اکسپلویت چیست؟

اکسپلویت چیست؟

اکسپلویت قطعه‌ای از نرم‌افزار، دیتا یا توالی دستورات است که از یک آسیب‌پذیری در سیستم یا شبکه سواستفاده می‌کند. هدف اکسپلویت ایجاد رفتار ناخواسته در سیستم یا شبکه، یا دستیابی غیرمجاز به اطلاعات حساس است.  

آسیب‌پذیری‌ها به محض شناسایی به منظور ثبت به CVE ارسال می‌شوند. CVE یک فرهنگ لغت آسیب‌پذیری (Vulnerability Dictionary) رایگان است که برای تامین امنیت سایبری در سطح جهانی طراحی شده است. این سیستم برای هر آسیب‌پذیری یک شناسه‌ی استاندارد ایجاد می‌کند تا بتوان با استفاده از آن آسیب‌پذیری را تشخیص داد.  

اکسپلویت‌ها چگونه کار می‌کنند؟

اکسپلویت‌ها از نقض امنیتی سیستم‌عامل، نرم‌افزار، سیستم رایانه‌ای، اینترنت اشیا (IoT) یا سایر آسیب‌پذیری‌های امنیتی بهره می‌برند. اغلب پس از آن که یک اکسپلویت توسط یک مهاجم یا هکر مورد استفاده قرار گرفت، توسعه‌دهندگان نرم‌افزار آن را شناخته و اغلب آسیب‌پذیری مربوطه از طریق وصله (پچ) اصلاح شده و غیرقابل استفاده می‌شود.

به همین دلیل بسیاری از مجرمان امنیتی اینترنتی و همچنین سازمان‌های نظامی یا دولتی، اکسپلویت‌هایی را که کشف می‌کنند منتشر نمی‌کنند و برعکس سعی می‌کنند آن را افشا نکنند. در چنین شرایطی، آسیب‌پذیری بعنوان آسیب‌پذیری زیرو دی (Zero Day) یا اکسپلویت زیرو دی شناخته می‌شود. یکی از نمونه‌های معروف، آژانس دولتی NSA است که آسیب‌پذیری نرم‌افزار EternalBlue را محرمانه و مخفی نگه داشت.

EternalBlue از نسخه‌های قدیمی سیستم‌عامل ویندوز که از نسخه منسوخ پروتکل (Server Message Blcok (SMB استفاده می‌کردند، بهره‌برداری کرد. درپی آن مجرمان اینترنتی باج‌افزار WannaCry را تولید کردند که از EternalBlue بهره‌برداری می‌کند و تقریبا بیش از 200 هزار سیستم کامپیوتری در 150 کشور در سراسر جهان را مختل کرد و خسارات فراوانی به آن‌ها وارد کرد. حجم این خسارات از صدها میلیون تا میلیاردها دلار تخمین زده می‌شود. علی‌رغم اینکه سازندگان نرم‌افزار برای رفع مشکل EternalBlue پچ مناسب را کرده‌اند، این آسیب‌پذیری شناخته شده به دلیل عدم استفاده از این پچ توسط بسیاری از کاربران، هم‌چنان یک خطر بزرگ امنیت سایبری به شمار می‌رود.

با مدیریت آسیب‌پذیری امکان استفاده از اکسپلویت‌ها در شبکه‌ی خود را از بین ببرید:

انواع مختلف اکسپلویت کدامند؟

اکسپلیوت‌ها را می‌توان در پنج دسته گسترده طبقه‌بندی کرد:

  • سخت‌افزار: رمزگذاری ضعیف، عدم مدیریت پیکربندی یا آسیب‌پذیری سیستم‌عامل
  • نرم‌افزار : نقض ایمنی حافظه (سرریزبافر، over-reads)، خطاهای اعتبارسنجی ورودی – تزریق کد، XSS، دایرکتوری تراورسال (Directory Traversal)-، تزریق ایمیل، حملات رشته‌ای، تزریق هدر HTTP، SQL injection، اشکالات بالارفتن سطح دسترسی (Clickjacking، CSRF، حملات FTP)، حملات Race Condition (Symlink race)، حملات چنل ساید، حملات زمان‌بندی و خرابی رابط کاربر
  • شبکه: خطوط ارتباطی رمزگذاری نشده، حملات مرد میانی (man-in-the-middle)، دامین هایجکینگ، امنیت ضعیف شبکه ، عدم سیستم احراز هویت یا استفاده از رمزهای عبور پیش‌فرض
  • پرسنل: سیاست و روند ضعیف در استخدام، عدم آموزش و آگاهی‌بخشی د رحوزه‌ی امنیت، پیروی ضعیف از سیاست امنیت اطلاعات، مدیریت ضعیف رمزعبور یا حملات رایج مهندسی اجتماعی مانند فیشینگ، Spear Phishing، Honey Trapping و …

سایت فیزیکی: امنیت فیزیکی ضعیف، حملاتی مانند Tailgating و عدم کنترل دسترسی درست

در هر یک از این دسته‌ها، می‌توانیم آسیب‌پذیری‌ها را به دو گروه تقسیم کنیم: آسیب‌پذیری‌های شناخته شده و اکسپلویت‌های زیرو دی (روز صفر):

  • آسیب‌پذیری‌های شناخته شده: محققان امنیتی آنها را کشف کرده و مستندسازی کرده‌اند. اکسپلویت‌هایی که آسیب‌پذیری‌های شناخته شده را هدف قرار می‌دهند، اغلب قبلا اصلاح شده‌اند اما به دلیل کند بودن روند نصب پچ‌های امنیتی، هنوز تهدیدی قابل استفاده برای مهاجمین به شمار می‌روند. یکی از مشکلاتی که هم کاربران خانگی و هم سازمان‌های بزرگ را تهدید می‌کند، نداشتن برنامه‌ای برای نصب این پچ‌های امنیتی است. حتی مشاهده شده برخی سازمان‌ها بعد از گذشت ماه‌ها از انتشار پچ امنیتی، هنوز اقدام به نصب آن نکرده‌اند و این موضوع می‌تواند دریچه ورودی برای مهاجمان و هکرها باشد.

اکسپلویت‌های زیرو دی (zero day): آسیب‌پذیری‌هایی که بصورت عمومی گزارش نشده و یا در CVE گزارش نشده‌اند. این بدان معناست که مجرمان سایبری قبل از اینکه برنامه‌نویسان بتوانند پچی را منتشر کنند، این اکسپلویت را یافته‌اند. در برخی موارد ممکن است توسعه دهنده حتی از وجود آسیب‌پذیری اطلاع نداشته باشد.

درباره‌ی حملات زیرو دی (zero day) بیشتر بیاموزید:

اکسپلویت‌ها چگونه اتفاق می‌افتند؟

روش‌های مختلفی برای اکسپلویت‌ها وجود دارد:

  • اکسپلیوت بصورت ریموت (از راه دور): از طریق شبکه کار می‌کند و بدون دسترسی قبلی به سیستم آسیب‌پذیر، از آسیب‌پذیری سواستفاده می‌کند.
  • اکسپلویت بصورت لوکال (محلی): به دسترسی قبلی به سیستم آسیب‌پذیر یا شبکه‌ای که آن سیستم در آن است نیاز دارد، هدف اکثر این اکسپلویت‌ها افزایش سطح دسترسی مهاجم است بطوری که سطح دسترسی مهاجم را تا سطح کاربر ممتاز (ادمین) بالا ببرد.
  • اکسپلویت بصورت کلاینت: اکسپلویتی در برابر برنامه‌های کاربردی سرویس‌گیرنده وجود دارد و معمولا از سرورهای اصلاح شده تشکیل شده است. درصورت دسترسی به برنامه‌ی کلاینت، اکسپلویت را ارسال می‌کنند. در برخی مواقع ممکن است نیاز به تعامل به کاربر نیز وجود داشته باشد.

در سال 2016 یاهو اعلام کرد که اطلاعات بیش از یک میلیارد حساب کاربری نشت پیدا کرده است، این نشت یکی از بزرگترین نشت‌های اطلاعاتی تاریخ به شمار می‌رود. مهاجمان توانستند به اطلاعات حساسی دسترسی پیدا کنند زیرا یاهو از یک الگوریتم ضعیف و منسوخ به نام MD5 برای هش‌کردن استفاده می‌کرد.

بطور کلی اکسپلویت‌ها برای آسیب رساندن به اضلاع مثلث CIA، یعنی محرمانه بودن، یکپارچگی و دردسترس بودن نرم‌افزار یا یک سیستم طراحی شده‌اند. بسیاری از مجرمان اینترنتی با استفاده از بسترهای متعدد برای حمله، ابتدا دسترسی محدودی پیدا می‌کنند و سپس از آسیب‌پذیری‌های لوکال برای ارتقا سطح دسترسی به منظور دستیابی به سطح کاربری ادمین، استفاده می‌کنند.

به همین دلیل کسانی که وظیفه محافظت از امنیت اطلاعات، امنیت شبکه و امنیت داده‌ها را برعهده دارند، باید از استراتژی دفاع در عمق (in-depth defense) استفاده کنند. بعنوان مثال، یک مهاجم می‌تواند با نصب بدافزار در رایانه، یکپارچگی یک صفحه وب را با تزریق کد مخرب به مرورگر وب را مختل کرده و امنیت آن را با مشکل مواجه کند، یا با انجام حمله منع سرویس توزیع‌شده (DDoS) که توسط بات‌نت‌ها و تروجان‌ها اتفاق می‌افتد، دسترس‌پذیری آن را با اختلال مواجه کند.

اکسپلویت کیت (Exploit kit) چیست؟

اکسپلویت کیت برنامه‌ای است که مهاجمان می‌توانند از آن برای ساخت اکسپلویت‌هایی برای سواستفاده از آسیب‌پذیری‌های شناخته شده در نرم‌افزارهای معمول نصب شده مانند JAVA، Adobe Flash و Microsoft Silverlight استفاده کنند. یک اکسپلویت کیت معمولی، آسیب‌پذیری‌های موجود در برنامه‌های مختلف را هدف قرار گرفته و چندین افزونه در اختیار مهاجم قرار می‌دهد که حملات سایبری را آسان‌تر می‌کند. به دلیل ماهیت خودکار بودن عملیات، اکسپلویت کیت‌ها روشی محبوب در انتشار انواع مختلف بدافزارها و ایجاد سود هستند.

یکی از نمونه‌های معروف استفاده از اکسپلویت‌ها، باج‌افزار WannaCry است. این باج‌افزار از آسیب‌پذیری EternalBlue استفاده می‌کند. درحالی که EternalBlue به سرعت وصله شد، بیشتر موفقیت WannaCry به دلیل عدم اعمال این پچ توسط سازمان‌ها یا استفاده از نسخه‌های قدیمی ویندوز بود.

چگونه می‌توان خطر اکسپلویت‌ها را کاهش داد؟

سازمان‌ها می‌توانند با نصب تمام پچ‌های نرم‌افزاری به محض انتشار (که به این منظور می‌توانند از سرویسی مانند WSUS مایکروسافت استفاده کنند)، با گسترش آگاهی نسبت به امنیت سایبری و آموزش درست کارکنان و سرمایه‌گذاری روی نرم‌افزارهای امنیتی مانند آنتی‌ویروس، کشف خودکار و اعتبارسنجی اطلاعات و سیستم‌های تشخیص و پیشگیری از نفوذ (راه‌حل‌هایی مانند IPS و IDS)، خطر اکسپلویت‌ها را کاهش دهند.

وکتور حملات دیگری که اغلب نادیده گرفته می‌شود و خطر قابل توجهی برای امنیت سایبری به همراه دارند، نرم‌افزارهای جانبی هستند. نرم‌افزارهای شما اطلاعات حساس (بعنوان مثال اطلاعات بهداشتی محافظت شده (PHI)، اطلاعات قابل شناسایی شخصی (PII) یا داده‌های بیومتریک) را پردازش می‌کنند؛ درصورت وجود مشکل و یا ضعف امنیتی، این نرم‌افزارها می‌توانند از اهداف جاسوس‌ها یا مهاجمان سایبری باشند.

مدیریت خطر در نرم‌افزارهای جانبی بخش مهمی از مدیریت ریسک اطلاعات را تشکیل داده و روز‌به‌روز اهمیت آن بیشتر می‌شود.

گروه امنیتی لیان چگونه می‌تواند از سازمان شما در برابر اکسپلویت‌ها محافظت کند؟

سازمان‌های بسیاری، اعم از دولتی و خصوصی، برای محافظت از اطلاعات خود، جلوگیری از نشت اطلاعات، نظارت بر آسیب‌پذیری‌ها و جلوگیری از انتشار بدافزارها بر روی شبکه‌هایشان، از کارشناسان لیان مشاوره می‌گیرند.

کارشناسان لیان با تکیه بر دانش و توانایی خود و ارائه راهکاری دقیق می‌توانند سازمان شما را در برابر حملات سایبری شناخته شده و حتی زیرو دی (zero day)، محافظت کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.