یکی از اصلیترین تکنیکهای مهاجمان برای رخنه به شبکه اهداف خود، اکسپلویت آسیبپذیری سیستمهای عامل، نرمافزارها یا سامانههای بکار رفته در سازمان قربانی است.
آسیبپذیری چیست؟
آسیبپذیری اشکالی در کد نرمافزار است که سوءاستفاده از آن موجب نقض یک یا چند مورد از موارد زیر در سامانه یا فعالیتی مبتنی بر فناوری اطلاعات میشود:
- محرمانگی (Confidentiality)
- یکپارچگی (Integrity)
- دردسترسپذیری (Availability)
برای مثال، اکسپلویت یک آسیبپذیری از نوع Remote Code Execution یا همان RCE توسط مهاجم، او را قادر به اجرای از راه دور کد از طریق آن نرم افزار آسیبپذیر میکند.
وجود حتی یک سامانه آسیبپذیر در سازمان، به خصوص اگر بر روی اینترنت قابل دسترس باشد بستر را برای نفوذ آسان مهاجم به شبکه یا توزیع بدافزار فراهم میکند.
به طور معمول شرکت سازنده نرمافزار پس از اطلاع از وجود آسیبپذیری در محصول خود اقدام به انتشار بهروزرسانی یا اصلاحیه برای ترمیم آن میکند. حتی بعضی شرکتها همچون مایکروسافت و ادوبی برای عرضه اصلاحیه زمانبندی مشخصی دارند و بهصورت دورهای (سهشنبه دوم هر ماه میلادی) اقدام به انجام آن میکنند.
بیتوجهی برخی راهبران به اعمال بهروزرسانی/اصلاحیه سبب اثربخشی بالای اکسپلویت آسیبپذیریهای امنیتی توسط هکرها شده است.
اما وجود آسیبپذیری تنها محدود به نرمافزارهای معتبر نیست. بدافزارها نیز مانند هر نرمافزار دیگر میتوانند حاوی باگ یا کدی آسیبپذیر باشند.
برای مثال، در مواردی محققان موفق به کشف ضعفی در نمونههایی از باجافزارها شدهاند که اکسپلویت آن امکان رمزگشایی فایلهای رمزشده توسط آن باجافزارها را ممکن کرده است.
پروژهای با تمرکز بر روی آسیبپذیری بدافزارها
Malvuln عنوان پروژهای است که بهطور خاص بر روی کشف آسیبپذیری بدافزارها تمرکز دارد.
از جمله اطلاعاتی که در وبسایت آن میتوان یافت نوع آسیبپذیری، تاریخ کشف، هش فایل، PoC و دمویی ویدئویی از نحوه اکسپلویت بدافزارهای بررسیشده است.
بر اساس اطلاعات ارائهشده از سوی Malvuln تعداد زیادی از باجافزارهای صاحبنام و فعال این روزها دارای آسیبپذیری DLL Hijacking هستند.
آسیبپذیری DLL Hijacking ضعفی است که بهرهجویی از آن امکان تزریق کد دلخواه مهاجم را در برنامه فراهم میکند. DLL Hijacking تنها در سیستم عامل Windows مطرح است. در DLL Hijacking فرایند جستجو و فراخوانی فایلهای Dynamic Link Library در حافظه برنامه آسیب پذیر مورد سوءاستفاده قرار میگیرد.
اکسپلویت DLL Hijacking در یک باجافزار آسیبپذیر میتواند به نحوی به توقف رمزگذار آن منجر شود.
مطالعه اطلاعات مفید ارائهشده در www.malvuln.com به تمامی علاقمندان به حوزه امنیت فناوری اطلاعات بهخصوص تحلیلگران بدافزار توصیه میشود. ذکر این نکته ضروری است که احتمالاً نویسندگان بدافزارهای بررسیشده اگر تا حالا هم آسیبپذیریهای مربوطه را ترمیم نکرده باشند در آیندهای نزدیک این باگها را برطرف خواهند کرد.