علاقمند به باگ بانتی ، توسعه اکسپلویت و ابزارهای امنیتی و دنیای آبی
گزارش Mandiant از افزایش استفاده از زیرودی ها در سال 2021
اخیرا Mandiant گزارشی رو منتشر کرده که در اون به آنالیز و بررسی زیرودی های استفاده شده در سال 2021 پرداخته. طبق این گزارش سال 2021 از لحاظ زیرودی یکی از سالهای پربار بوده.
طبق بررسی Mandiant ،در سال 2021 تعداد اکسپلویتهای زیرودیی که استفاده شده 80 مورد بوده که دو برابر رکورد قبلی در سال 2019 هستش.
گروههای تحت حمایت دولتها بیشترین استفاده کننده از این آسیب پذیریها بودن و در بین این گروهها چین بالاترین استفاده رو داشته.نسبت بازیگران با انگیزه مالی به ویژه گروههای باجافزاری که از اکسپلویتهای زیرودی استفاده میکنند نیز به طور قابلتوجهی رشد کرده و تقریباً از هر 3 بازیگر شناساییشده در سال 2021 که از اکسپلویت زیرودی استفاده میکردن، یکیشون انگیزه مالی داشته.
بازیگران تهدید اغلب از زیرودی در محصولات مایکروسافت، اپل و گوگل استفاده کردند که احتمالاً نشان دهنده محبوبیت این شرکتهاست. افزایش گسترده اکسپلویتهای زیرودی در سال 2021، و همچنین تنوع بازیگرانی که از اونا استفاده می کنند، سبد ریسک را برای سازمان ها تقریبا در هر بخش صنعت و جغرافیایی، به ویژه سازمان هایی که به این سیستم های محبوب متکی هستند،افزایش داده.
دامنه تحقیق :
این شرکت بیش از 200 آسیبپذیری زیرودی رو که از سال 2012 تا 2021 مورد اکسپلویت قرار گرفتهاند، تجزیه و تحلیل کرد. Mandiant یک آسیبپذیری رو زیرودی میدونه که قبل از در دسترس قرار گرفتن وصلهای برای عموم، مورد اکسپلویت قرار گرفته باشه. این اکسپلویتهای زیرودی از تحقیقات اصلی Mandiant، یافتههای تحقیقات نقض، و منابع عمومی، با تمرکز بر زیرودیهایی که توسط گروههای شناخته شده مورد استفاده قرار گرفتن ، بررسی شده. این منابع همانطور که در این تحلیل استفاده شده قابل اعتماد هستند، اما یافته های برخی منابع رو نتونستن تایید کنن. با توجه به کشف مداوم حوادث گذشته از طریق تحقیقات فارنزیک، انتظار میره که این تحقیقات پویا باقی بمونه و ممکنه در آینده تکمیل بشه.
اکسپلویتهای زیرودی در سال 2021 به بالاترین حد خود رسید
همانطور که در شکل زیر مشاهده میکنید، اکسپلویتهای زیرودی از سال 2012 تا 2021 افزایش یافته ، و انتظار میره تعداد زیرودی های مورد اکسپلویت در هر سال همچنان به رشد خود ادامه بده. تا پایان سال 2021، 80 زیرودی شناسایی شده که بیش از دو برابر رکورد قبلی در سال 2019 هستش که 32 مورد بود.
عوامل مختلفی منجر به رشد اکسپلویتهای زیرودی شدن. به عنوان مثال، حرکت به سمت فناوریهای میزبانی ابری، تلفن همراه و اینترنت اشیاء (IoT) ، حجم و پیچیدگی سیستمها و دستگاههای متصل به اینترنت افزایش داده، به زبان ساده، نرمافزار بیشتر منجر به نقصهای نرمافزاری بیشتر میشه. گسترش بازار واسط های اکسپلویت نیز احتمالاً به این رشد کمک می کنه، زیرا منابع بیشتری به سمت تحقیق و توسعه زیرودی ، هم توسط شرکت های خصوصی و محققان و هم بازیگران تهدید اختصاص داده میشه. در نهایت، دفاع پیشرفته احتمالاً به مدافعان این امکان رو میده که اکنون نسبت به سالهای گذشته، اکسپلویتهای زیرودی بیشتری رو شناسایی کنند، و سازمانهای بیشتری ، پروتکلهای امنیتی رو برای کاهش خطرات از طریق بردارهای حمله ، استفاده میکنن.
گروههای تحت حمایت دولت همچنان بیشترین استفاده کننده هستند، اما اکسپلویتهای زیرودی با انگیزه مالی نیز در حال رشد است
گروههای جاسوسی تحت حمایت دولت ها همچنان بازیگران اصلی هستند که از آسیبپذیریهای زیرودی استفاده میکنن، اگرچه نسبت بازیگران با انگیزه مالی که از این اکسپلویتها استفاده میکنن هم ،در حال افزایشه . از سال 2014 تا 2018، مشاهده شده که تنها بخش کوچکی از بازیگران با انگیزه مالی از آسیبپذیریهای زیرودی استفاده میکردن، اما تا سال 2021، تقریباً یک سوم از کل بازیگران شناساییشده ، انگیزه مالی داشتن. همانطور که اشاره شد بازیگران تهدید جدیدی هم از زیرودی ها استفاده میکنن، اما هنوز اطلاعات کافی در مورد برخی از این بازیگران برای ارزیابی انگیزه شان وجود نداره.
گروههای چینی همچنان بیشترین استفاده کننده اکسپلویتهای زیرودی
مطابق با تحلیل قبلی ، در سال 2021 ، بیشترین حجم زیرودیهای مورد استفاده توسط گروه های مظنون به جاسوسی سایبری چینی بودند و بعد از چینی ها ، بازیگران تهدید از روسیه و کره شمالی به طور فعال از زیرودی ها در سال 2021 استفاده کردند . از سال 2012 تا 2021، چین بیش از هر کشور دیگه از زیرودی استفاده کرده. با این حال، شاهد افزایش تعداد کشورهایی هستیم که احتمالاً از زیرودیها استفاده می کنند، به ویژه در چند سال گذشته، و حداقل 10 کشور جداگانه احتمالاً از سال 2012 از این آسیب پذیریها استفاده کرده اند.
از ژانویه تا مارس 2021، Mandiant چندین فعالیت جاسوسی چینی رو مشاهده کرده که از چهار آسیبپذیری سرور Exchange که به عنوان آسیبپذیری ProxyLogon شناخته میشدند، استفاده کرده. مایکروسافت فعالیت های مرتبط با این کمپین را به عنوان "Hafnium" نامگذاری کرد.
در حالی که به نظر می رسید برخی از بازیگران تهدید ، اهداف را با دقت انتخاب می کنند، برخی دیگر ده ها هزار سرور را تقریباً در هر جا و منطقه ای به خطر می انداختن.
عملیات جاسوسی سایبری چین در سالهای 2020 و 2021 نشان میده که پکن دیگه با اظهارات رسمی دولت و کیفرخواستهای کشورهای قربانی ، بازدارندگی نداره و علاوه بر احیای مجدد گروههای غیر فعال جاسوسی سایبری که توسط وزارت دادگستری ایالات متحده (DOJ) متهم شده بودند ، گروههای جاسوسی چینی به طور فزایندهای گستاختر هم شدن.
از سالهای 2016 تا 2017، هیچ زیرودی که توسط APT28 تحت حمایت روسیه مورد استفاده قرار گرفته باشه شناسایی نشده تا زمانی که اونا احتمالاً در اواخر سال 2021 از یک زیرودی در مایکروسافت اکسل استفاده کردند. با این حال، گزارشهای عمومی نشون داد که سایر گروههای وابسته به روسیه چندین زیرودی در سالهای 2020 و 2021، از جمله در طول فعالیت احتمالی TEMP.Isotope روسی که احتمالاً شبکههای زیرساختی حیاتی را با یک زیرودی در محصول فایروال Sophos هدف قرار میدهد، مورد اکسپلویت قرار دادن.
فروشندگان شخص ثالث به واسطهای اکسپلویت مهم تبدیل شده اند
از اواخر سال 2017، Mandiant افزایش قابل توجهی را در تعداد زیرودیهای استفاده شده توسط گروههایی که شناخته شده یا مشکوک به مشتریان شرکتهای خصوصی هستند که ابزار و خدمات سایبری تهاجمی عرضه میکنند، مشاهده کرده .
اونا حداقل شش آسیبپذیری زیرودی شناسایی کردن که در سال 2021 به طور بالقوه توسط فروشندگان بدافزار مورد استفاده قرار گرفته، از جمله یکی از اونا که طبق گزارشها در ابزارهای توسعهیافته توسط دو فروشنده جداگانه مورد استفاده قرار گرفتن. در سال 2021، حداقل پنج آسیبپذیری زیرودی توسط یک فروشنده تجاری اسرائیلی مورد استفاده قرار گرفت.
بهره برداری روز صفر مرتبط با عملیات باج افزار
از سال 2015، شاهد کاهش شدید آسیبپذیریهای زیرودی موجود در کیتهای اکسپلویت مجرمانه بودیم که احتمالاً به دلیل عوامل متعددی از جمله دستگیری توسعهدهندگان برجسته بود. با این حال، از زمانی که مجرمان زیرزمینی در عملیات باجافزار شرکت میکنن، از سال 2019 شاهد افزایش آلودگیهای باجافزاری بودیم که از آسیبپذیریهای زیرودی استفاده میکردند. این روند ممکنه نشوندهنده این باشه که این گروههای باجافزار پیچیده شروع به جذب یا خرید مهارتهای لازم برای اکسپلویت زیرودیهایی میکنن، که ممکنه قبلاً برای کیتهای اکسپلویت توسعه داده می شدن.
شرکت Mandiant رشد قابل توجهی رو در باج افزار از نظر کمیت و تأثیر مستند کرده . سود قابل توجه و همچنین افزایش تقسیم کاری، برونسپاری و اکوسیستم حرفهای که باجافزار پشتیبانی میکنه، باعث شده دو مسیر قابل دوام،منابع مالی و پیچیدگی بازیگر، برای توسعه و/یا کسب اکسپلویتهای زیرودی برای اپراتورهای باج افزارها فراهم بشه.
حداقل دو مورد مشاهده شده که در اون عوامل تهدید مختلف ، از نقصهای دستگاههای VPN جداگانه ، برای دسترسی به شبکههای قربانی و متعاقباً اجرای باجافزار در سال 2021 استفاده کردن.
فروشندگان محبوب، اهداف محبوبی برای اکسپلویتهای زیرودی هستند
زیرودی ها از 12 شرکت مختلف در سال 2021 تجزیه و تحلیل شدن و در بین این شرکتها ، مایکروسافت، اپل و گوگل 75 درصد از کل آسیبپذیریهای زیرودی رو شامل میشن ، که احتمالاً به دلیل محبوبیت این محصولات در بین شرکتها و کاربران در سراسر جهانه. تهدید ناشی از اکسپلویت از این ارائه دهندگان عمده با توجه به محبوبیت آنها همچنان قابل توجه . علاوه بر این، تنوع رو به رشدی در شرکتهایی که هدف قرار میگیرند مشاهده شده، که میتونه اولویتبندی پچها را پیچیدهتر کنه و کار را برای سازمانهایی که نمیتونن تنها بر یک یا دو شرکت به عنوان اولویت تمرکز کنند، دشوارتر کنه.
از سال 2012 تا 2017، Adobe دومین شرکت آسیب پذیر به این زیرودی ها بوده که تقریباً 20 درصد از تمام زیرودی ها اختصاص به Adobe Flash داشته. از زمانی که اعلام شد، فلش به پایان عمر خود رسیده شاهد کاهش قابل توجهی در اکسپلویتهای Adobe شد
دورنما
همانطور که اشاره شد کمپینهای مهم مبتنی بر اکسپلویتهای زیرودی به طور فزایندهای برای طیف گستردهتری از بازیگران با حمایت دولتی و با انگیزه مالی قابل دسترسه، از جمله بدلیل افزایش فروشندگانی که اکسپلویتها را میفروشند و عملیات باجافزار پیچیدهای که به طور بالقوه در حال توسعه اکسپلویتهای سفارشی هستند. افزایش قابل توجه اکسپلویت آسیب پذیری های زیرودی، به ویژه در سال 2021، سبد ریسک را برای سازمان ها تقریباً در هر بخش صنعتی و جغرافیایی افزایش میده. در حالی که اکسپلویت ها در سال 2021 به اوج خود رسیدن، نشانه هایی وجود داره که سرعت اکسپلویت از زیرودی های جدید در نیمه دوم سال کاهش یافته . با این حال، اکسپلویتهای زیرودی همچنان در مقایسه با سال های گذشته با نرخ بالاتری در حال توسعه هستن.
پیامدهای اولویت بندی پچ
بسیاری از سازمانها برای به حداقل رساندن خطرات اکسپلویتها، اقدام به اولویتبندی مؤثر وصلهها میکنن. ما بر این باوریم که برای سازمانها مهمه که یک استراتژی دفاعی بسازند که انواع تهدیدهایی را که به احتمال زیاد محیط اونارو تحت تأثیر قرار میده و تهدیدهایی که میتونن بیشترین آسیب را ایجاد کنند، اولویتبندی کنن، که با تعداد نسبتاً کمتری از آسیبپذیریهای فعال شروع میشه. وقتی سازمانها تصویر روشنی از طیف بازیگران تهدید، خانوادههای بدافزارها، کمپینها و تاکتیکهایی داشته باشند که بیشترین ارتباط را با سازمانشون داره، زمانی که این تهدیدها با اکسپلویتهای فعال از آسیبپذیریها مرتبط باشن، میتونن تصمیمات اولویتبندی دقیقتری اتخاذ کنند. یک آسیبپذیری با ریسک پایینتر که به طور فعال علیه سازمان شما یا سازمانهای مشابه مورد استفاده قرار میگیره، احتمالاً تأثیر بالقوهتری برای شما نسبت به آسیبپذیری با رتبه بالاتری که به طور فعال مورد اکسپلویت قرار نمیگیرد، داره. دستورالعمل های جدید CISA تمرکز قابل توجهی بر آسیبپذیریهایی داره که طبق گزارشها بطور فعال مورد استفاده قرار میگیرن. ما معتقدیم که این به افزایش وضعیت امنیتی و تقویت رویه های مدیریت پچ کمک می کنه.
در حالی که اکسپلویتهای زیرودی در حال گسترشه، عوامل مخرب نیز به استفاده از آسیب پذیری های شناخته شده، اغلب بلافاصله پس از افشای اونا، ادامه میدن. بنابراین، امنیت ممکنه با تداوم ترکیب درسهایی از تارگتهای گذشته و درک شکاف استاندارد بین افشا و اکسپلویت بهبود پیدا کنه. علاوه بر این، حتی اگر سازمانی نتونه اقدامات کاهشی را قبل از اینکه هدفی رخ بده داشته باشه، همچنان میتونه بینش بیشتری در مورد فوریتهایی که این سیستمها باید با آن اصلاح بشن، ارائه بده. تأخیر در پچ کردن تنها این خطر را تشدید میکنه که سازمانی که از نرمافزارهای اصلاحنشده یا عدم استفاده از اقدامات کاهشی پشتیبانی میکنه، تحت تأثیر قرار خواهد گرفت.
دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام
اولین شماره از نشریه تخصصی امنیت سایبری با موضوعات مختلف و بروز
مطلبی دیگر از این انتشارات
چرا طراحی سایت ریسپانسیو؟
مطلبی دیگر از این انتشارات
اشتباه، کمالگرایی و پروژه های ناتمام یا شکست خورده ...
مطلبی دیگر از این انتشارات
چطور یک اپلیکیشن با چند زبان نوشته میشود؟