حمله روز صفر (Zero-Day Attack) چيست؟

1401/08/11
ارسال شده توسط
مقالات
582 بازدید
حمله روز صفر (Zero-Day Attack)

معنی و تعریف حمله روز صفر (Zero-Day Attack) چيست؟ «روز صفر» یا اصطلاح گسترده‌ای است که آسیب پذیری های امنیتی اخیرا کشف شده را گزارش می‌دهد که هکرها می‌توانند از آن‌ها برای حمله به سیستم‌ها استفاده کنند. اصطلاح «روز صفر» (Zero-Day Attack) به این واقعیت اشاره دارد که کمپانی فروشنده یا توسعه‌دهنده، به تازگی از این نقص مطلع شده است. به این معنی که آن‌ها «صفر روز» پیش از ورژن اصلی منتشر شده و فرصت بسیار اندکی برای رفع آن دارند. یک حمله روز صفر زمانی اتفاق می‌افتد که هکرها قبل از اینکه توسعه‌دهندگان فرصتی برای رفع آن پیدا کنند، از این نقص سوء استفاده می‌کنند.

روز صفر گاهی اوقات به صورت 0- روز-  نوشته می‌شود. کلمات «آسیب‌پذیری» ، «بهره‌برداری» و «حمله و اتک» معمولاً در کنار روز صفر استفاده می‌شوند و درک تفاوت‌های آن‌ها مفید است:

  • آسیب‌پذیری روز صفر یک آسیب‌پذیری نرم‌افزاری است که قبل از اینکه عرضه کننده از آن آگاه شود، توسط مهاجمان کشف می‌شود. از آنجایی که هنوز عرضه‌کنندگان از این امر آگاه نیستند، هیچ وصله‌ای (پَچ) برای حُفره آسیب‌پذیری‌ روز صفر وجود ندارد، که احتمال موفقیت حملات را افزایش می‌دهد.
  • یک سوء استفاده روز صفر، روشی است که هکرها برای حمله به سیستم‌هایی با آسیب‌پذیری ناشناخته قبلی استفاده می‌کنند.
  • حمله روز صفر استفاده از یک اکسپلویت برای آسیب رساندن یا سرقت داده‌ها از یک سیستم، تحت تأثیر یک آسیب پذیری است.

حملات روز صفر چگونه کار می‌کنند؟

هر نرم‌افزار اغلب دارای آسیب پذیری های امنیتی است که هکرها می‌توانند از آن‌ها برای خرابکاری سوء استفاده کنند. توسعه‌دهندگان نرم‌افزار همیشه به‌دنبال آسیب‌پذیری‌هایی هستند که آنها را «پچ» کنند(پچ در اینجا به معنای وصله یا درزگیری) یعنی راه‌حلی را توسعه دهند که در یک به‌روزرسانی جدید منتشر کنند.

با این حال، گاهی اوقات هکرها یا عوامل مخرب این آسیب پذیری را قبل از توسعه دهندگان نرم افزار تشخیص می‌دهند. در حالی که این آسیب‌پذیری هنوز باز است، مهاجمان می‌توانند کدی را برای استفاده از آن نوشته و پیاده‌سازی کنند. این کد به عنوان کد اکسپلویت شناخته می‌شود.

کد اکسپلویت گاهی ممکن است منجر به قربانی شدن کاربران نرم افزار شود. به عنوان مثال، از طریق سرقت هویت یا سایر اشکال جرایم سایبری. هنگامی که مهاجمان آسیب‌پذیری روز صفر را شناسایی می‌کنند، به راهی برای دسترسی به سیستم آسیب‌پذیر نیاز دارند. آن‌ها اغلب این کار را از طریق یک ایمیل مهندسی شده اجتماعی انجام می‌دهند، به‌عنوان مثال، یک ایمیل یا پیام ارسالی که ظاهراً از یک خبرنگار شناخته شده یا قانونی است اما در واقع از طرف یک مهاجم است. این پیام سعی می‌کند کاربر را متقاعد کند که اقدامی مانند باز کردن یک فایل یا بازدید از یک وب‌سایت مخرب را انجام دهد. با انجام این کار بدافزار مهاجم دانلود می‌شود که به فایل‌های کاربر نفوذ کرده و داده‌های محرمانه را می دزدد.

هنگامی که یک آسیب پذیری شناخته می‌شود، توسعه دهندگان سعی می‌کنند آن را اصلاح کنند تا حمله را متوقف کنند. با این حال، آسیب پذیری‌های امنیتی اغلب بلافاصله کشف نمی‌شوند. گاهی اوقات ممکن است روزها، هفته‌ها یا حتی ماه‌ها طول بکشد تا توسعه‌دهندگان آسیب پذیری را که منجر به حمله شده است شناسایی کنند. و حتی زمانی که یک Patch روز صفر منتشر می‌شود، همه کاربران به سرعت آن را پیاده سازی نمی‌کنند. در سال‌های اخیر، هکرها بلافاصله پس از کشف، در بهره‌برداری از آسیب‌پذیری‌ها سریع‌تر عمل کرده‌اند.

اکسپلویت ها را می‌توان در دارک وب، با مبالغ هنگفتی فروخت. هنگامی که یک اکسپلویت کشف و اصلاح شد، دیگر به عنوان تهدید روز صفر شناخته نمی‌شود.

حملات روز صفر به ویژه زمانی خطرناک هستند که افرادی که در مورد آن‌ها می‌دانند «خود مهاجمان» هستند. هنگامی که مجرمان به یک شبکه نفوذ کردند، می‌توانند بلافاصله به آن حمله کنند یا بنشینند و منتظر سودمندترین زمان برای انجام این کار باشند.

چه کسانی حملات روز صفر را انجام می دهند؟

عوامل مخربی که حملات روز صفر را انجام می‌دهند، بسته به انگیزه آن‌ها در دسته‌های مختلفی قرار می‌گیرند. مثلا:

  • مجرمان سایبری: هکرهایی که انگیزه آن‌ها معمولاً سود مالی است
  • هکتیویست ها: هکرهایی با انگیزه سیاسی یا اجتماعی، می‌خواهند حملات قابل مشاهده باشد تا توجه را به هدف خود جلب کنند.
  • جاسوسی شرکتی: هکرهایی که از شرکت‌ها جاسوسی می‌کنند تا اطلاعاتی در مورد آن‌ها به دست آورند
  • جنگ سایبری: کشورها یا بازیگران سیاسی در حال جاسوسی یا حمله به زیرساخت‌های سایبری یک کشور دیگر

اهداف سوء استفاده های O-day چه کسانی هستند؟

یک هک روز صفر می‌تواند از آسیب‌پذیری‌ها در سیستم‌های مختلف، از جمله:

  • سیستم‌عامل های مختلف
  • مرورگرهای وب
  • برنامه‌های کاربردی آفیس
  • اجزای منبع باز
  • سخت‌افزار و نرم افزار ثابت
  • اینترنت اشیا (IoT)

در نتیجه، طیف وسیعی از قربانیان احتمالی وجود دارد:

  • افرادی که از یک سیستم آسیب‌پذیر مانند مرورگر یا سیستم عامل استفاده می‌کنند، هکرها می‌توانند از آسیب پذیری‌های امنیتی برای به خطر انداختن دستگاه ها و زیرساخت بات نت‌های بزرگ استفاده کنند.
  • افرادی که به داده‌های تجاری ارزشمند مانند مالکیت معنوی دسترسی دارند
  • دستگاه‌های سخت‌افزاری، سیستم عامل و اینترنت اشیا
  • شرکت‌ها و سازمان‌های بزرگ
  • سازمان‌های دولتی
  • اهداف سیاسی و/یا تهدیدات امنیت ملی

دلیل اهمیت فکر کردن به حملات هدفمند در مقابل حملات غیرهدف روز صفر:

  • حملات هدفمند روز صفر علیه اهداف بالقوه ارزشمند، مانند سازمان‌های بزرگ، سازمان‌های دولتی یا افراد با مشخصات بالا، انجام می‌شوند.
  • حملات غیر هدفمند روز صفر معمولاً علیه کاربران سیستم‌های آسیب‌پذیر مانند سیستم عامل یا مرورگر انجام می‌شود.

حتی زمانی که مهاجمان افراد خاصی را هدف قرار نمی‌دهند، تعداد زیادی از افراد همچنان می‌توانند تحت تأثیر حملات روز صفر قرار بگیرند، معمولاً به عنوان آسیب جانبی. هدف «حملات غیرهدف» جذب هر چه بیشتر کاربران است، به این معنی که داده‌های کاربر عادی ممکن است تحت تأثیر قرار گیرد.

نحوه شناسایی حمله روز صفر (Zero-Day Attack)

از آنجایی که آسیب‌پذیری‌های روز صفر می‌توانند شکل‌های مختلفی داشته باشند، مانند رمزگذاری داده‌های از دست رفته، مجوزهای از دست رفته، الگوریتم‌های خراب، اشکال‌ها، مشکلات امنیتی رمز عبور و غیره. شناسایی آن‌ها می‌تواند چالش برانگیز باشد. با توجه به ماهیت این نوع آسیب‌پذیری‌ها، اطلاعات دقیق درباره اکسپلویت‌های روز صفر تنها پس از شناسایی خود اکسپلویت در دسترس است.

نحوه شناسایی حملات روز صفر

سازمان‌هایی که از سوی یک حمله روز صفر آسیب می‌بینند، ممکن است ترافیک غیرمنتظره یا فعالیت اسکن مشکوک ناشی از یک مشتری یا سرویس را مشاهده کنند. برخی از تکنیک‌های تشخیص روز صفر عبارتند از:

  • استفاده از پایگاه داده‌های موجود بدافزار و نحوه رفتار آن‌ها به عنوان مرجع. اگرچه این پایگاه‌های داده خیلی سریع به روز می‌شوند و می‌توانند به عنوان یک نقطه مرجع مفید باشند، طبق تعریف، بهره‌برداری‌های روز صفر جدید و ناشناخته هستند. بنابراین محدودیتی برای اینکه یک پایگاه داده موجود چقدر می‌تواند به شما اطلاعات دهد وجود دارد.
  • روش دیگر، برخی از تکنیک‌ها به دنبال ویژگی‌های بدافزار روز صفر بر اساس نحوه تعامل آن‌ها با سیستم هدف هستند. این تکنیک به‌جای بررسی کد فایل‌های دریافتی، به تعاملات آن‌ها با نرم‌افزارهای موجود نگاه می‌کند و سعی می‌کند تعیین کند که آیا آن‌ها ناشی از اقدامات مخرب هستند یا خیر.
  • به طور فزاینده‌ای، یادگیری ماشین برای شناسایی داده‌های اکسپلویت‌های ثبت‌شده قبلی برای ایجاد یک خط پایه برای رفتار سیستم ایمن بر اساس داده‌های تعاملات گذشته و فعلی با سیستم استفاده می‌شود. هرچه داده‌های بیشتری در دسترس باشد، تشخیص قابل اعتمادتر می‌شود.

 

مثال‌هایی از حمله روز صفر (Zero-Day Attack):

برخی از نمونه‌های اخیر حمله روز صفر (Zero-Day Attack)  عبارتند از:

2021: آسیب‌پذیری روز صفر کروم

در سال 2021، کروم گوگل با یک سری تهدیدات روز صفر مواجه شد که باعث شد به‌روزرسانی‌هایی را منتشر کند. این آسیب‌پذیری ناشی از یک اشکال در موتور جاوا اسکریپت V8 مورد استفاده در مرورگر وب است.

2020: زوم

یک آسیب‌پذیری در پلتفرم ویدیو کنفرانس محبوب Zoom پیدا شد. این مثال حمله روز صفر شامل دسترسی هکرها به رایانه شخصی کاربر از راه دور در صورتی که نسخه قدیمی ویندوز را اجرا می‌کرد، بود. اگر هدف یک مدیر بود، هکر می‌توانست به طور کامل دستگاه او را تصاحب کند و به تمام فایل‌های شرکت آنها دسترسی داشته باشد.

2020: اپل iOS

iOS اپل اغلب به عنوان امن‌ترین پلتفرم گوشی‌های هوشمند شناخته می‌شود. با این حال، در سال 2020، حداقل قربانی دو مجموعه از آسیب‌پذیری‌های روز صفر iOS شد، از جمله یک باگ روز صفر که به مهاجمان اجازه می‌داد آیفون‌ها را از راه دور به خطر بیاندازند.

2019: مایکروسافت ویندوز، اروپای شرقی

این حمله آسیب‌پذیری مایکروسافت ویندوز نهادهای دولتی در اروپای شرقی را هدف قرار داد. بهره‌برداری روز صفر از یک آسیب‌پذیری امتیاز محلی در مایکروسافت ویندوز برای اجرای کد دلخواه و نصب برنامه‌ها و مشاهده و تغییر داده‌های برنامه‌های در معرض خطر سوء استفاده کرد. هنگامی که حمله شناسایی شد و به مرکز پاسخ امنیتی مایکروسافت گزارش شد، یک وصله ایجاد و منتشر شد.

2017: مایکروسافت ورد

این سوء استفاده روز صفر، حساب های بانکی اشخاص را به خطر انداخت. قربانیان افرادی بودند که ناخواسته یک سند مخرب Word را باز کردند. این سند یک اعلان «بارگیری محتوای از راه دور» را نشان می‌داد که برای کاربران یک پنجره پاپ‌آپ ظاهر می‌کرد که درخواست دسترسی خارجی از یک برنامه دیگر را دارد. هنگامی که قربانیان روی «بله» کلیک کردند، سند بدافزاری را روی دستگاه آن‌ها نصب کرد که می‌توانست اطلاعات لاگین به سیستم بانکی را ضبط کند.

استاکس نت

یکی از معروف‌ترین نمونه‌های حمله روز صفر استاکس نت بود. این کرم مخرب کامپیوتری، برای اولین بار در سال 2010 کشف شد، اما ریشه های آن به سال 2005 باز می‌گردد، بر روی کامپیوترهای تولیدی که PLC (نرم افزار کنترل کننده منطق قابل برنامه ریزی) را اجرا می‌کنند، تأثیر گذاشت. هدف اولیه، تاسیسات غنی‌سازی اورانیوم ایران برای ایجاد اختلال در برنامه هسته‌ای کشور بود. این کِرم PLC ها را از طریق آسیب پذیری‌های نرم افزار زیمنس Step7 آلوده کرد و باعث شد PLC ها دستورات غیرمنتظره‌ای را روی ماشین آلات خط مونتاژ انجام دهند. داستان استاکس نت متعاقباً به مستندی به نام روزهای صفر تبدیل شد.

چگونه در برابر حمله روز صفر (Zero-Day Attack)  از خود محافظت کنیم؟

برای محافظت در روز صفر و ایمن نگه داشتن رایانه و داده‌های خودتان، رعایت بهترین شیوه‌های امنیت سایبری برای افراد و سازمان‌ها ضروری است. این شیوه ها عبارتند از:

  • حملات روز صفر چگونه کار می‌کنند؟
  • همه نرم افزارها و سیستم عامل ها را به روز نگه دارید. این به این دلیل است که فروشندگان پَچ‌های امنیتی را برای پوشش آسیب‌پذیری‌های تازه شناسایی‌شده در نسخه‌های جدید اضافه می‌کنند. به روز نگه داشتن، امنیت شما را تضمین می‌کند.
  • فقط از برنامه های ضروری استفاده کنید. هر چه نرم افزار بیشتری داشته باشید، آسیب‌پذیری های احتمالی بیشتری خواهید داشت. فقط با استفاده از برنامه‌هایی که به آن‌ها نیاز دارید می‌توانید خطر شبکه خود را کاهش دهید.
  • از فایروال استفاده کنید. فایروال نقش اساسی در محافظت از سیستم شما در برابر تهدیدات روز صفر ایفا می‌کند. شما می‌توانید با پیکربندی آن به گونه‌ای که فقط تراکنش‌های ضروری را مجاز کند، از حداکثر حفاظت اطمینان حاصل کنید.
  • در سازمان‌ها، به کاربران آموزش دهید. بسیاری ازحمله روز صفر (Zero-Day Attack)  بر روی خطای انسانی سرمایه‌گذاری می‌کنند. آموزش عادات ایمنی خوب به کارمندان و کاربران به حفظ امنیت آنلاین آن‌ها کمک می‌کند و از سازمان‌ها، خصوصاً پورتال سازمانی در برابر سوء استفاده‌های روز صفر و سایر تهدیدات دیجیتال محافظت می‌کند.
  • از یک راه حل جامع نرم افزار آنتی ویروس استفاده کنید. به عنوان مثال Kaspersky Total Security با مسدود کردن تهدیدات شناخته شده و ناشناخته به ایمن نگه داشتن دستگاه‌های شما کمک می‌کند.

اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید