اکسپلویت یا Exploit که به عنوان بدافزار معرفی شده است و همه آن را به عنوان بدافزار میشناسند در واقع یک بدافزار نیست بلکه روشی است که هکرها و سوءاستفاده کنندگان فضای مجازی، برای انتقال بدافزار استفاده میکنند. در واقع برنامه یا قطعه کدی میباشد که فقط به دنبال شناسایی نقاط آسیب پذیر یا نقص امنیتی موجود در یک برنامه کاربردی یا سیستم رایانهای میباشد و با شناسایی این آسیب پذیری ها، به سوء استفاده از آنها بر میخیزند. معمولاً این برنامه برای اهداف مخرب استفاده میشود مثلاً با پیدا کردن آسیب پذیری یک سیستم رایانهای، بدافزارهای دیگری را در آن نصب میکنند. البته این برنامه فقط برای اهداف مخرب کاربرد ندارد و در اصل برای این مورد طراحی و ایجاد نشده است بلکه برای اهداف تحقیقاتی و آموزشی از این برنامه استفاده میشود ولی همیشه سوء استفاده کنندگانی نیز وجود دارند که از کاربردهای برنامههای مختلف که حتی مفید نیز میباشند، در جهتهای نادرست و موارد غیر قانونی استفاده میکنند. عمده آسیب پذیریهایی که باعث میشود یک برنامه یا نرمافزار مورد حمله هکرها توسط این برنامه قرار گیرند، آسیب پذیریهای ناشی از اشکال(Bag)میباشد.
در واقع تا زمانی که در یک نرمافزار یا برنامه یا سیستم رایانهای نقطه نفوذ و آسیب پذیری یا نقص امنیتی وجود نداشته باشد، این برنامه نمیتواند به اهداف مخرب خود دست پیدا کند. اکسپلویت همیشه در حال گشتن به دنبال همین روزنههای نفوذ میباشد.
اکثر نرمافزارهایی که تهیه میشوند دارای نقصها و آسیبپذیریهایی میباشند و Exploit ها هم به دنبال همین آسیب پذیریها میباشد و تولید کنندگان نرمافزارها مدام و به طور پیوسته نرمافزارهای خود را به روز رسانی میکنند تا از شر این برنامهها با اهداف مخرب در امان بمانند. همین مسئله را به صورت عینی شما هم میبینید که هر نرمافزاری که به بازار ارائه میشود، مدام نسخه به روز آن نیز به بازار وارد میگردد یکی از دلایل آن همین برنامه Exploit میباشد.
مجرمان اینترنتی فقط به دنبال یافتن این روزنهها و دسترسی به سیستمها و نرمافزارها میباشند. وقتی که هکرها توانستند وارد سیستمی گردند، میتوانند انواع اهداف مخرب مانند سرقت اطلاعات حساس یا نصب بدافزارها را انجام دهند و کاری که هکرها میکنند این است که اعمال خرابکارانه خود را به صورت کاملاً مخفیانه انجام دهند. آسیبها و نقصهایی که معمولاً در سیستمها و نرمافزارها وجود دارد در کد سیستم عامل و برنامههای کاربردی میباشد که اگر توسط برنامه Exploit کشف گردد، مورد حمله قرار خواهد گرفت. این برنامهها به صورت بسیار کند به فعالیتهای خود می پردازند ولی از آن جهت که برای مجرمان سایبری بسیار کاربردی میباشند، هنوز هم استفاده از برنامه Exploit توقف پیدا نکرده است و مورد استفاده قرار میگیرد. بنابراین این برنامهای که نمیتوان اسمش را بدافزار گذاشت، میتواند برایتان بسیار مضر و خطرناک باشد و باید با آن کاملاً آشنایی یابید و روشهای مقابله با آن را به جهت مقابله در برابر حملات این برنامه، یاد بگیرید. معمولا سیستم عامل مرورگرها و مایکروسافت آفیس و برنامههای شخص ثالث از پرخطرترین مکانهایی میباشند که میتوانند مورد حمله برنامه قرار بگیرند.
چیزی که این برنامه را بسیار پرخطرتر نموده است و باعث شده است که به جز افراد حرفهای، افراد تازه کار و کم تجربه نیز از این برنامه جهت سوءاستفاده بهره ببرند، این است که اکسپلویتها توسط افراد با تجربه و ماهر و در واقع مجرمان سایبری جمع آوری و در بستهبندیهای Exploit kit وارد بازار میگردند. در واقع مجرمان سایبری از این طریق نیز به کسب درآمد خود میپردازند، طوری این خرید و فروش رواج پیدا کرده است که دیگر به عنوان یک تجارت درآمده است و انواع قیمتها از ارزانترین تا صدها هزار دلار این بستهبندیها در اختیار افراد قرار داده میشود. تفاوت این قیمتها به نوع و دستهبندی آسیب پذیری مورد استفاده در آن و هدفها و نوع کد نویسی و انواع موارد دیگر بستگی دارد.
رایجترین نوع حملات بدین گونه میباشد که پس از شناسایی سیستم یا برنامه آسیب پذیر، سیستم یا برنامه مورد نظر مورد هدف قرار میگیرد و اغلب با malspam و بارگیری درایو به حمله خود به آن سیستم شروع میشود. در واقع در روش malspam خود کاربر سیستم قربانی میباشد که اجازه آلوده نشدن سیستم خود را میدهد ولی این اجازه از روی ناآگاهی و بیاطلاعی داده میشود. در واقع مجرمان سایبری با ترفندهای خود، کاربر را متقاعد به کلیک روی یک پیوست ایمیل آلوده میکنند و از این طریق مجرمان سایبری که کد بهرهبرداری طراحی شده خود را در آن پیوست جا داده بودند به اجرا در میآید و سیستم از طریق روزنههای نقص و آسیب پذیری خود آلوده میگردد.اغلب این کدها که به سیستمها فرستاده میشوند در قالب اسناد Word,pdf و غیره میباشند و اما در روش بارگیری درایو نیز خود کاربر میباشد که از طریق کلیک روی پیوستی آلوده و مخرب سیستم خود را آلوده میکند. اما در این روش از نقطه ضعف مرورگر شما جهت آلوده کردن سیستمتان استفاده میشود. به طوری که ممکن است برایتان پیوستی از طریق ایمیل ارسال شده باشد و شما را به وب سایتی انتقال دهد که شما آن وب سایت را میشناسید و در واقع وب سایتی میباشد که شما به صورت امن قبلاً نیز از آن استفاده نمودهاید ولی این بار نمیدانید که این وب سایت توسط هکرها هک شده است و پیوستی که به ایمیل شما فرستاده شده است، کار همین هکرها میباشد و قرار است که شما را به وب سایتی جعلی و آلوده به جای وب سایت امن قبلی ببرند و شما نیز از روی بیاطلاعی و بدون اینکه روحتان نیز از ماجرا خبر داشته باشد، روی پیوست کلیک کرده و مجرمان سایبری را به سیستم خود دعوت مینماید و به محض اینکه به آن وب سایت ارجاع داده شدید کار کدهای مخرب آغاز شده و به صورت کاملاً مخفیانه و بدون اینکه شما اطلاعی از حضور آنها داشته باشید، در پس زمینه صفحه وب کار میکنند و میتوانند بدافزار را در سیستم شما بارگیری نمایند.
همانطور که بیان شد از این کدهای مخرب سوء استفادههای بسیاری میشود و هر کدی که نوشته میشود، برای اقدام خاصی میباشد و افراد باید همیشه مراقبتهای لازم را از سیستم خود در مقابل آلوده شدن به این کدهای مخرب انجام دهند. مهمترین آسیبهایی که این کدهای مخرب در سیستمها ایجاد میکنند عبارتند از:
* به سیستم قربانی نفوذ پیدا کنند و با دسترسی و مدیریت آن سیستم بتوانند آن را به یک سیستم زامبی تبدیل نمایند که از این سیستم زامبی برای اهداف مختلف مانند DDOS یا استخراج بیت کوین یا کریپتو جکینگ استفاده نمایند.
* میتوانند با نفوذ به سیستم قربانی و نصب نرمافزارهای تبلیغاتی، دسکتاپ سیستم قربانی را پر از تبلیغات نمایند.
* میتوانند انواع بدافزارهای مختلف را با رسیدن به انواع اهداف مخرب در سیستم قربانی نصب نمایند. مثلاً میتوانند جاسوس افزارها و یا بدافزارهای استخراج ارز و یا هر ابزار دیگر را در سیستم قربانی نصب نمایند و در مواقع مورد نیاز از آن بدافزارها استفاده نمایند و به اهداف مخربانه خود دست یابند.
* میتوانند به انواع اطلاعات حساس و محرمانه سیستم و کاربران دسترسی داشته باشند و با سرقت آنها انواع اعمال مخربانه خود را به انجام برساند.
* حتی میتوانند به عنوان یک باج افزار عمل نمایند و با رمزگذاری روی فایلها و دادههای شما، از شما باج گیری نمایند و دادهها و اطلاعات شما را در مقابل پرداخت مبلغ درخواستی آنها به شما بازگرداند.
کدهای مخربی که برای اعمال مخرب نوشته میشوند، انواع و اقسام متفاوتی دارند که به صورت کلی میتوان آن کدها را در سه دسته کلی دستهبندی نمود. که عبارتند از:
* دستهبندی بر اساس گونه و نوع آسیب پذیری که مجرمان سایبری از آنها استفاده میکنند و به سود میرسند.
* دستهبندی بر این اساس که قرار است این کدها در کدام محل اجرا شوند. ممکن است کدی برای اجرا بر روی دستگاه محلی (لوکال) طراحی و نوشته شود و کدی دیگر برای استفاده روی دستگاه راه دور (ریموت) نوشته شود.
* بر اساس اعمال خرابکارانهای که قرار است انجام دهند. در واقع هر کد برای رسیدن به یک هدف خاصی نوشته میشود و نتایجی که از هر کد به دست میآید، با نتایج دیگر کدهای نوشته شده متفاوت میباشد. مثلاً کدی برای حمله انکار سرویس تعبیه و نوشته شده است و کدی دیگر برای حمله کلاهبرداری.
میتوانیم اکسپلویتها را از انواع مناظر دستهبندی نماییم. ما در ادامه دو نوع دستهبندی انواع اکسپلویتها را به شما معرفی مینماییم.
اکسپلوریتهای شناخته شده و اکسپلوریتهای ناشناس.
برخی از اکسپلویتها وجود دارند که توسط برنامه نویسان شناخته میشوند و سعی در طرف نمودن آنها مینمایند، که این تلاش آنها با نوشتن قطع کدی اضافه به سرانجام میرسد. در واقع برنامه نویسان نرمافزارهایی را که آسیب دیدهاند را با قطعه کدی تعمیر مینمایند و آسیب آنها را برطرف میکند تا آن اکسپلویت شناخته شده، دیگر مورد استفاده مجرمان سایبری قرار نگیرد. برخی از شرکتها میباشند که با همین روش به کسب درآمد میپردازند و با شناسایی اکسپلویتها و نوشتن قطعه کدهای برطرف کننده آسیب پذیریها و غیر قابل استفاده نمودن آن اکسپلویتها و فروش آنها میتوانند کسب درآمد نمایند.
این اکسپلویتها بسیار خطرناکتر میباشند. چرا که جز برای توسعه دهندگانشان برای افراد دیگری شناخته شده نمیباشند. نام این اکسپلویتها، اکسپلویتهای روز صفر یا همان (Zero-Day Exploit) میباشد. با این اکسپلویتها، مجرمان سایبری میتوانند آسیبهای جدی را به نرمافزارهای میزبان وارد نمایند و آسیبهای امنیتی جدی را ایجاد کنند.
شناسایی این آسیبها فقط زمانی امکانپذیر خواهد بود که هکرها در حین سوء استفاده از آنها باشند و به همین دلیل نیز شناسایی این اکسپلویتها و آسیبهای وارده از طریق آنها بسیار سخت میباشد و زمانی که سیستمی توسط نرمافزارهای این اکسپلویتها آلوده شد، دیگر آن سیستم، سیستمی امن نمیباشد و میتواند توسط مجرمان سایبری مورد حمله قرار بگیرد. باید فروشندگان این نرمافزارها به فکر برطرف نمودن آن اکسپلویت ها باشد و برای برطرف نمودن این مشکل قطعه برنامه یا نرمافزار امنیتی اکسپلویت ها را ارائه دهند تا این مشکل برطرف گردد و آن اکسپلویتها دیگر قابل استفاده قرار نگیرد.
این اکسپلویت ها همان حملاتی میباشند که در یک شبکه محلی رخ میدهد. برای اینکه این اکسپلویت ها اجرا شوند، نیاز است که سیستم قربانی یا در دسترس فیزیکی قرار بگیرد و یا اینکه بتوان با دسترسیهای ریموت به آن سیستم دسترسی پیدا کرد. در واقع برای این اکسپلویت ها نیاز به دسترسی مستقیم وجود دارد. این اکسپلویتها از حفرههای امنیتی محلی استفاده میکنند. منظور از دسترسی مستقیم این است که برای اجرای این اکسپلویت ها باید از روی خود سیستم اقدام نمود و نمیتوان از راه دور و از راه شبکه به اجرا درآوردن این اکسپلویتها اقدام کرد. مثالی از این نوع اکسپلویت ها عبارتند از: privilege Escalation یا افزایش سطح دسترسی.
این نوع اکسپلویت ها برخلاف اکسپلویت های محلی حملاتی میباشند که در سرتاسر جهان رخ میدهند. این اکسپلویت ها را میتوان از راه دور به اجرا درآورد و مانند اکسپلویت های محلی نمیباشد که حتماً نیاز به دسترسی مستقیم به سیستم وجود داشته باشد. انواع پروتکلها مانند پروتکل های FTP و HTTP برای به هدف رساندن این اکسپلویتها مناسب میباشند و هر کدام برای نوعی از اعمال مناسب هستند. مثلاً اگر قرار باشد که یکی از سرویسهای هدف در حال استفاده از پروتکل FTP می باشد را اکسپلویت کرد، میتوان از پروتکل FTP استفاده نمود و اگر قرار باشد مرورگرها و یا برنامه و سرویسهایی که از پروتکل HTTP استفاده میکنند را اکسپلویت کرد، میتوان از پروتکل HTTP استفاده نمود.
محورسازی در اکسپلویت به روشی گفته میشود که مجرمان سایبری از آن روش جهت استفاده از سیستمهای موجود بر روی یک شبکه استفاده میکنند و با استفاده از آن روشها، تلاش خود را برای از بین بردن هر آنچه که مانع دسترسی مستقیم به یک سیستم میشود، انجام دهند. این موانع انواع مختلفی دارند که مهمترین آنها تنظیمات فایروال Firewall یا دیوارههای آتش می باشد.
محورسازی Proxy و محورسازی VPN
جهت مشاهده نرم افزار آنتی ویروس تحت شبکه ملی به لینک زیر مراجعه فرمائید
آنتی ویروس تحت شبکه ملی