امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۱۶ آبان ۱۴۰۴

🕒 زمان مطالعه: حدود ۲۱ دقیقه

تا به حال فکر کرده‌اید که بزرگترین تهدید امنیتی برای شرکت شما ممکن است یک ایمیل کاری معمولی یا یک آپدیت نرم‌افزاری به نظر برسد؟ دنیای تهدیدات سایبری با سرعتی باورنکردنی در حال حرکت است، اما جالب‌ترین و شاید ترسناک‌ترین روندهای آن، درست جلوی چشم ما و در فعالیت‌های روزمره پنهان شده‌اند. دوران بدافزارهای پرسروصدا و پرچم‌دار به سر آمده؛ مهاجمان امروزی استاد استتار و بازی در نقش یک کارمند عادی شده‌اند. هدف این مقاله، پرده‌برداری از ۱۰ نکته شگفت‌انگیز و تأثیرگذار از آخرین تحقیقات و رویدادهای امنیتی است که به زبانی ساده و قابل فهم برای همه ارائه می‌شود. آماده باشید تا با هم نگاهی به پشت پرده این دنیای پیچیده بیندازیم.

آنچه در این مطلب می‌خوانید

۱. بهترین مخفیگاه جدید هکرها: در دیدرس همه! – بدافزار HazyBeacon – بدافزار Squidoor – استفاده از AWS Lambda و API Outlook برای C2

در دنیای حملات سایبری مدرن، پنهان ماندن همه‌چیز است. مهاجمان دریافته‌اند که استفاده از بدافزارهای آشکار و پرسروصدا، مانند روشن کردن یک چراغ قوه در اتاقی تاریک است؛ دیر یا زود شناسایی می‌شوند. به همین دلیل، استراتژی آن‌ها به سمت «پنهان شدن در دیدرس همه» تغییر کرده است. آن‌ها دیگر در سایه‌ها پنهان نمی‌شوند، بلکه با ترافیک شبکه شما درآمیخته و خود را شبیه به فعالیت‌های عادی و قانونی جلوه می‌دهند.

این رویکرد هوشمندانه در چندین حمله اخیر به وضوح دیده شده است:

  • استفاده از سرویس‌های ابری معتبر: محققان Palo Alto Networks (Unit 42) در گزارشی از یک بدافزار جدید به نام “HazyBeacon” پرده برداشتند. این بدافزار برای ارتباط با سرور فرماندهی و کنترل (C2) خود از URLهای AWS Lambda استفاده می‌کند. از آنجایی که ترافیک AWS در شبکه‌های سازمانی امری کاملاً عادی است، این ارتباطات مخرب به سادگی در میان انبوهی از فعالیت‌های قانونی گم می‌شوند.
  • پنهان شدن در ایمیل‌ها: یک بدافزار پیشرفته‌تر به نام “Squidoor”، که آن هم توسط Unit 42 تحلیل شده، این تکنیک را یک قدم فراتر برده است. این بدافزار می‌تواند از پروتکل‌های مختلفی برای ارتباط C2 استفاده کند، از جمله API مایکروسافت Outlook، تونل‌زنی DNS و ICMP. این یعنی مهاجمان می‌توانند دستورات خود را به شکل یک ایمیل معمولی یا یک درخواست عادی شبکه ارسال کنند و از دید ابزارهای امنیتی پنهان بمانند.
  • تقلید از فایل‌های سیستمی: این ایده در چارچوب معروف MITRE ATT&CK® نیز تحت عنوان تکنیک T1036.005 یا “تطبیق نام یا مکان منابع قانونی” مستند شده است. مثال‌های ساده و در عین حال مؤثری از این تکنیک، تغییر نام بدافزار به نام‌های آشنایی مانند svchost.exe یا update.exe است تا با فرآیندهای قانونی ویندوز اشتباه گرفته شود.

“بذار خلاصه بگم 👇” هکرها دیگر از ابزارهای عجیب و غریب استفاده نمی‌کنند؛ بلکه با استفاده از سرویس‌های معتبری مثل AWS و Outlook یا با تغییر نام فایل‌هایشان به اسم فایل‌های سیستمی، خود را در شبکه شما پنهان می‌کنند تا شناسایی نشوند.

این تکنیک‌های پنهان‌کاری، کار را برای ابزارهای دفاعی که روی سیستم‌های ما نصب شده‌اند، بسیار دشوار می‌کند.

۲. نگهبانان در محاصره: وقتی ابزارهای دفاعی خود به هدف تبدیل می‌شوند – فرار از EDR

راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) به یکی از ستون‌های اصلی امنیت مدرن تبدیل شده‌اند. آن‌ها مانند نگهبانان همیشه بیداری هستند که روی هر سیستم نظارت می‌کنند. اما چه اتفاقی می‌افتد وقتی هدف اصلی مهاجمان، خودِ این نگهبانان باشند؟ این روزها شاهد ظهور ابزارهایی هستیم که به‌طور خاص برای خنثی کردن EDRها طراحی شده‌اند؛ درست مانند سارقی که قبل از ورود، دوربین‌های امنیتی را از کار می‌اندازد.

این ابزارها رویکردهای هوشمندانه‌ای برای از کار انداختن سیستم‌های دفاعی دارند:

  • کور کردن EDR با تغییر مسیر: ابزاری به نام “EDR-Redir” که در گیت‌هاب توسط TwoSevenOneT منتشر شده، روشی بسیار هوشمندانه دارد. این ابزار به جای تلاش برای از بین بردن فرآیند EDR، از یک درایور فیلتر کوچک در ویندوز (bindflt.sys) استفاده می‌کند تا پوشه کاری EDR را به مکانی دیگر هدایت کند یا آن را خراب نشان دهد. این کار عملاً EDR را کور می‌کند، بدون اینکه فرآیند آن متوقف شود. این روش روی EDRهای بزرگی مانند CrowdStrike و Sophos با موفقیت آزمایش شده است.
  • قطع ارتباط EDR با مرکز فرماندهی: ابزار دیگری به نام “SilentButDeadly” که توسط loosehose در گیت‌هاب قرار داده شده، رویکرد متفاوتی دارد. این ابزار با استفاده از پلتفرم فیلترینگ ویندوز (WFP)، ارتباط شبکه EDR با سرورهای ابری‌اش را مسدود می‌کند. این کار باعث می‌شود EDR نتواند گزارش‌های تله‌متری را ارسال کند یا اطلاعات تهدیدات جدید را دریافت کند و عملاً نقطه پایانی را از مرکز فرماندهی خود جدا می‌کند.
  • محافظت از حافظه در سطح کرنل: در کنار این ابزارهای تهاجمی، ابزارهای دفاعی مکمل نیز در حال توسعه هستند. برای مثال، “Keeper Forcefield” در سطح کرنل سیستم‌عامل عمل می‌کند تا از خواندن اطلاعات حساس (مانند رمزهای عبور و توکن‌های جلسه) توسط بدافزارها به صورت مستقیم از حافظه برنامه‌های محافظت‌شده جلوگیری کند؛ یک مسیر حمله که ممکن است برخی EDRها را دور بزند.

“بذار خلاصه بگم 👇” هکرها ابزارهای جدیدی ساخته‌اند که مستقیماً به جان EDR (نرم‌افزار امنیتی روی سیستم شما) می‌افتند. این ابزارها یا مسیر فایل‌های EDR را عوض می‌کنند تا کور شود، یا ارتباطش با اینترنت را قطع می‌کنند تا نتواند گزارش دهد.

با این حال، تهدیدات همیشه از بیرون و علیه نرم‌افزارها نیستند. گاهی خطرناک‌ترین تهدیدات از درون سازمان و از سوی افراد مورد اعتماد نشأت می‌گیرند.

۳. تماس از داخل ساختمان برقرار شده: وقتی خودی‌ها دشمن می‌شوند – تهدید داخلی – باج‌افزار BlackCat

ما اغلب هکرها را افرادی ناشناس در کشورهای دوردست تصور می‌کنیم، اما گاهی اوقات مخرب‌ترین حملات از جانب افراد مورد اعتمادی صورت می‌گیرد که دسترسی‌های سطح بالایی دارند. یک کیفرخواست تکان‌دهنده از سوی دادستان‌های ایالات متحده، این واقعیت تلخ را به خوبی نشان می‌دهد.

بر اساس گزارشی از The Hacker News، سه شهروند آمریکایی متهم شده‌اند که در حملات باج‌افزار معروف BlackCat دست داشته‌اند. نکته شگفت‌انگیز داستان اینجاست:

  • یکی از متهمان، مدیر پاسخ به حوادث در شرکت امنیت سایبری Sygnia بوده و دو نفر دیگر به عنوان مذاکره‌کننده تهدیدات باج‌افزاری در شرکت DigitalMint فعالیت می‌کردند.
  • این افراد متهم هستند که با سوءاستفاده از دانش تخصصی خود، به شرکت‌هایی از جمله یک شرکت تجهیزات پزشکی و یک شرکت داروسازی حمله کرده‌اند.
  • در یکی از حملات، آن‌ها از شرکت تجهیزات پزشکی ۱۰ میلیون دلار باج درخواست کرده بودند که در نهایت منجر به پرداخت حدود ۱.۲۷ میلیون دلار شد.

این ماجرا یک خیانت عمیق به اعتماد را به تصویر می‌کشد؛ متخصصان امنیت سایبری که قرار بود از سازمان‌ها دفاع کنند، از دانش خود در زمینه پاسخ به حوادث و تاکتیک‌های مذاکره برای ثروتمند شدن از طریق اخاذی استفاده کرده‌اند.

“بذار خلاصه بگم 👇” یک داستان واقعی و تکان‌دهنده: دادستان‌های آمریکا سه نفر را متهم کرده‌اند که با باج‌افزار BlackCat حمله می‌کردند. نکته عجیب اینجاست که این افراد خودشان متخصص امنیت سایبری بودند و از دانش خود برای اخاذی استفاده می‌کردند!

این حادثه یادآوری تلخی است که مهاجمان از هر سیستم قابل اعتمادی برای رسیدن به اهداف خود سوءاستفاده خواهند کرد—از تخصص کارشناسان امنیتی گرفته تا خودِ سرویس‌های ابری که کسب‌وکارهای مدرن را به پیش می‌برند.

۴. زمین بازی جدید هکرها: سرویس‌های ابری شما – استفاده از API Outlook برای C2

با مهاجرت روزافزون سازمان‌ها به سمت سرویس‌های ابری، فرصت‌های جدیدی برای مهاجمان ایجاد شده است. اعتماد و استفاده گسترده از این سرویس‌ها، آن‌ها را به پوششی عالی برای فعالیت‌های مخرب تبدیل کرده است. گزارش‌های اخیر Unit 42 به خوبی نشان می‌دهد که چگونه مهاجمان از پلتفرم‌های ابری قانونی سوءاستفاده می‌کنند.

  • فرماندهی و کنترل از طریق توابع بدون سرور (Serverless): همانطور که پیش‌تر اشاره شد، بدافزار “HazyBeacon” از AWS Lambda برای ارتباط C2 استفاده می‌کند. این یک نمونه بارز از سوءاستفاده از توابع بدون سرور برای فرماندهی بدافزار است که شناسایی آن بسیار دشوار است.
  • سرقت داده‌ها با استفاده از سرویس‌های اشتراک فایل: همان گروه و همچنین گروه پشت بدافزار “Squidoor”، از سرویس‌های اشتراک فایل محبوبی مانند گوگل درایو و دراپ‌باکس برای سرقت داده‌ها (Exfiltration) استفاده کرده‌اند. این روش بسیار مؤثر است، زیرا انتقال داده‌های مخرب با ترافیک عادی و روزمره یک سازمان که کارمندانش دائماً در حال آپلود و دانلود فایل هستند، ترکیب می‌شود.
  • دستورات مخفی در پیش‌نویس ایمیل: بدافزار “Squidoor” از یک روش بسیار خلاقانه دیگر نیز استفاده می‌کند: API مایکروسافت Outlook به عنوان یک کانال C2. این روش مانند این است که مهاجمان دستورات مخفی خود را در پوشه “پیش‌نویس” (Drafts) یک حساب ایمیل قرار می‌دهند و بدافزار به‌طور دوره‌ای به آن سر می‌زند، دستورات را می‌خواند، اجرا می‌کند و سپس ایمیل پیش‌نویس را پاک می‌کند.

“بذار خلاصه بگم 👇” هکرها از سرویس‌های ابری معروفی مثل گوگل درایو، دراپ‌باکس و حتی ایمیل Outlook برای فرمان دادن به بدافزارها و دزدیدن اطلاعات استفاده می‌کنند. چون این ترافیک‌ها شبیه کارهای روزمره کارمندان است، شناسایی آن‌ها بسیار سخت می‌شود.

سوءاستفاده مهاجمان تنها به سرویس‌های سطح بالای ابری محدود نمی‌شود؛ آن‌ها حتی ابزارهای سیستمی سطح پایین و کمتر شناخته‌شده را نیز به سلاح تبدیل می‌کنند.

۵. وقتی ابزار دیباگ به سلاح تبدیل می‌شود – LOLBAS – سوءاستفاده از دیباگر مایکروسافت

یکی از هوشمندانه‌ترین تکنیک‌های مهاجمان، استفاده از ابزارهای قانونی و از پیش نصب‌شده روی خود سیستم‌عامل برای اهداف مخرب است. این روش که با نام “Living-off-the-Land Binaries and Scripts” (LOLBAS) شناخته می‌شود، شناسایی فعالیت‌های مخرب را بسیار دشوار می‌کند، زیرا هیچ بدافزار جدیدی روی سیستم نصب نمی‌شود. این یادآور آن است که برای یک مهاجم مصمم، هر ابزاری یک سلاح بالقوه است—به خصوص آن‌هایی که بهشان اعتماد دارید.

یک نمونه شگفت‌انگیز از این تکنیک توسط محققان Unit 42 در تحلیل بدافزار “Squidoor” کشف شد:

  • مهاجمان از cdb.exe، که دیباگر کنسول مایکروسافت (Microsoft Console Debugger) است، استفاده کرده بودند. این ابزار برای توسعه‌دهندگان و برنامه‌نویسان طراحی شده است.
  • آن‌ها با هوشمندی نام این ابزار را تغییر داده بودند (مثلاً به fontdrvhost.exe) و از آن برای بارگذاری و اجرای کدهای مخرب (Shellcode) خود به صورت مستقیم در حافظه سیستم استفاده کردند.
  • نکته قابل توجه این است که همانطور که در گزارش اشاره شده، اگرچه این یک تکنیک LOLBAS شناخته‌شده است، اما به ندرت در حملات واقعی دیده می‌شود. این موضوع نشان‌دهنده سطح بالای پیچیدگی و خلاقیت این گروه از مهاجمان است.

“بذار خلاصه بگم 👇” هکرها برای اجرای کدهای مخرب خود، از ابزارهای قانونی خود ویندوز که برای برنامه‌نویسان طراحی شده، سوءاستفاده می‌کنند. مثلاً در یک حمله اخیر، از ابزار دیباگ مایکروسافت (cdb.exe) برای بارگذاری بدافزار در حافظه سیستم استفاده کردند؛ یک حرکت بسیار هوشمندانه و نادر.

از یک ابزار خاص که بگذریم، گاهی یک آسیب‌پذیری سیستمی در کل شبکه می‌تواند دروازه‌ای برای فاجعه باشد.

۶. گواهی طلایی: بزرگترین آسیب‌پذیری شما شاید مرکز صدور گواهی شما باشد! – آسیب‌پذیری ESC1 – سرویس صدور گواهی دیجیتال مایکروسافت (ADCS)

زیرساخت کلید عمومی (PKI) و سرویس‌های گواهی اکتیو دایرکتوری (ADCS) اساس اعتماد در شبکه‌های سازمانی هستند. این سیستم‌ها هویت کاربران و دستگاه‌ها را تأیید می‌کنند. اما اگر این مرکز اعتماد به خطر بیفتد، مانند این است که یک نفر بتواند شاه‌کلید تمام قلمرو شما را جعل کند و کل مدل امنیتی می‌تواند از هم بپاشد.

یک آسیب‌پذیری حیاتی در ADCS که با نام ESC1 شناخته می‌شود و در وبلاگ Black Hills Information Security به تفصیل شرح داده شده، دقیقاً همین خطر را نشان می‌دهد:

  • آسیب‌پذیری به زبان ساده: یک پیکربندی نادرست خاص در یک الگوی گواهی (Certificate Template) به هر کاربر با سطح دسترسی پایین (مثلاً کاربری به نام ‘billy’ در مثال مقاله) اجازه می‌دهد تا یک گواهی دیجیتال به نمایندگی از هر کاربر دیگری، از جمله یک مدیر دامنه (Domain Administrator)، درخواست کند.
  • تأثیر فاجعه‌بار: این آسیب‌پذیری به مهاجم اجازه می‌دهد تا در یک لحظه، سطح دسترسی خود را از یک کاربر عادی به مدیر کل شبکه ارتقا دهد، تنها با دریافت یک گواهی به نام مدیر.
  • ترسناک‌ترین بخش ماجرا (ماندگاری): همانطور که در مقاله اشاره شده، این دسترسی می‌تواند برای مدتی بسیار طولانی باقی بماند.

“This means that we will have access to DA Dan’s account for the next five years, regardless of any password changes. We can also renew the certificate before the expiration date to maintain access to the account.”

ابزاری به نام Certipy می‌تواند برای پیدا کردن و بهره‌برداری از این آسیب‌پذیری استفاده شود.

“بذار خلاصه بگم 👇” یک اشتباه کوچک در تنظیمات سرویس صدور گواهی دیجیتال مایکروسافت (ADCS) می‌تواند به یک کاربر عادی اجازه دهد تا هویت مدیر شبکه را جعل کرده و کنترل کامل شبکه را به دست بگیرد. بدتر اینکه این دسترسی می‌تواند تا سال‌ها، حتی با تغییر رمز عبور مدیر، باقی بماند!

در حالی که چنین آسیب‌پذیری‌هایی در سیستم‌های مدیریت‌شده سازمانی وجود دارند، ریسک بزرگ دیگری از سمت دستگاه‌های مدیریت‌نشده ما را تهدید می‌کند.

۷. آن ۶۵ درصد نادیده گرفته شده: خطر دستگاه‌های هوشمند اطراف ما – امنیت دستگاه‌های IoT

در حالی که امنیت سنتی بر روی سرورها و لپ‌تاپ‌ها متمرکز بود، شبکه‌های مدرن امروزی مملو از دستگاه‌های متصل به اینترنت (IoT) هستند که اغلب نادیده گرفته می‌شوند. از دوربین‌های مداربسته و پرینترها گرفته تا تلفن‌های VoIP و سیستم‌های کنترل دسترسی فیزیکی، این دستگاه‌های “هوشمند” به سرعت در حال افزایش هستند.

یک گزارش جدید از Forescout Research به نام “تصویری با اشعه ایکس از شبکه‌های مدرن” که در بیانیه مطبوعاتی معرفی محصول eyeSentry به آن استناد شده، آماری تکان‌دهنده را فاش می‌کند:

A new report from Forescout Research – Vedere Labs… found that 65% of connected assets across organizations are no longer traditional IT devices.

این ۶۵ درصد شامل چه دستگاه‌هایی است؟

  • دستگاه‌های IoT: مانند دوربین‌های IP، تلفن‌های VoIP، پرینترها و حتی سیستم‌های کنترل دسترسی فیزیکی.
  • دستگاه‌های پزشکی متصل (IoMT): در بخش بهداشت و درمان.

اهمیت این آمار در این است که این دستگاه‌ها نقاط کور امنیتی عظیمی ایجاد می‌کنند. چرا؟ چون اغلب نمی‌توانند نرم‌افزارهای امنیتی سنتی (ایجنت‌ها) را اجرا کنند و اسکنرهای آسیب‌پذیری استاتیک نیز آن‌ها را نادیده می‌گیرند. این ویژگی‌ها آن‌ها را به نقاط ورود پنهانی و عالی برای مهاجمان تبدیل می‌کند. گزارش اشاره می‌کند که مهاجمان در حال سوءاستفاده از این دستگاه‌ها هستند؛ مثلاً سنسورهای ساختمان را به دستگاه‌های شنود تبدیل می‌کنند یا از دوربین‌های IP برای حرکت جانبی در شبکه استفاده می‌کنند.

“بذار خلاصه بگم 👇” یک گزارش جدید نشان می‌دهد که ۶۵ درصد دستگاه‌های متصل به شبکه‌های سازمانی، دیگر کامپیوتر و لپ‌تاپ نیستند؛ بلکه چیزهایی مثل دوربین‌های مداربسته، پرینترها و سنسورهای هوشمند هستند. این دستگاه‌ها نقاط کور امنیتی بزرگی ایجاد می‌کنند که هکرها عاشقشان هستند.

از آسیب‌پذیری‌های سخت‌افزاری که بگذریم، دنیای نرم‌افزار نیز با تهدیدات فوری و خطرناکی به نام آسیب‌پذیری‌های روز-صفر روبرو است.

۸. ساعت صفر فرا رسیده: یک روز دیگر، یک آسیب‌پذیری حیاتی دیگر – آسیب پذیری CVE-2024-10585

آسیب‌پذیری “روز-صفر” (Zero-day) یکی از خطرناک‌ترین انواع حفره‌های امنیتی است. به زبان ساده، این یک نقص در نرم‌افزار است که توسط مهاجمان قبل از اینکه شرکت سازنده از آن مطلع شود یا وصله‌ای برای آن منتشر کند، کشف و مورد سوءاستفاده قرار می‌گیرد. این وضعیت یک پنجره فرصت حیاتی برای مهاجمان ایجاد می‌کند.

اخیراً، گوگل مجبور به انتشار یک وصله فوری دیگر برای مرورگر محبوب خود شد. بر اساس گزارش The Hacker News:

  • آسیب‌پذیری مورد نظر با شناسه CVE-2024-10585، یک مشکل از نوع “type confusion” در موتور جاوا اسکریپت V8 کروم است.
  • گوگل تأیید کرده است که یک اکسپلویت برای این آسیب‌پذیری “در دنیای واقعی وجود دارد” (exists in the wild)، به این معنی که مهاجمان در حال حاضر به طور فعال از آن برای حمله استفاده می‌کنند.
  • این آسیب‌پذیری، ششمین آسیب‌پذیری روز-صفر کروم است که از ابتدای سال جاری کشف شده است. این آمار، سرعت بی‌وقفه کشف چنین حفره‌هایی را نشان می‌دهد.
  • توصیه حیاتی و استاندارد برای کاربران، به‌روزرسانی فوری مرورگر کروم به آخرین نسخه است. همچنین، کاربران سایر مرورگرهای مبتنی بر کرومیوم (مانند مایکروسافت اج، بریو و …) نیز باید در اسرع وقت مرورگر خود را به‌روزرسانی کنند.

“بذار خلاصه بگم 👇” گوگل به تازگی یک آسیب‌پذیری روز-صفر (Zero-Day) دیگر در مرورگر کروم را برطرف کرده که هکرها از آن سوءاستفاده می‌کردند. این ششمین آسیب‌پذیری حیاتی کروم در سال جاری است که نشان می‌دهد جنگ بر سر امنیت مرورگرها همیشه داغ است.

این آسیب‌پذیری‌ها تنها محدود به مرورگرها نیستند و کل اکوسیستم وب‌اپلیکیشن‌ها را تهدید می‌کنند.

۹. وب‌اپلیکیشن‌ها: میدان مینی از بمب‌های منطقی پنهان – آسیب‌پذیری Next.js

وب‌اپلیکیشن‌های مدرن دیگر وب‌سایت‌های ساده گذشته نیستند. آن‌ها سیستم‌های پیچیده‌ای از قالب‌ها (templates)، فریمورک‌ها و APIها هستند که در آن‌ها یک اشتباه کوچک در کدنویسی می‌تواند به یک آسیب‌پذیری شدید منجر شود. این اکوسیستم پیچیده، میدان مین وسیعی از تهدیدات منطقی پنهان ایجاد کرده است.

در اینجا به چند نمونه از این تهدیدات متنوع اشاره می‌کنیم:

  • تزریق قالب سمت سرور (SSTI): بر اساس مقاله PortSwigger، این آسیب‌پذیری زمانی رخ می‌دهد که یک توسعه‌دهنده، ورودی کاربر را مستقیماً با یک قالب وب ترکیب می‌کند. در این حالت، یک مهاجم می‌تواند دستورات قالب را تزریق کند که در سمت سرور اجرا می‌شوند و به طور بالقوه منجر به اجرای کد از راه دور (RCE) می‌شوند. یک مثال ساده این است: ارسال درخواست http://vulnerable-website.com/?username=${7*7} که منجر به نمایش خروجی “Hello 49” می‌شود.
  • اسکریپت‌نویسی بین سایتی (XSS): گستردگی این تهدید به حدی است که PortSwigger یک برگه تقلب (Cheat Sheet) XSS با صدها نمونه حمله منتشر کرده است. این برگه تقلب شامل بی‌شمار روش برای دور زدن فیلترها و مکانیزم‌های دفاعی است که نشان می‌دهد پاک‌سازی صحیح ورودی کاربر چقدر دشوار است.
  • آسیب‌پذیری‌های فریمورک مدرن: آسیب‌پذیری CVE-2024-29927 که در پایگاه داده NVD ثبت شده، نمونه‌ای از یک باگ حیاتی در Next.js، یکی از محبوب‌ترین فریمورک‌های وب، است. این آسیب‌پذیری یک “دور زدن احراز هویت” است که به مهاجم اجازه می‌دهد تنها با افزودن یک هدر خاص (x-middleware-subrequest) به درخواست خود، بررسی‌های امنیتی در لایه میانی (middleware) برنامه را دور بزند.

“بذار خلاصه بگم 👇” وب‌سایت‌های مدرن پر از تله‌های پنهان هستند. از آسیب‌پذیری‌هایی مثل SSTI که به هکر اجازه اجرای کد روی سرور را می‌دهد، تا باگ‌های خطرناک در فریمورک‌های معروفی مثل Next.js که می‌تواند کنترل دسترسی را دور بزند.

در مقابل این تهدیدات بی‌شمار، جامعه مدافعان نیز بی‌کار ننشسته و در حال تکامل برای مقابله است.

۱۰. نبرد متقابل با شفافیت و هوش مصنوعی – قوانین SIGMA

صنعت امنیت سایبری در حال فاصله گرفتن از راه‌حل‌های بسته و اختصاصی و حرکت به سمت رویکردی بازتر، مشارکتی‌تر و هوشمندتر است. به جای اینکه هر شرکت به تنهایی مبارزه کند، جامعه امنیتی در حال ساخت ابزارها و استانداردهایی است که به همه اجازه می‌دهد سریع‌تر و مؤثرتر دفاع کنند.

در اینجا به چند روند مثبت و روبه‌جلو اشاره می‌کنیم:

  • قوانین تشخیص مستقل از پلتفرم (SIGMA): بر اساس مقاله SOC Prime، قوانین SIGMA یک زبان مشترک برای نوشتن قوانین تشخیص تهدید هستند. این قوانین می‌توانند در پلتفرم‌های مختلف SIEM و EDR استفاده شوند. این استاندارد به جامعه امنیتی اجازه می‌دهد تا روش‌های دفاعی را بسیار سریع‌تر به اشتراک بگذارند، بدون اینکه نگران سازگاری با یک نرم‌افزار خاص باشند.
  • شفافیت در قابلیت‌های دفاعی: نقشه پوشش MITRE ATT&CK® جدید کسپرسکی در پورتال OpenTIP، یک گام بزرگ به سوی شفافیت است. این ابزار به سازمان‌ها اجازه می‌دهد تا دقیقاً ببینند یک محصول امنیتی کدام تکنیک‌های مهاجمان را شناسایی می‌کند و بر اساس آن تصمیمات استراتژیک بهتری بگیرند.
  • هوش مصنوعی در عملیات امنیتی: پروژه “Log-Analyzer-with-MCP” از AWS Labs نشان می‌دهد که چگونه هوش مصنوعی می‌تواند به کمک تحلیلگران امنیتی بیاید. این ابزار به یک دستیار هوش مصنوعی مانند Claude اجازه می‌دهد تا مستقیماً لاگ‌های AWS CloudWatch را تحلیل کند و به طور بالقوه سرعت فرآیندهای تحقیق و همبسته‌سازی رویدادها را افزایش دهد.
  • شبیه‌سازی دشمن به عنوان یک استاندارد: دوره‌هایی مانند SANS SEC565 در زمینه عملیات تیم قرمز، نشان‌دهنده رواج شبیه‌سازی دشمن (Adversary Emulation) به عنوان یک رویه استاندارد است. این رویکرد پیشگیرانه به سازمان‌ها کمک می‌کند تا قبل از اینکه یک مهاجم واقعی این کار را انجام دهد، دفاع خود را در برابر تاکتیک‌ها، تکنیک‌ها و رویه‌های واقعی آزمایش کنند.

“بذار خلاصه بگم 👇” جامعه امنیت سایبری در حال هوشمندتر شدن است. با ابزارهایی مثل قوانین SIGMA، تیم‌های امنیتی می‌توانند فارغ از نوع نرم‌افزارشان، روش‌های شناسایی تهدیدات را با هم به اشتراک بگذارند. شرکت‌ها در حال شفاف‌سازی قابلیت‌هایشان هستند و هوش مصنوعی هم برای تحلیل سریع‌تر لاگ‌ها به کمک ما آمده است.

نتیجه‌گیری

همانطور که دیدیم، چشم‌انداز تهدیدات یک بازی موش و گربه پویا و بی‌پایان است. مهاجمان در حال هوشمندتر شدن هستند؛ آن‌ها در سرویس‌های ابری ما پنهان می‌شوند، ابزارهای دفاعی ما را هدف قرار می‌دهند و حتی از درون سازمان‌های ما سر برمی‌آورند. اما در مقابل، جامعه مدافعان نیز با شفافیت، همکاری و هوش مصنوعی در حال تقویت خود است. این نبرد ادامه دارد و آگاهی از این روندهای پنهان، اولین قدم برای آمادگی است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

نوشته‌ای مرتبط

آنچه در این مطلب می‌خوانید

فهرست مطالب