دليل لهجمات يوم الصفر الأكثر شيوعًا

[vc_row] [vc_column] [vc_column_text]عمليات الاستغلال في يوم الصفر هي ثغرات برمجية غير معروفة للمطورين أو شركات مكافحة الفيروسات. يمثل «Zero-day» عدد الأيام التي علم فيها المطور بالثغرة الأمنية. كان Stuxnet، الذي أطلق عليه اسم «عملية الألعاب الأولمبية»، أول سلاح رقمي في العالم، تم إنشاؤه لاستهداف البرنامج النووي الإيراني؛ واستفاد من عمليات الاستغلال في يوم الصفر لإصابة أجهزة Windows. كانت دودة الكمبيوتر الخبيثة نتاجًا للجهود المتضافرة لوكالة الأمن القومي ووكالة المخابرات المركزية والمخابرات الإسرائيلية. استخدمت Stuxnet أربع عمليات استغلال في اليوم الصفري جنبًا إلى جنب مع نقاط الضعف مثل CPLINK وثغرة Conficker في الدودة. يعد اختراق Sony Pictures واختراق DNC من الحالات الشائعة الأخرى لهجمات يوم الصفر.

الكشف عن عملية الألعاب الأولمبية

في 24 يونيو 2010، قام المحللون في شركة مكافحة البرامج الضارة VirusBlokada، سيرجي أولاسن وأوليج كوبريف، تلقيت طلبًا لتحليل حادثة غير عادية إلى حد ما؛ مجموعة من الملفات المشبوهة التي تسببت في دخول أجهزة الكمبيوتر في إيران في حلقة إعادة تشغيل لا نهاية لها. في محاولة غير مجدية، فكروا حتى في مسح الكمبيوتر بالكامل وإعادة تثبيت جميع البرامج. ومع ذلك، قامت الملفات بطريقة ما بإعادة إصابة النظام.

التحليل

قام أوليغ وسيرجي بتحليل الملفات ووجدوا أن حجم الملف كبير جدًا مقارنة بمعظم الفيروسات. في حين أن حجم الفيروسات عادة ما يكون 10-15 كيلوبايت فقط، فإن حجم هذا الملف المضغوط كان 500 كيلوبايت. عند فك الضغط، زاد حجم الملف إلى 1.2 ميجابايت وهو ما كان يُعتقد أنه أمر غير معتاد بالنسبة للفيروسات في ذلك الوقت. بمجرد نقل الملفات إلى كمبيوتر آخر، يتم تثبيت الملفات وتشغيلها دون تدخل بشري. لقد صدم المحللون بأن الملفات لم تطلق حتى إنذارًا أو تحذيرًا في النظام. لا يكون هذا ممكنًا إلا إذا كانت الدودة مزودة ببرنامج rootkit على مستوى النواة مما يسمح لها بتجنب الاكتشاف.

تستغل معظم الفيروسات ميزة التشغيل التلقائي لـ Windows. ومع ذلك، لم يتضمن Stuxnet سوى ملفات.LINK التي يستخدمها Windows لعرض الملفات والتطبيقات كرموز. أصابت جميع ملفات .LINK الأربعة كل إصدار منذ نظام التشغيل Windows 2000. لم يكن لتعطيل ميزة التشغيل التلقائي أي تأثير على Stuxnet. تم نشره من خلال محركات الأقراص المحمولة التي تحمل شهادات رقمية أصلية موقعة من شركة Realtek Semiconductor Corp التايوانية. تم تصميم الدودة بطريقة تصيب فقط الأنظمة التي تحتوي على برامج معينة تستخدم لأتمتة الآلات في صناعة الأسلحة النووية. وإذا لم يكن الجهاز يحتوي على برنامج معين، يتم إيقاف تشغيل الدودة من تلقاء نفسها دون إصابة النظام.

في 24 يونيو 2012، توقفت Stuxnet عن العمل مما أدى أيضًا إلى وقف المزيد من انتشار السلاح السيبراني المتطور. تم تكوين التدمير الذاتي في Stuxnet، ولكن لم يتم العثور على ملفات التعليمات البرمجية هذه أثناء التحقيق.

هجمات يوم الصفر الرئيسية الأخرى

فيما يلي تفاصيل هجمات يوم الصفر الشائعة الأخرى من السنوات الخمس الماضية:

ميكروسوفت/CVE-2016-0167

تسمح هذه الثغرة الأمنية برفع الامتياز المحلي في مكون Win32K Windows Graphics. يمكن للهاكر الذي حقق RCE استغلال هذه الثغرة بسهولة لتشغيل العمليات بامتيازات مرتفعة. عادةً ما يبدأ الهجوم الذي استغل هذه الثغرة الأمنية بهجوم التصيد الاحتيالي الذي استفاد من العديد من مستندات Word المضمنة مع وحدات الماكرو. يتم بعد ذلك تنفيذ برنامج تنزيل ضار، يطلق عليه اسم PUNCHBUGGY. يقوم المهاجمون بعد ذلك بتحميل وتنفيذ برنامج ضار (نقطة البيع) يعمل على مسح نقاط البيع يسمى PUNCHTRACK.

أزرق أبدي/CVE-2017-0144

CVE-2017-0144 هي ثغرة أمنية خطيرة في RCE تسمح للمهاجم عند استغلالها بإرسال رسائل محددة إلى خادم SMBv1 من Microsoft. تم تطوير أداة الاستغلال EternalBlue من قبل وكالة الأمن القومي لاستغلال CVE-2017-0144 في بروتوكول SMB. تم تسريب هذه الأداة لاحقًا في أبريل 2017، مما سمح للقراصنة بالوصول إلى أنظمة أخرى في الشبكة. كما اشتهرت هجمات الفدية WannaCry و NotPetya باستخدام EternalBlue.

أدوبي/CVE-2018-15982

استخدم المهاجمون استغلالًا لهذه الثغرة الأمنية، الموجودة في البرية، لتنفيذ RCE على الأهداف المقصودة. يمكّن يوم الصفر هذا كائن Adobe Flash الضار من تنفيذ التعليمات البرمجية التي تسمح للهاكر بالتحكم في سطر الأوامر. يتم بعد ذلك تضمين كائن Flash في مستند Word الموجود في ملف WinRAR، والذي يتضمن أيضًا ملف jpeg. عند تشغيل Flash، يقوم ملف jpeg الذي يحتوي على أدوات الإدارة عن بُعد بتحميل باب خلفي في التطبيق.

أبل — سفاري — زووم/ CVE-2020-3852

في الآونة الأخيرة، وجد ريان بيكرين سبعة يوم الصفر نقاط الضعف في سفاري. يمكن استخدام بعض أيام الصفر هذه للوصول غير المصرح به إلى الكاميرات على أجهزة iOS و macOS. دفعت شركة Apple مبلغًا ضخمًا قدره 75,000 دولار كمكافأة إلى Pickren (حوالي 54,00,000 دولار).

تحتاج التطبيقات على iOS إلى إذن من المستخدم للوصول إلى كاميرا الجهاز أو الميكروفون. ومع ذلك، يمكن لتطبيقات Apple الوصول افتراضيًا إلى الكاميرا أو الميكروفون. وبالتالي، حسب التصميم، يتمتع متصفح Safari الخاص بشركة Apple بإذن لاستخدام كاميرا الويب الخاصة بالجهاز. يحتاج المخترق الذي يستغل الثغرة الأمنية في Safari فقط إلى إعادة توجيه المستخدم إلى موقع ويب ضار، مما يسمح له بالوصول مباشرة إلى كاميرا الويب/الميكروفون.[/vc_column_text] [/vc_column] [/vc_row]