رایج ترین وکتورهای حمله

وکتور حمله

در امنیت سایبری، وکتور حمله (بردار حمله) یا attack vector روش یا روش‌هایی برای به دست آوردن دسترسی غیرمجاز به یک شبکه‌ی شخصی است. این روش‌ها می‌توانند غیرعمدی باشند، مثلاً آسیب‌‌پذیری‌های موجود در نرم‌افزارهای شخص ثالث (third party)؛ یا ممکن است به عمد توسط هکرها طراحی شده باشند، مانند نرم افزارهای مخرب یا همان بدافزارها. مجرمان سایبری از وکتور حمله عمدتاً برای پیشبرد تاکتیک‌های اخاذی استفاده می‌کنند که معروف‌ترین آن‌ها ایجاد باج‌افزارهاست.
تمام روش‌های دیجیتالی، به دلیل دسترسی مستقیم یا غیرمستقیم به اطلاعات و دیتای حساس، وکتور حمله‌ی بالقوه هستند. اما تمام وکتورهای حمله در سطوح دیجیتال رخ نمی‌دهند. مثلاً در یک حمله مهندسی اجتماعی، قربانی فریب داده می‌شود تا اطلاعات حساسی را که ممکن است برای تسهیل حمله سایبری مورد استفاده قرار گیرد، به راحتی در اختیار مهاجم قرار دهد. این تبادل اطلاعات می‌تواند از طریق تلفن یا حتی رودررو باشد. حملات سایبری را نمی‌توان متوقف کرد اما با ایجاد روش‌های کنترل امنیتی در تناسب با اهمیت هر بردار حمله، می‌توان یک برنامه امنیت سایبری موفق ایجاد کرد.

تفاوت بین وکتور حمله و سطح حمله 

هر چند که گاهی دو اصطلاح وکتور حمله و سطح حمله (attack surface) به جای هم استفاده می‌شوند، اما هر کدام معنی متفاوتی دارند. وکتور حمله یک مسیر خاص برای دستیابی به منابع خصوصی است و سطح حمله مجموع تمامی وکتورهای حمله‌ی ممکن در یک سطح دیجیتالی است.

۲۲ وکتور حمله‌ی رایج

برای اتخاذ مناسب‌ترین اقدامات دفاعی ممکن برای هر تهدید، بهتر است که ابتدا محرک‌های هر وکتور حمله‌ی بالقوه بررسی شود.

هکرها چهار دسته‌بندی عمده دارند:

  • کارمند‌های سابق یا فعلی ناخشنود: رهگیری چنین مهاجمانی معمولاً راحت نیست؛ زیرا آن‌ها به ابزار احراز هویت داخلی دسترسی دارند و به صورت بالقوه نیز در انتقال منابع حساس دارای نفوذ هستند. کارمندانی که از قبل به شبکه‌ی خصوصی دسترسی دارند، به صورت وکتور حمله بالقوه دسته بندی می‌شوند.
  • رقبا: رقبای تجاری ممکن است یک حمله سایبری را به وب سرور رقیب خود ترتیب دهند تا فعالیت تجاری آنلاین آن‌ها را مختل کنند. (DDoS attacks)
  • مجرمان سایبری: مجرمان سایبری از آسیب پذیری ‌های موجود در سیستم عامل یا نرم‌افزارهای شخص ثالث با هدف اخاذی سوءاستفاده می‌کنند.
  • هکرهای اخلاقی: هکرهای اخلاقی از آسیب‌ پذیری ها برای پیشبرد اهداف سیاسی سوءاستفاده می‌کنند. می‌توان گفت هدف اصلی این حملات مجازات کردن دشمن است و نه سود مالی.

هر کدام از این هکرها می‌توانند از طریق ۲۲ وکتور حمله متداول به قربانیان خود حمله کنند که در زیر شرح داده شده‌اند. قبل از آن باید یاد آوری کنیم که وکتور حمله هرگونه عمل یا آسیب‌پذیری‌ای است که ممکن است دسترسی به یک شبکه خصوصی را تسهیل کند. از آن جایی که چنین تعریفی، طیفی وسیع از وکتورهای حمله‌ی سایبری را در برمی‌گیرد، لیست زیر نیز انواع مختلفی از تهدیدات سایبری را پوشش می‌دهد.

۱. ابزار احراز هویت ضعیف
۲. عدم احراز هویت دو مرحله‌ای
۳. رمز عبور ضعیف
۴. عوامل درونی مخرب
۵. رمزگذاری ضعیف یا رمزگذاری نکردن
۶. پیکربندی اشتباه
۷. باج افزار
۸. حملات فیشینگ
۹. آسیب پذیری های نرم افزار شخص ثالث
۱۰. حملات بروت فورس (Brute Force Attacks)
۱۱. حملات محروم‌سازی از سرویس به صورت توزیع شده (DDoS)
۱۲. تزریق SQL
۱۳. حمله XSS
۱۴. تروجان‌ها
۱۵. پیوست‌های ایمیل‌ها
۱۶. پیام‌های آماده یا فوری
۱۷. پاپ آپ های اینترنتی (Internet Pop-ups)
۱۸. برنامه‌ی موبایل و وب‌سایت‌ها
۱۹. هایجک‌کردن سِشِن یا Session Hijacking
۲۰. آسیب پذیری‌های اصلاح نشده
۲۱. حملات مرد میانی یا Man-in-the-Middle
۲۲. ارائه‌دهندگان خدمات شخص سوم و چهارم

به جامعه متخصصین امنیت سایبری بپیوندید:

چگونه حملات سایبری از طریق وکتورهای حمله رخ می‌دهد؟

برای درک نحوه انجام حملات سایبری با بهره برداری از وکتور حمله، این فرایند باید در چارچوب کل چرخه حمله سایبری مورد توجه قرار گیرد. بیشتر حملات سایبری در 5 مرحله انجام می‌گیرد:

مرحله اول- شناسایی اولیه

مهاجمان سایبری اهداف خود را برای کشف وکتورهای حمله‌ی بالقوه و رفتارهای قابل پیشبینی مورد بررسی قرار می‌دهند. این تحقیق هم شامل سطوح اینترنتی (مانند نرم‌ افزاهای شخص ثالث) و هم شامل کارکنان داخلی برای یافتن لیستی از قربانیان مهندسی اجتماعی احتمالی است.

مرحله دوم- اختلال اولیه

در این مرحله از وکتورهای حمله استفاده می‌شود. این کار می‌تواند از طریق متدهای فعال و غیرفعال رخ دهد.
سوءاستفاده از وکتورهای حمله به روش غیرفعال: این حمله با منابع سیستم تداخلی ایجاد نمی‌کند، بلکه خارج از محیط اکوسیستم انجام می‌شود.
مثال‌هایی از وکتور حمله‌ی غیرفعال شامل موارد زیر است:

  • فیشینگ
  • تکنیک Typosquatting یا حمله جعل URL
  • حملات مهندسی اجتماعی

سوءاستفاده از وکتورهای حمله به روش فعال: این نوع از سوءاستفاده شامل تعامل با سیستم‌های داخلی برای تزریق کدهای مخرب است.
مثال‌هایی از بردار حمله‌ی فعال شامل موارد زیر است:

  • هایجک‌کردن دامنه یا Domain hijacking
  • جعل ایمیل
  • حملات مرد میان
  • حملات باج افزاری
  • آسیب‌پذیری‌های اصلاح نشده

در اغلب مواقع به چندین نوع بردار حمله برای ورود به یک شبکه خصوصی نیاز است. برای مثال معمولاً در ابتدا ایمیل‌های فیشینگ فرستاده می‌شوند. ایمیل‌های فیشینگ ایمیل‌های به ظاهر بی‌ضرری هستند که وقتی با پیوست‌ها یا لینک‌های آلوده‌ی آن‌ها تماسی برقرار می‌شود، ابزار احراز هویت را می‌دزدند. چنین ایمیل‌هایی برای چندین کارمند ارسال می‌شوند تا شانس موفقیت را حداکثر کنند.
اگر این ابزارهای احراز هویت داخلی به اندازه کافی توانایی نفوذ نداشته باشد، یک حمله مرد میانی می‌تواند به دنبال آن انجام شود تا ارتباطات خصوصی میان کارکنان با دسترسی‌های ویژه را رهگیری کند.

مرحله سوم- محکم کردن جای پا

بعد از نفوذ به یک اکوسیستم، حملات سایبری تقریباً به سرعت یک جای پای ثابت یا پایه‌ی محکم ایجاد می‌کنند تا نیازی به زنجیره حمله‌ی سایبری مجدد نداشته باشند. این کار معمولاً از طریق حملات تداومی به backdoor ترتیب داده می‌شود.

مرحله چهارم- افزایش امتیازات

هکرها معمولاً حین سه مرحله‌ی اول از اطلاعات احراز هویت کلی کارمندان استفاده می‌کنند؛ زیرا چنین اطلاعاتی راحت‌تر از بقیه به دست می‌آید. مجوزهای ویژه‌ی بالاتر با اجازه‌ی دسترسی عمیق‌تر به منابع حساس را نمی‌توان به راحتی از بردار حمله‌ی غیرفعال به دست آورد. این کلید‌های طلایی با یکی از روش‌های زیر از درون اکوسیستم به دست می‌آیند:

  • سوءاستفاده از آسیب پذیری های نرم افزاری
  • سوءاستفاده از زیرساخت‌های کلید عمومی یا PKI
  • حمله به رمزهای با الگوریتم هش (Password hash)
  • Keystroke / credential logging

مرحله پنجم- حرکت جانبی

در این مرحله مهاجم از دسترسی ویژه‌ی خود برای حرکت در سراسر شبکه داخلی استفاده می‌کند. در طی این فرایند، فایروال‌ها و نرم افزارهای آنتی ویروس برای فرار از تشخیص مهاجم دستکاری می‌شوند. همچنین یک شناسایی داخلی برای یافتن آسیب پذیری ‌های امنیتی عمیق‌تر انجام می‌شود.

مرحله ششم- حفظ حضور

استراتژی‌های مرحله‌ی دوم که برای اجاد جای پای ثابت انجام شد، در این مرحله تقویت می‌گردند تا دسترسی بدون مانع به محیط هدف را در هر زمان راحت‌تر کند. این کار معمولاً از طریق لینک کردن بدافزارهای  backdoor به یک زیرساخت فرمان و کنترل که به C2 یا C&C هم معروف است، انجام می‌شود.

مرحله هفتم- تکمیل ماموریت

در این مرحله، مهاجم سایبری به هدف مخرب خود دست یافته است که می‌تواند شامل موارد زیر باشد:

  • تجزیه و تحلیل اطلاعات هویتی شخصی (PII)
  • دسترسی به پایگاه داده شماره کارت اعتباری
  • استقرار باج افزار
  • رمزگذاری داده‌های حساس برای ایجاد اختلال در عملیات تجاری
  • نشت داده‌ها یا data breach
  • جذب سیستم هدف در یک بات ‌نت (botnet)
  • تزریق نرم افزارهای جاسوسی

پس از این که حمله کامل شد، حملات سایبری به ندرت دسترسی خود را به سیستم هدف قطع می‌کنند. اگر هشدارهای سیستم امنیتی نادیده گرفته شود، هکرها به حضور پنهانی خود برای ادامه‌ی کنترل و استخراج داده‌های خصوصی ادامه می‌دهند. روند حمله‌ی سایبری اصولاً یک مسیر خطی نیست. هکرها بعد از محکم کردن جای پا، به سمت منابع حساس و عمیق‌تر می‌روند. این کار شامل چرخه‌های متعدد شناسایی داخلی، حرکات جانبی و تقویت حضور عمیق‌تر تا رسیدن به هدف حمله است.

چگونه در برابر وکتورهای حمله‌ی متداول دفاع کنیم

برای هدف‌گیری وکتورهای حمله‌ی متداول، کنترل‌های امنیتی باید در بیشترین سطح حمله گسترش پیدا کند. چنین فرایندی با شناسایی تمام نقاط ورود احتمالی به شبکه خصوصی شما شروع می‌شود که ترسیم آن برای هر شغل و فعالیتی متفاوت خواهد بود.
با استراتژی‌های دفاعی سایبری زیر می‌توانید نقاط ورود مکرر را مسدود کرده و همچنین مناطق احتمالی بردار حمله در اکوسیستم خود را تقویت کنید.

  • ابزارهای احراز هویت اینترنت اشیاء را فعال کنید: اکثر دستگاه‌های IoT هنوز از ابزار احراز هویت قابلپ‌پیش‌بینی کارخانه‌ای استفاده می‌کنند که آن‌ها را به اهداف اصلی حملات DDoS تبدیل می‌کند.
  • از یک منیجر رمز عبور استفاده کنید: منیجر رمز عبور اطمینان حاصل می‌کند که ابزار احراز هویت در برابر حملات قدرتمند و مقاوم باشد.
  • به کارکنان آموزش دهید: برای جلوگیری از افتادن کارکنان در دام مهندسی اجتماعی و تاکتیک‌های فیشینگ، باید در مورد نحوه شناسایی و گزارش فعالیت‌های احتمالی مجرمان سایبری آموزش ببینند. فراموش نکنید انسان‌ها همیشه ضعیف‌ترین نقاط در هر برنامه امنیتی خواهند بود.
  • نشت داده‌ها را شناسایی و مسدود کنید: اکثر مشاغل ناخودآگاه داده‌های حساسی را نشت می‌کنند که می‌تواند نقض داده‌ها را تسهیل کند. یک روش تشخیص نشت داده چنین مشکل امنیتی مهمی را حل می‌کند.
  • تمام آسیب پذیری های سیستم را شناسایی و رفع کنید: این کار باید در مورد هر دو شبکه وندور داخلی و خارجی انجام شود. یک روش نظارت بر سطح حمله می‌تواند به شما در انجام این کار کمک کند.
  • نرم افزار آنتی ویروس را به‌روز نگه دارید: انجام به‌روزرسانی، نرم افزار آنتی ویروس را از آخرین تهدیدات سایبری که در اینترنت وجود دارد، مطلع می‌کند.
  • نرم افزار شخص ثالث را به طور مرتب به‌روز کنید: به‌روزرسانی‌های نرم افزار حاوی پچ‌های مهمی برای بردار حمله‌های تازه کشف شده است. خیلی از مهاجمان سایبری با سوء استفاده از آسیب‌پذیری‌های شناخته شده در نرم‎افزارهای قدیمی به موفقیت دست می‌یابند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.