عندما يتم استغلال ثغرة يوم الصفر في البرية ، فمن الضروري تحديد الخطأ في جذر الهجوم. يُعلِم “تحليل السبب الجذري” الباحثين بكيفية وقوع هجوم.
قالت مادي ستون ، باحثة مشروع Google Project Zero في عرض تقديمي حول هذا الموضوع ، “نحن نهتم كثيرًا بجعل الأمر أكثر صعوبة على الأشخاص لاستغلال المستخدمين باستخدام صفر أيام”. “عندما يتم اكتشاف ثغرات يوم الصفر في البرية ، فهذه هي حالة فشل هؤلاء المهاجمين. ولذا نحتاج إلى تعلم أكبر قدر ممكن في كل مرة يحدث ذلك.”
في كثير من الأحيان ، عندما تعلم صناعة الأمان عن اختراق يوم الصفر في منشور مدونة أو استشاري ، غالبًا ما تكون هناك معلومات حول حمولة البرامج الضارة أو مجموعة الهجوم التي تقف وراءها ، ولكن القليل عن “التفاصيل الجوهرية” لكيفية حصول المتطفلين على الوصول الأولي لشن هجومهم.
أوضح ستون أن الهدف من تحليل السبب الجذري ينبع من معرفة ماهية تلك الثغرة ، في العمق الذي يمكن للباحثين إطلاقه. يوضح هذا أنهم يفهمون كل التفاصيل – وليس فقط الملخص الشامل – بالإضافة إلى منهجية استغلال المهاجمين. يمكن أن تساعد هذه المعلومات في تحديد الإجراءات التي يجب اتخاذها بعد ذلك لمنع استغلالها مرة أخرى ، مثل التحسينات الهيكلية ، وتحليل المتغيرات ، وطرق الكشف الجديدة.
على مدار الـ 12 شهرًا الماضية ، قام Project Zero بتحليل 11 نقطة ضعف في يوم الصفر تم استغلالها في البرية. استخدم الباحثون خمس تقنيات مختلفة لتحديد السبب الجذري لها ، مما يؤكد نقطة شددت عليها ستون في حديثها: يمكن أن تختلف عملية تحليل الثغرة في كل مرة.
وأوضحت أن “هناك الكثير من الطرق المختلفة لعكس هندسة الثغرة الأمنية ، ويمكن أن تختلف هذه الطرق اعتمادًا على المعلومات المتاحة والهدف الذي يتم استغلاله. غالبًا ما يتحدث باحثو الأمن عن العمليات باعتبارها كتلة متراصة ؛ في الواقع ، هناك الكثير من الإبداع المتضمن والمسارات التي يمكن أن تتخذها لزيادة احتمال النجاح مع استخدام موارد أقل.
قسمت التقنيات إلى أربع فئات. يمكن عكس رمز الاستغلال إذا كان لدى الباحث عينة الاستغلال. يمكن استخدام فرق تصحيح كود المصدر إذا كان لديهم وصول إلى شفرة مصدر الهدف ؛ على سبيل المثال ، إذا كان هناك شخص ما يبحث على Android أو Chrome أو Firefox ، أو إذا كان لديه حق الوصول المميز كمورد أو شريك. يتضمن اختلاف التصحيح الثنائي مقارنة بنيتين ثنائيتين من نفس الكود ؛ واحد معروف بأنه ضعيف والآخر يحتوي على رقعة. “البحث عن الأخطاء بناءً على تفاصيل الاستغلال” ممكن مع نصائح حول ثغرة أمنية لم يتم إصلاحها.
تعتمد التقنية التي يستخدمها الباحث إلى حد كبير على دوره. إن فهم ليس فقط ماهية التقنية ، ولكن كيف يتم ذلك ، يمكن أن يختلف من يوم إلى آخر.
وأوضح ستون: “يؤثر دورك على البيانات التي يمكنك الوصول إليها ، والمبلغ الذي ترغب في استثماره في الوصول إلى السبب الجذري للضعف”.
قد لا يقرر الشخص الذي اكتشف برمجية إكسبلويت ، على سبيل المثال ، القيام بتحليل السبب الجذري لأن هدفه الأساسي هو إصلاحه. إذا انتظروا الإبلاغ حتى يحققوا تحليل السبب الجذري ، فإنهم يطيلون مقدار الوقت الذي تمر فيه الثغرة دون إصلاح. في هذه الحالات ، غالبًا ما يكون لديهم إمكانية الوصول إلى برمجيات إكسبلويت ولكن ليس بالضرورة كود المصدر أو خبرة البائع.
الباعة قصة أخرى. إذا كان الباحث يعمل لدى مورد ، فمن المحتمل أن يتمكن من الوصول إلى مزيد من التفاصيل ، سواء كان ذلك الخبراء الذين كتبوا الشفرة التي يتم استغلالها ، أو رمز المصدر نفسه ، و / أو الاستغلال. قال ستون إنه في هذه الحالات يجب عليهم إكمال تحليل السبب الجذري.
ثم هناك المستخدمون والباحثون التابعون لجهات خارجية ، الذين يرون أن شيئًا ما قد تم استغلاله في البرية من خلال منشور مدونة أو استشارة ومن المحتمل أن يكون لديهم أقل قدر من المعلومات. سيحتاجون إلى تحديد مقدار الوقت والطاقة الذي يرغبون في استثماره في المشروع.
وأشارت إلى أن مشروع زيرو كان في كل من هذه المناصب. “نكتشف في بعض الأحيان [the vulnerability]، يطلب البائعون أحيانًا الشراكة معنا للحصول على الخبرة [and] المساعدة في معرفة السبب الجذري ؛ وغالبًا ما نكون باحثين تابعين لجهات خارجية نحاول التعمق والتعلم بقدر ما نستطيع “.
عرض ستون (الشرائح المتاحة) بالتفصيل سبع دراسات حالة عبر مجموعة متنوعة من المنصات بما في ذلك Windows و iOS و WhatsApp و Firefox و Android. كشفت هذه الحالات عن أوجه التشابه والاختلاف في تقنيات الهندسة العكسية عبر الأهداف. بعضها كان ناجحًا ، والبعض الآخر لم يكن كذلك – وهي الوجبات الجاهزة التي أكدت عليها لجمهورها من محترفي الأمن.
وقالت: “ليس كل مسعى ناجحًا ، ولكن” في كل مرة لا نصل فيها إلى الهدف النهائي ، أو نجحنا في تحديد السبب الجذري ، لدينا الكثير لنتعلمه من ذلك يمكننا تقديمه إذا استطعنا متعمد ، إلى المجموعة التالية لرفع احتمالية النجاح “.
محتوى ذو صلة:
سجل الآن في Black Hat USA الافتراضية بالكامل لهذا العام ، والتي تجري الآن ، واحصل على مزيد من المعلومات حول الحدث على موقع Black Hat. انقر للحصول على تفاصيل حول معلومات المؤتمر والتسجيل.
كيلي شيريدان هي محررة الموظفين في Dark Reading ، حيث تركز على أخبار الأمن السيبراني والتحليلات. وهي صحفية في مجال تكنولوجيا الأعمال عملت سابقًا في تقرير InformationWeek ، حيث غطت Microsoft ، و Insurance & Technology ، حيث غطت الشؤون المالية … عرض السيرة الذاتية الكاملة
اقتراحات للقراءة:
المزيد من الرؤى
