکسپلویتی برداشته‌اند، که دریکی از انجمن‌های زیر-زمینی روسی که در زمینه بدافزارها فعالیت می‌کند، ارائه شده‌است. اکسپلویتی که تمامی نسخه‌های ویندوز از ویندوز 2000 تا ویندوز 10 را آلوده کرده‌است.
کاربری با نام “BuggiCorp” که این اکسپلویت را در اختیار دارد، به دنبال فروش آن با قیمتی بیش از 90,000 دلار است. طبق ادعای این کاربر، این آسیب‌پذیری در win32k.sys در هستهٔ کرنل ویندوز قرار داشته و به‌همان شکل که ویندوز، اشیائی بامشخصات خاص را هندل می‌کند، عمل می‌کند.
کاربر مذکور توضیحات خود را این‌گونه ادامه می‌دهد:

“گفته شده‌است این آسیب‌پذیری یک اشکال در افزایش محلی سطح دسترسی در ویندوز است؛ که برای اجرای کدهای مخرب روی یک سیستم، به دسترسی ادمین نیاز دارد؛ و به خودی‌خود نمی‌تواند باعث هک شدن یک سیستم شود؛ اما به‌هرحال، تقریباً در هر سناریویی کاربرد خواهد داشت؛ و یک تکه‌ی مهم از پازل پروسه‌ی کلی آلوده‌سازی خواهد بود.”

به گفتهٔ Trustwave، این اکسپلویت قابلیت نصب روت‌کیت (Root Kit) را دارد؛ که می‌تواند بر روی یک سیستم POS، برای سرقت اطلاعات کارت‌های بانکی استفاده شده و کنترل محدودی بر روی وب‌سرورها خواهد داشت؛ و می‌تواند برای نصب بدافزار استفاده شود.

به هر ترتیب Trustware به شرکت Microsoft از وجود این اکسپلویت هشدار داده است.

تشخیص آسیب پذیری های روز صفرم

حمله روز صفر (Zero day attack) چیست؟! (حملات روز صفر)

  • اسکن آسیب پذیری‌ها
    با اسکن آسیب‌پذیری‌ها، می‌توان برخی از آسیب‌پذیری‌های روز صفر را شناسایی کرد. زیرا برخی ابزارهایی که برای اسکن استفاده می‌شوند، می‌توانند سورس‌کد برنامه‌ها را هم اسکن کنند؛ و این منجر به شناسایی آسیب‌پذیری‌های جدید می‌شود.
  • مدیریت وصله‌های امنیتی
    استراتژی دیگر، این است که به‌محض کشف‌شدن آسیب‌پذیری‌های جدید، وصله‌های امنیتی آن را نیز نصب کنیم. هر چند باعث جلوگیری از حمله نمی‌شود؛ اما منجر به کاهش ضررهای آن می‌شود.
  • اعتبارنجی ورودی‌ها و خروجی‌ها
    شاید موثرترین راه برای جلوگیری از حملات روز صفر، استفاده از فایروال برنامه‌های تحت وب (WAF)، بر روی لبه شبکه است. WAF، ترافیک‌های ورودی را بررسی کرده و از ورودی‌های مخرب جلوگیری می‌کند.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

cp-codfk

نظرات ثبت شده بدون دیدگاه

توضیحات پیشنهادی نظرات اشتراک