حملهی صفر روزه یا حملهی روز صفر (Zero-day attack)، یک حمله یا تهدید رایانهای است؛ که از یک آسیبپذیری در یک نرمافزار کاربردی که تا پیش از آن ناشناخته بودهاست، بهرهجویی میکند. این بدان معناست که توسعهدهندگان، برای رفع آسیبپذیری، صفر روز فرصت داشتهاند. پیش از آنکه توسعهدهندهی نرمافزار هدف، از آسیبپذیری آگاهی یابد، اکسپلویت صفر روزه (نرمافزاری که از یک حفرهی امنیتی برای اعمال یک حمله استفاده میکند)، توسط حملهکنندگان استفاده یا به اشتراک گذاشته میشود. این حملات صفر روزه، به گونهای هستند که برای فروشندگان نرم افزارها و سخت افزارها یا آنتی ویروسها، ناشناخته میباشند. هکرها از این آسیب پذیریها، برای نفوذ به سیستمها استفاده میکنند؛ که احتمال موفق بودن نفوذ آنها نیز زیاد است. چراکه هنوز این نوع آسیب پذیریها شناخته شده نیستند؛ تا راه مقابله با آن نیز ایجاد شود.
حملات صفر روزه، در دورهی پنجره آسیبپذیری و طی دو زمان رخ میدهد. اول زمانی که یک آسیبپذیری برای اولین بار برای بهرهبرداری مورد استفاده قرار میگیرد؛ و دوم زمانی که توسعهدهندگان نرمافزار، شروع به توسعه و انتشار برای مقابله با این تهدید میکنند. برای کرمها، ویروسها، تروجانها و دیگر حملات روز صفر، پنجره آسیبپذیری شامل:
- توسعه دهندگان، نرمافزاری تولید میکنند که دارای آسیبپذیری ناشناخته است.
- مهاجمان قبل از اینکه توسعهدهندگان عملی انجام دهند، نقاط آسیبپذیر را کشف میکنند.
- مهاجم، اکسپلویتهایی را مینویسد که یا برای توسعهدهندگان شناخته شده نیست؛ و یا شناخته شدهاست؛ اما این نقاط آسیبپذیری هنوز بهطور کامل بسته نشدهاند.
- توسعه دهنده یا عموم مردم، از آسیبپذیری آگاه میشود؛ و برنامه نویس مجبور است برای از بین بردن این آسیبپذیری، شروع به کار کند.
- توسعه برای بهبود آسیبپذیری آزاد است.
از نظر مفهومی، وقتی یک رخداد توسط حمله صفر روزه اتفاق میافتد، کاربرانی که بهبود لازم را برای پوشش نقاط آسیبپذیر اعمال میکنند و به صورت مؤثر پنجره آسیب را پوشش میدهند متفاوت است از کاربرانی که با استفاده از نرمافزارهای متاثر به راحتی نقاط آسیبپذیر را پوشش میدهند. در همین حال، برخی از کاربران شاید از نقاط اسیبپذیری مطلع نبوده و این نقاط همچنان بدون پوشش باقی بمانند. بنابراین، طول پنجرههای آسیبپذیری فقط به اندازهگیری در شرایطی که توسعهدهنده در پوشش نقاط آسیبپذیری آزاد است، وابسته است. اندازهگیری طول پنجره آسیبپذیری میتواند مشکل باشد، زیرا مهاجمان وقتی یک نقطه آسیبپذیری کشف میکنند، آن را اعلام نمیکنند. توسعه دهندگان به دلایلی مانند تجاری یا امنیتی، نمیخواهند این اطلاعات توزیع شود. توسعه دهندگان شاید مطلع نباشند که همزمان با تعمیر آسیبپذیری، شاید مورد حمله صفر روزه قرار بگیرند. و شاید یک نقطه آسیبپذیری، به عنوان یک آسیبپذیری حمله صفر روزه ثبت نشده باشد.
اهداف استفاده از حمله روز صفر
- نفوذ به سازمانهای دولتی
- نفوذ به شرکتهای بزرگ
- حملات سازمان یافته توسط دولتها
- استفاده از آسیب پذیری سیستمهای خانگی برای ایجاد باتنتها
- نفوذ به دستگاههای IoT
- و …
از آنجایی که آسیبپذیریهای روز صفر، برای شرکتهای امنیتی و دولتها ارزشمند هستند، بازارهایی هم برای معاملهی این آسیب پذیریها بهوجود آمده است؛ که معمولا به بازارهای سیاه معروف بوده و در بخش دارک وب اینترنت فعالیت میکنند. برخی از سازمانها، این آسیبپذیریها را از محققانی که آنها را کشف میکنند، تا صدها هزار دلار میخرند.
نمونههایی از حملات روز صفرم
استاکس نت (Stuxnet):
یک کرم کامپیوتری سازمان یافته و مخربی که نیروگاهها، پالایشگاهها و… را مورد هدف قرار میدهد. این کرم کامپیوتری، با هدف حمله به تاسیسات هستهای کشور عزیمان ایران طراحی شده بود. در این کرم، از آسیبپذیریهای روز صفر موجود در نرم افزارهای مبتنی بر کامپیوترهای صنعتی (PLC ها) استفاده شده است. این کرم، کارکرد PLC ها را از طریق آسیب پذیری موجود در نرم افزار Siemens Step7 مورد هدف قرار میداد و باعث میشد تا دستورات غیرمنتظرهای در ماشین آلات صنعتی اجرا شود.
حمله روز صفر به سونی (Sony zero-day attack):
یک حمله مخرب برای شرکت سونی بود که در سال 2014 رخ داد؛ و باعث تخریب کامل شبکه سونی شد. هکرها از طریق این حمله، اطلاعات حساس شرکت سونی، شامل جزئیات فیلمها، برنامههای تجاری و ایمیلهای شخصی مدیران ارشد و… را به سرقت برده و در سطح اینترنت منتشر کردند. جزئیات دقیق آسیبپذیری که در حمله به شرکت سونی مورد استفاده قرار گرفت، هنوز معلوم نیست.
RSA:
در سال 2011، هکرها از آسیبپذیری موجود در Adobe Flash Player برای دسترسی گرفتن به شبکه شرکت امنیتی RSA استفاده کردند. مهاجمان، ایمیلهایی را با پیوستهای صفحهگسترده برای کارکنان RSA فرستادند. صفحهگسترده، حاوی یک فایل فلش جاسازی شده بود؛ که از آسیبپذیری روز صفر موجود در فلش پلیر بهرهبرداری میکرد. هنگامی که یکی از کارکنان، صفحات گسترده را باز کرده بود، از طریق ابزار کنترل از راه دور Poison Ivy، مورد حمله قرار گرفته بود. پس از دسترسی به شبکه، مهاجمان اطلاعات حساسی را از شرکت کپی کرده و به سرورهای خارجی منتقل کردند.
عملیات آئورورا (Operation Aurora):
در سال 2009، از طریق یکی از آسیبپذیریهای روز صفر، مالکیت معنوی چندین شرکت بزرگ، از جمله Google، Adobe Systems، Yahoo، و Dow Chemical مورد هدف قرار گرفت. این حمله، از طریق آسیبپذیریهای موجود در برنامههای Internet Explorer و Perforce صورت گرفت.
حمله ی روز-صفر در سیستم عامل ویندوز:
در تاریخ 3 ژوئن 2016، کشف یک اکسپلویت روز- صفر که تمام نسخههای ویندوز از ویندوز 2000 تا ویندوز 10 را آلوده کردهاست، گزارش شد. محققین تیم SpiderLabs از شرکت Trustwave ( تیمی از هکرهای کلاه سفید، بازرسان امنیتی و محققان که به موسسات درمقابله با جرایم سایبری، حفاظت از اطلاعات و کاهش مخاطرات کمک میکنند)، به تازگی پرده از وجود اکسپلویتی برداشتهاند، که دریکی از انجمنهای زیر-زمینی روسی که در زمینه بدافزارها فعالیت میکند، ارائه شدهاست. اکسپلویتی که تمامی نسخههای ویندوز از ویندوز 2000 تا ویندوز 10 را آلوده کردهاست.
کاربری با نام “BuggiCorp” که این اکسپلویت را در اختیار دارد، به دنبال فروش آن با قیمتی بیش از 90,000 دلار است. طبق ادعای این کاربر، این آسیبپذیری در win32k.sys در هستهٔ کرنل ویندوز قرار داشته و بههمان شکل که ویندوز، اشیائی بامشخصات خاص را هندل میکند، عمل میکند.
کاربر مذکور توضیحات خود را اینگونه ادامه میدهد:
“گفته شدهاست این آسیبپذیری یک اشکال در افزایش محلی سطح دسترسی در ویندوز است؛ که برای اجرای کدهای مخرب روی یک سیستم، به دسترسی ادمین نیاز دارد؛ و به خودیخود نمیتواند باعث هک شدن یک سیستم شود؛ اما بههرحال، تقریباً در هر سناریویی کاربرد خواهد داشت؛ و یک تکهی مهم از پازل پروسهی کلی آلودهسازی خواهد بود.”
به گفتهٔ Trustwave، این اکسپلویت قابلیت نصب روتکیت (Root Kit) را دارد؛ که میتواند بر روی یک سیستم POS، برای سرقت اطلاعات کارتهای بانکی استفاده شده و کنترل محدودی بر روی وبسرورها خواهد داشت؛ و میتواند برای نصب بدافزار استفاده شود.
به هر ترتیب Trustware به شرکت Microsoft از وجود این اکسپلویت هشدار داده است.
تشخیص آسیب پذیری های روز صفرم
- اسکن آسیب پذیریها
با اسکن آسیبپذیریها، میتوان برخی از آسیبپذیریهای روز صفر را شناسایی کرد. زیرا برخی ابزارهایی که برای اسکن استفاده میشوند، میتوانند سورسکد برنامهها را هم اسکن کنند؛ و این منجر به شناسایی آسیبپذیریهای جدید میشود. - مدیریت وصلههای امنیتی
استراتژی دیگر، این است که بهمحض کشفشدن آسیبپذیریهای جدید، وصلههای امنیتی آن را نیز نصب کنیم. هر چند باعث جلوگیری از حمله نمیشود؛ اما منجر به کاهش ضررهای آن میشود. - اعتبارنجی ورودیها و خروجیها
شاید موثرترین راه برای جلوگیری از حملات روز صفر، استفاده از فایروال برنامههای تحت وب (WAF)، بر روی لبه شبکه است. WAF، ترافیکهای ورودی را بررسی کرده و از ورودیهای مخرب جلوگیری میکند.
نظرات ثبت شده بدون دیدگاه