بهره جوها (Exploit) چیستند و چرا تا این حد ترسناک هستند؟

کارشناسان امنیتی اغلب از بهره جوها (اکسپلویت ها) به عنوان یکی از مشکلات مهم مرتبط با ایمنی داده ها و سیستم ها یاد می نمایند. هر چند به صورت کلی تفاوت بین بهره جوها و بد افزارها روشن نیست اما در این نوشتار تلاش می نماییم تا آن را برای شما توضیح دهیم.

 

بهره جو چیست ؟

بهره جوها زیر مجموعه ی بد افزارها هستند. این نرم افزارهای مخرب حاوی داده ها یا کدی قابل اجرا هستند که می تواند از آسیب پذیری های موجود در برنامه ایی که بر روی یک رایانه محلی یا از راه دور در حال اجرا است استفاده نماید.

به عبارت ساده: شما یک مرورگر دارید و در درون آن یک آسیب پذیری وجود دارد که اجازه می دهد تا ” کدی غیر قابل پیش بینی ” به اجرا و نصب برنامه های مخرب بر روی سیستمتان بدون آگاهی شما بپردازد. اغلب نخستین گام برای مهاجمان افزایش حق دسترسی است، بدین ترتیب آن ها می توانند هر کاری را که دلشان می خواهد در سیستم آلوده شده انجام دهند.

مرورگرها، همراه با فلش، جاوا و مایکروسافت آفیس، در میان بیشترین نرم افزارهای مورد هدف جای دارند. فراگیری این نرم افزارها سبب آن می گردد تا کارشناسان امنیتی و هکرها به طور یکسان آن ها را مورد بررسی قرار دهند و بدین صورت است که توسعه دهندگان این نرم افزارها مرتبا مجبور به ارائه ی پچ هایی برای رفع آسیب پذیری های موجود در نرم افزارهایشان می شوند.

مشکل دیگر آن است که هکرهای کلاه سیاه از آسیب پذیری های ناشناخته و تازه کشف شده که به اصطلاح Zero-days یا ۰days خوانده می شوند به وسیله بهره جوها سوء استفاده می نمایند. اطلاع یافتن از این آسیب پذیری ها و رفع آن ها توسط شرکت سازنده ممکن است زمان بر باشد و در این مدت هکرها می توانند سوء استفاده های زیادی را از این آسیب پذیری ها انجام دهند.

 

مسیرهای عفونت

مجرمان فضای مجازی اغلب ترجیح می دهند به وسیله راه های دیگر ( همانند مهندسی اجتماعی ) از بهره جوها استفاده نمایند.

در این میان دو راه وجود دارد که می تواند کاربران را به عنوان طعمه ایی برای بهره جوها تبدیل نماید. نخست، بازدید از تارنماهایی که حاوی کدهای مخرب بهره جوها هستند. دوم آنکه، باز نمودن فایلی به ظاهر مشروع که دارای کدهای مخرب پنهان شده می باشد. همانگونه که ممکن است حدس زده باشید، هرزنامه ها و پیام های فیشینگی نیز به عنوان یکی از محتمل ترین راه های پخش بهره جوها در نظر گرفته می شوند.

همانگونه که در Securelist هم به آن اشاره شده است، بهره جوها برای ضربه زدن به نسخه های خاصی از نرم افزارها که دارای آسیب پذیری هایی هستند طراحی می گردند. بنابراین اگر کاربری که از نسخه های این نرم افزارها استفاده می نماید، شیء مخربی را باز نماید، یا از تارنماهایی بازدید نماید که برای باز نمودن آن ها نیاز به استفاده از ورژن های خاص آن نرم افزارها را داشته باشد، در خطر حمله بهره جوها قرار می گیرد.

هنگامی که بهره جو از طریق آسیب پذیری شناسایی شده به سیستم قربانی دسترسی پیدا می نماید، بد افزارهایی را از سوی سرور مجرمان اینترنتی در جهت اجرای فعالیت های خرابکارانه بر روی سیستم قربانی بارگیری می نماید. این فعالیت ها شامل دزدیدن داده های شخصی، استفاده از کامپیوتر آلوده شده به عنوان قسمتی از بات نت در جهت ارسال هرزنامه ها یا ایجاد حملات دیداسی، یا هر فعالیت خرابکارانه ایی که این مجرمان در نظر داشته باشند می شود.

بهره جوها حتی برای آن دسته از کابران آگاهی که همیشه نرم افزارهای خود را به روز نگه می دارند نیز می تواند به عنوان خطری جدی قلمداد گردد. این خطر به دلیل فاصله زمانی ایجاد شده بین کشف آسیب پذیری و توزیع پچ مربوطه به آن است. در این زمان، بهره جوها می توانند به صورت آزادانه فعالیت خودشان را انجام دهند و امنیت بسیاری از کاربران اینترنتی را در معرض خطر خود قرار دهند – مگر آنکه ابزارهایی را به کار گیریم که از حملات بهره جوهای نصب شده جلوگیری به عمل آورد.

 

حمله ی دسته جمعی بهره جوها

اکسپلویت ها معمولا به صورت یک جا جمع آوری می گردند و آسیب پذیری های گوناگونی که ممکن است در سیستم قربانیشان وجود داشته باشد را مورد بررسی قرار می دهند. هنگامی که یک یا چند آسیب پذیری شناسایی می گردد، بهره جوهای مناسب وارد عمل می شوند. بسته های بهره جوها همچنین به منظور جلوگیری از شناسایی و رمزنگاری نمودن مسیرهای URL برای جلوگیری از آنروت کردن آن ها به دست محققان از کدهای ابهام زا (code Obfuscation) استفاده می نمایند.

در زیر به معرفی بهترین بسته های شناخته شده می پردازیم:

Angler- از بسته نفوذی Angler یا ماهی گیر به عنوان یکی از پیچیده ترین بسته های شناخته شده یاد می شود. این بسته پس از شروع به شناسایی آنتی ویروس و ماشین های مجازی ( که اغلب توسط محققان امنیتی به عنوان هانیپات شناخته می شود ) و گسترش فایل های رمزنگاری شده ی دراپر، بازی را در زمینه ی حمله ی دسته جمعی بهره جوها تغییر داد. Angler همچنین یکی از سریع ترین بسته های نفوذی است که می تواند Zero-days های تازه منتشر شده را به همراه بد افزارهایشان از طریق حافظه و بدون نیاز به نوشتن آن ها بر روی هارد دیسک قربانیانش به اجرا در آورد.

Nuclear Pack- قربانیان خود را به وسیله ی بهره جوهای جاوا و Adobe PDF و آلوده سازی آن ها به وسیله ی تروجان Caphaw مورد هدف قرار می دهد.

Blackhole Kit- شایع ترین تهدید اینترنتی سال ۲۰۱۲ میلادی به این بسته ی نفوذی اختصاص دارد. روند کار این بسته نفوذی بدین شکل بود که آسیب پذیری های موجود در نسخه های قدیمی تر مرورگرهایی چون فایرفاکس، کروم، اینترنت اکسپلورر، سافاری و همچنین افزونه های مشهوری چون ادوبی فلش،Adobe Acrobat و جاوا را مورد حملات خود قرار می داد. پس از اغوا شدن قربانی و رفتن به صفحه ی هدف، Blackhole kit شروع به مشخص نمودن رایانه فرد قربانی می نماید و تمامی بهره جوها را در آن بارگزاری می نماید تا بر اساس آسیب پذیری موجود، بهره جوی مناسب بتواند عملیات خود را انجام دهد.

 

نتیجه گیری

نرم افزارهای امنیتی نمی توانند همیشه بهره جوها را مورد شناسایی قرار دهند. برای موفقیت در این امر لازم است تا نرم افزارهای امنیتی از شیوه ی تجزیه و تحیل رفتاری استفاده نمایند. برنامه های مخرب ممکن است فراروان و متنوع باشند، اما بسیاری از آن ها دارای الگوهای رفتاری یکسانی هستند.

برخی از نرم افزارهای امنیتی اینترنت سکیوریتی از تکنولوژی منحصر به فردی استفاده می نمایند که “Automatic Exploit Prevention | پیشگیری خودکار از بهره جوها ” نام دارد. همچنین استفاده از اطلاعات رفتاری مرتبط با شناخته شده ترین بهره جوها باعث می گردد تا این محصول بتواند به خوبی در برابر این تهدیدات از شما محافظت لازم را به عمل آورد. در واقع ویژگی های رفتاری چنین برنامه های مخربی به جلوگیری از آلوده شدن حتی در مواردی که بهره جو مرتبط با یک آسیب پذیری Zero-day است منجر می شود.

Top