‫ boshehr_mehrjo بلاگ

 

حمله تزریق سریع نوعی حمله سایبری است که در آن یک هکر یک پیام متنی را به یک مدل زبان بزرگ (LLM) یا ربات چت وارد می‌کند، که برای قادر ساختن کاربر برای انجام اقدامات غیرمجاز طراحی شده است.
 

این موارد شامل نادیده گرفتن دستورالعمل‌های قبلی و دستورالعمل‌های تعدیل محتوا، افشای داده‌های اساسی، یا دستکاری در خروجی برای تولید محتوایی است که معمولاً توسط ارائه‌دهنده ممنوع است.
از این نظر، عوامل تهدید می توانند از حملات تزریق سریع برای تولید هر چیزی از محتوای تبعیض آمیز و اطلاعات نادرست گرفته تا کدهای مخرب و بدافزار استفاده کنند.
دو نوع اصلی حملات تزریق سریع وجود دارد: مستقیم و غیر مستقیم.
در یک حمله مستقیم، یک هکر ورودی LLM را در تلاش برای بازنویسی درخواست‌های سیستم موجود تغییر می‌دهد.
در یک حمله غیرمستقیم، یک عامل تهدید، منبع داده LLM، مانند یک وب سایت، را مسموم می کند تا ورودی داده را دستکاری کند. به عنوان مثال، یک مهاجم می تواند یک پیام مخرب را در یک وب سایت وارد کند که یک LLM آن را اسکن کرده و به آن پاسخ می دهد.
حملات تزریق سریع چقدر خطرناک هستند؟
OWASP حملات تزریق سریع را به عنوان مهم ترین آسیب پذیری مشاهده شده در مدل های زبانی رتبه‌بندی می‌کند. در سطح بالا، این حملات خطرناک هستند زیرا هکرها می‌توانند از LLM برای انجام اقدامات مستقل و افشای داده‌های محافظت شده استفاده کنند.
این نوع حملات نیز مشکل ساز هستند، زیرا LLM ها یک فناوری نسبتاً جدید برای شرکت‌ها هستند.
در حالی که سازمان‌ها در اجرای کنترل‌هایی برای مقابله با تهدیدات سایبری کلاسیک مانند بدافزارها و ویروس‌ها تجربه دارند، ممکن است از سطح ریسک وارد شده به محیط خود با استفاده از API به عنوان بخشی از عملیات خود آگاه نباشند، چه در پشت صحنه و چه در یک زمینه با مشتری. .
به عنوان مثال، اگر سازمانی برنامه‌ای ایجاد کند که از یک API ادغام با یک LLM محبوب مانند ChatGPT استفاده می‌کند، باید کنترل‌های جدیدی را پیاده‌سازی کند تا در صورت تلاش یک عامل تهدید برای سوءاستفاده از ربات چت برای ورود به محیط خود یا انجام اقدامات بالقوه مضر، آماده شود.

زنجیره کشتار سایبری اقتباسی از زنجیره کشتن ارتش است که یک رویکرد گام به گام است که فعالیت دشمن را شناسایی و متوقف می‌کند. زنجیره کشتار سایبری که در ابتدا توسط لاکهید مارتین در سال 2011 توسعه یافت، مراحل مختلف چندین حمله سایبری متداول و در نتیجه، نقاطی را که در آن تیم امنیت اطلاعات می‌تواند از مهاجمان جلوگیری، شناسایی یا رهگیری کند را مشخص می‌کند.
زنجیره کشتار سایبری برای دفاع در برابر حملات سایبری پیچیده، که به عنوان تهدیدات پایدار پیشرفته (APTs) نیز شناخته می‌شود، در نظر گرفته شده است که در آن دشمنان زمان زیادی را صرف نظارت و برنامه ریزی یک حمله می‌کنند. معمولاً این حملات شامل ترکیبی از بدافزار، باج افزار، تروجان ها، جعل و تکنیک‌های مهندسی اجتماعی برای اجرای طرح خود می‌شود.
8 مرحله از فرآیند زنجیره کشتار سایبری
مدل اصلی زنجیره کشتار سایبری لاکهید مارتین شامل هفت مرحله متوالی بود:
فاز 1: شناسایی
در طول مرحله شناسایی، یک عامل مخرب هدف را شناسایی می‌کند و آسیب پذیری‌ها و نقاط ضعفی را که می‌تواند در شبکه مورد سوء استفاده قرار گیرد، بررسی می‌کند. به عنوان بخشی از این فرآیند، مهاجم ممکن است اعتبار ورود به سیستم را جمع‌آوری کند یا اطلاعات دیگری مانند آدرس‌های ایمیل، شناسه‌های کاربر، مکان‌های فیزیکی، برنامه‌های کاربردی نرم‌افزار و جزئیات سیستم‌عامل را جمع‌آوری کند که همگی ممکن است در حملات فیشینگ یا جعل مفید باشند. به طور کلی، هرچه مهاجم بتواند اطلاعات بیشتری را در مرحله شناسایی جمع آوری کند، حمله پیچیده تر و قانع کننده‌تر خواهد بود و از این رو، احتمال موفقیت بالاتر خواهد بود.
فاز 2: ساخت سلاح
در مرحله Weaponization، مهاجم یک بردار حمله مانند بدافزار دسترسی از راه دور، باج افزار، ویروس یا کرم ایجاد می‌کند که می‌تواند از یک آسیب پذیری شناخته شده سوء استفاده کند. در طول این مرحله، مهاجم ممکن است درهای پشتی را نیز راه‌اندازی کند تا در صورت شناسایی و بسته شدن نقطه اصلی ورود توسط مدیران شبکه، بتوانند به سیستم دسترسی داشته باشند.
فاز 3: تحویل
در مرحله Delivery، مهاجم حمله را آغاز می‌کند. اقدامات خاص انجام شده به نوع حمله ای که آنها قصد انجام آن را دارند بستگی دارد. به عنوان مثال، مهاجم ممکن است پیوست های ایمیل یا یک پیوند مخرب را برای تحریک فعالیت کاربر برای پیشبرد طرح ارسال کند. این فعالیت ممکن است با تکنیک‌های مهندسی اجتماعی برای افزایش اثربخشی کمپین ترکیب شود.
فاز 4: بهره برداری
در مرحله بهره‌برداری، کد مخرب در سیستم قربانی اجرا می‌شود.
فاز 5: نصب
بلافاصله پس از مرحله بهره برداری، بدافزار یا سایر بردارهای حمله بر روی سیستم قربانی نصب می‌شود. این یک نقطه عطف در چرخه حیات حمله است، زیرا عامل تهدید وارد سیستم شده و اکنون می‌تواند کنترل را به عهده بگیرد.
فاز 6: فرماندهی و کنترل
در Command & Control، مهاجم می تواند از بدافزار استفاده کند تا کنترل از راه دور یک دستگاه یا هویت در شبکه هدف را به عهده بگیرد. در این مرحله، مهاجم ممکن است برای حرکت جانبی در سراسر شبکه، گسترش دسترسی خود و ایجاد نقاط ورودی بیشتر برای آینده تلاش کند.
فاز 7: اقدامات بر روی هدف
در این مرحله، مهاجم برای انجام اهداف مورد نظر خود اقداماتی را انجام می‌دهد که ممکن است شامل سرقت، تخریب، رمزگذاری یا استخراج اطلاعات باشد.
با گذشت زمان، بسیاری از کارشناسان امنیت اطلاعات زنجیره کشتن را گسترش داده اند تا مرحله هشتم را شامل شود: کسب درآمد. در این مرحله، مجرم سایبری بر کسب درآمد از حمله تمرکز می‌کند، خواه از طریق نوعی باج‌گیری که قربانی پرداخت می‌کند یا فروش اطلاعات حساس، مانند داده‌های شخصی یا اسرار تجاری، در تاریک وب.
به طور کلی، هر چه سازمان زودتر بتواند تهدید را در چرخه حیات حمله سایبری متوقف کند، سازمان ریسک کمتری را متحمل خواهد شد. حملاتی که به مرحله فرماندهی و کنترل می‌رسند، معمولاً به تلاش‌های اصلاحی بسیار پیشرفته‌تری نیاز دارند، از جمله جابجایی‌های عمیق شبکه و نقاط پایانی برای تعیین مقیاس و عمق حمله. به این ترتیب، سازمان‌ها باید اقداماتی را برای شناسایی و خنثی کردن تهدیدها در اوایل چرخه عمر انجام دهند تا هم خطر حمله و هم هزینه حل یک رویداد را به حداقل برسانند.
تکامل زنجیره کشتار سایبری
همانطور که در بالا ذکر شد، زنجیره کشتار سایبری همچنان به تکامل خود ادامه می‌دهد زیرا مهاجمان تکنیک های خود را تغییر می دهند. از زمان انتشار مدل زنجیره کشتار سایبری در سال 2011، مجرمان سایبری در تکنیک‌های خود بسیار پیچیده تر و در فعالیت‌های خود گستاخ تر شده اند.
در حالی که هنوز یک ابزار مفید است، چرخه حیات حمله سایبری امروزه بسیار کمتر از یک دهه پیش قابل پیش بینی و واضح است. برای مثال، نادر نیست که مهاجمان سایبری مراحل را رد یا ترکیب کنند، به ویژه در نیمه اول چرخه حیات. این به سازمان‌ها زمان و فرصت کمتری برای کشف و خنثی کردن تهدیدها در اوایل چرخه حیات می دهد. علاوه بر این، رواج مدل زنجیره کشتار ممکن است به مهاجمان سایبری نشان دهد که سازمان‌ها چگونه دفاع خود را ساختار می‌دهند، که می‌تواند به طور ناخواسته به آن‌ها کمک کند تا از شناسایی در نقاط کلیدی در چرخه حیات حمله اجتناب کنند.
انتقادات و نگرانی های مرتبط با زنجیره کشتار سایبری
در حالی که زنجیره کشتار سایبری یک چارچوب رایج و رایج است که سازمان‌ها می‌توانند از طریق آن شروع به توسعه یک استراتژی امنیت سایبری کنند، این شامل چندین نقص مهم و بالقوه ویرانگر است.
امنیت محیطی
یکی از رایج ترین انتقادات به مدل زنجیره کشتار سایبری این است که بر امنیت محیطی و جلوگیری از بدافزار تمرکز دارد. این یک نگرانی شدید است زیرا سازمان‌ها از شبکه‌های سنتی اولیه به نفع ابر دور می‌شوند.
به همین ترتیب، تسریع روند کار از راه دور و تکثیر دستگاه‌های شخصی، فناوری اینترنت اشیا و حتی برنامه‌های پیشرفته مانند اتوماسیون فرآیند روباتیک (RPA) به طور تصاعدی سطح حمله را برای بسیاری از شرکت‌ها افزایش داده است.
 

یک تیم قرمز متشکل از متخصصان امنیتی است که به عنوان دشمن برای غلبه بر کنترل‌های امنیت سایبری عمل می‌کنند. تیم‌های قرمز اغلب متشکل از هکرهای اخلاقی مستقلی هستند که امنیت سیستم را به شیوه ای عینی ارزیابی می‌کنند.

 

آن‌ها از تمام تکنیک‌های موجود برای یافتن نقاط ضعف در افراد، فرآیندها و فناوری برای دسترسی غیرمجاز به دارایی‌ها استفاده می‌کنند. در نتیجه این حملات شبیه‌سازی شده، تیم‌های قرمز توصیه‌ها و برنامه‌هایی را در مورد چگونگی تقویت وضعیت امنیتی سازمان ارائه می‌کنند.

یک تیم قرمز چگونه کار می کند؟

ممکن است تعجب کنید (مثل من) که تیم‌های قرمز زمان بیشتری را صرف برنامه‌ریزی حمله می‌کنند تا حملات انجام دهند. در واقع، تیم‌های قرمز تعدادی روش را برای دسترسی به یک شبکه به کار می‌گیرند.
به عنوان مثال، حملات مهندسی اجتماعی برای ارائه کمپین‌های فیشینگ هدفمند به شناسایی و تحقیق متکی هستند. به همین ترتیب، قبل از انجام تست نفوذ، از sniffer های بسته و تحلیلگرهای پروتکل برای اسکن شبکه و جمع آوری اطلاعات تا حد امکان در مورد سیستم استفاده می شود.
اطلاعات معمول جمع آوری شده در این مرحله شامل موارد زیر است:
1-کشف سیستم عامل های در حال استفاده ویندوز،( macOS یا لینوکس).
2-شناسایی ساخت و مدل تجهیزات شبکه (سرور، فایروال، سوئیچ، روتر، اکسس پوینت، کامپیوتر و ...).
3-درک کنترل های فیزیکی (درها، قفل ها، دوربین ها، پرسنل امنیتی).
4-یادگیری اینکه چه پورت هایی در فایروال باز/بسته می شوند تا ترافیک خاصی را مجاز یا مسدود کنند.
5-ایجاد نقشه ای از شبکه برای تعیین اینکه چه میزبانی چه خدماتی را اجرا می کند و ترافیک به کجا ارسال می‌شود.
هنگامی که تیم قرمز ایده کامل تری از سیستم پیدا کرد، یک برنامه اقدام طراحی شده برای هدف قرار دادن آسیب پذیری‌های خاص به اطلاعاتی که در بالا جمع آوری کرد، ایجاد می‌کند.

Google Dorking که با نام Google Hacking نیز شناخته می‌شود، تکنیکی است که از اپراتورهای جستجوی پیشرفته برای کشف اطلاعاتی در اینترنت استفاده می‌کند که ممکن است به راحتی از طریق عبارت‌های جستجوی استاندارد در دسترس نباشند.
این استراتژی از ویژگی‌های الگوریتم‌های جستجوی گوگل برای یافتن رشته‌های متنی خاص در نتایج جستجو بهره می برد. قابل ذکر است، در حالی که اصطلاح "هک" نشان دهنده یک فعالیت غیرقانونی است، Google Dorking کاملا قانونی است و اغلب توسط متخصصان امنیتی برای شناسایی آسیب پذیری‌ها در سیستم‌های خود استفاده می‌شود.

Google Dorking چگونه کار می کند؟
Google Dorking از اپراتورهای جستجوی پیشرفته برای اصلاح و مشخص کردن نتایج جستجو استفاده می کند. وقتی این عملگرها با کلمات کلیدی یا رشته‌ها ترکیب می‌شوند، به الگوریتم جستجوی گوگل دستور می‌دهند تا اطلاعات خاصی را جستجو کند.
از این روش می توان برای یافتن فایل هایی از یک نوع خاص، جستجو در یک وب سایت خاص، جستجوی کلمات کلیدی خاص در عنوان یک صفحه وب یا حتی یافتن صفحاتی که به یک URL خاص پیوند دارند، استفاده کرد. این تکنیک از این واقعیت استفاده می‌کند که گوگل هر صفحه وب را که خزنده‌هایش می‌توانند به آن دسترسی داشته باشند فهرست می‌کند و همه اطلاعات آن صفحات را برای هر کسی که به دنبال آن است در دسترس قرار می‌دهد.

در حالی که Google Dorking می‌تواند اطلاعات حساس را در صورت دسترسی عمومی فاش کند، استفاده از این تکنیک هیچ قانون یا شرایط خدمات Google را نقض نمی‌کند.
حذف سایت شما از گوگل هوشمندانه نیست. مشتریان شما باید شما را پیدا کنند و بیشتر آنها برای انجام این کار به موتورهای جستجو مراجعه می‌کنند. اما می توانید اقدامات پیشگیرانه را انجام دهید تا مطمئن شوید که هکرها نمی‌توانند از طریق گوگل به شما حمله کنند.

در پایان هک گوگل، حریف شما چیزهای زیادی درباره شما و کارهایی که برای ایمن نگه داشتن شرکت خود انجام می دهید با خبر است. این مهاجم نمی‌تواند از طریق گوگل حمله ای انجام دهد، اما این تحقیق می تواند به آن شخص کمک کند تا مراحل بعدی خود را برنامه ریزی کند.

جلوگیری از حملات هک گوگل
شما می‌خواهید در برابر این نوع حمله  شرکت خود را محافظت کنید. برای شروع، تمام اطلاعات حساس مانند اطلاعات پرداخت، نام‌های کاربری، گذرواژه‌ها و پیام‌ها را رمزگذاری کنید.
روبات‌های متا: نحوه نمایش یک صفحه HTML منفرد در نتایج را کنترل کنید یا آن را به‌کلی از نتایج دور نگه دارید.
همچنین می‌توانید از یک اسکنر آسیب‌پذیری استفاده کنید تا مطمئن شوید که فایل‌ها یا صفحاتی را که باید پنهان باقی بمانند، در معرض نمایش قرار نمی‌دهید.