هک به عنوان خدمت یا Hacking-as-a-Service (HaaS) چیست؟

0 61
۵/۵ - (۳ امتیاز)

فهرست

در این مقاله قصد داریم در مورد یکی از انواع ارائه سرویس تحت مدل “به عنوان خدمت” یا as-a-Service صحبت کنیم. هک به عنوان خدمت یا Hacking-as-a-Service یکی از انواع مدل ارائه خدمت “به عنوان خدمت” یا as-a-Service است که اقدام به ارائه خدمات خطرناک می کند و در حال حاضر موضوع این مقاله می باشد.

به عنوان خدمت یا as-a-Service چیست؟

در این بخش مرور کوتاهی بر مدل “به عنوان خدمت” می کنیم که بتوانیم با دید بهتری به سراغ بحث اصلی برویم.
کارگزان مختلفی در دنیا وجود دارند که هر یک خدمتی به مشتریان ارائه می دهند. برای مثال اگر یک شرکت خدمات نظافتی را در نظر بگیرید، نظافت کننده (یا نظافت) را به عنوان خدمت در اختیار شما می گذارد. یا اگر به یک بنگاه اجاره اتومبیل سری بزنید، این بنگاه می تواند اتومبیل را به عنوان خدمت به شما ارائه دهد. اما بیایید در دنیای فناوری اطلاعات و ارتباطات در مورد خدمت صحبت کنیم. شاید وقتی در مورد as-a-Service (*aaS / XaaS) صحبت به میان می آید ذهن همه کسانی که در زمینه فناوری اطلاعات فعالیتی دارند سمت رایانش ابری یا Cloud Computing برود چرا که این مدل توسط ابر مورد استفاده قرار می گیرد. برای مثال نرم افزار به عنوان خدمت یا Software-as-a-Service (SaaS) یکی از خدماتی است که ابر می تواند به مشتریان ارائه کند و نرم افزارها را به عنوان خدمت در اختیار مشتریان بگذارد. در دنیای فناوری اطلاعات عموما خدمت ها به صورتی ارائه می شوند که مشتری با فراخوانی API ها بتواند به آن خدمت دسترسی داشته باشد. این فراخوانی عموما با استفاده از یک واسط کاربری مثل یک کنسول یا حتی مرورگر وب قابل کنترل می باشند. این مدل ارائه خدمت علاوه بر کاهش هزینه های مربوط به مدیریت و نگهداری، دارای درجه بالایی از خودکارسازی نیز هستند که به طور کلی دخالت درصد عامل انسانی را در یک کار به صفر می رسانند.

هک به عنوان خدمت یا Hacking-as-a-Service

تا به حال از خود سوال کرده اید که آیا تمامی حملات بزرگ سایبری توسط هکرهای حرفه ای انجام می شوند یا عوامل دیگری نیز می تواند در میان باشد؟! آیا وقتی در یک APT یک روز صفر یا Zero Day اکسپلویت می شود، یافتن آن آسیب پذیری نیز توسط افراد درگیر در آن کمپین انجام شده است یا نه؟! این ها سوالاتی هستند که احتمالا پس از خواندن این مقاله بتوانید به آن ها پاسخ دهید.
فرض کنید شما برای حمله به یک سازمان بزرگ و حساس انتخاب شده اید و یکی از اعضای کمپینی هستید که قرار است این عملیات را پیش ببرد. عموما این سبک حملات در چند مرحله انجام می شوند و در اکثر آن ها نیز یک یا چند آسیب پذیری روز صفر یا Zero Day اکسپلویت می شود. حال شما به کمک افراد موجود در کمپین باید عملیات شناسایی را انجام داده و در صورت اینکه هدف از یک مولفه استفاده کند که آسیب پذیری روز صفر برای آن مولفه موجود است، شما باید اکسپلویتی برای آن بنویسید و آن را به هدف برسانید. اما اینجا یک مورد مورد توجه است: کشف این آسیب پذیری برعهده کیست؟!
اینجا هک به عنوان سرویس یا Hacking-as-a-Service (HaaS) می تواند خود را نشان دهد. شما مجبور نیستید خودتان آسیب پذیری را پیدا کنید. پژوهشگرانی وجود دارند که آسیب پذیری های فوق را پیدا کرده و در مارکت های زیرزمینی به صورت کاملا ناشناس آن ها را برای فروش ارائه می دهند. در این مورد می توان تنها مولفه آسیب پذیر (مثلا آسیب پذیری در COM مایکروسافت ویندوز ورژن X)  یا با صرف هزینه بیشتر اکسپلویت آن را خریداری کرد. شما اگر حتی توانایی و مهارت پیدا کردن آسیب پذیری را ندارید می توانید آن را به عنوان خدمت از یک خدمتگزار تهیه کنید. با توجه به اینکه کمپین های APT دارای حمایت مالی بالایی از سمت دولت ها می باشند، این خدمت بیشتر به این کمپین ها داده می شود چون ممکن است شما برای خرید یک اکسپلویت مجبور شوید چند هزار دلار (در قالب بیت کوین) هزینه کنید. در ادامه به معرفی چند سرویس در قالب HaaS می پردازیم.

فیشیگ به عنوان خدمت یا Phishing-as-a-Service

واقعیت این است که فیشینگ علیه افراد آگاه، مثل پرسنل موجود در یک سازمان امنیتی کار ساده ای نیست. فیشینگ نیاز به تحلیل و تحقیق های وسیع و تکنیک های مهندسی اجتماعی حرفه ای دارد. برای طراحی یک حمله فیشینگ موفق علیه پرسنل یک سازمان که آموزش دیده نیز باشند وقت زیادی لازم است اما فیشینگ را می توان به عنوان خدمت تهیه کرد! کیت هایی وجود دارند (Phishing Kit) که شامل مولفه های مورد نیاز برای اجرای یک حمله فیشینگ می باشند. در این کیت ها عموما موارد زیر موجود هستند:

  • دامنه های تقلبی: دامنه هایی که بسیار شبیه دامنه های مجاز هستند که می توانند برای فریب یک کاربر مورد استفاده قرار گیرد. مثالی از یک دامنه تقلبی می تواند thregencee.ir باشد.
  • صفحه ورود تقلبی: صفحات ورود تقلبی صفحاتی هستند که به لحاظ ظاهری دقیقا همان صفحات مجاز می باشند. برای مثال یک صفحه ورود تقلبی می تواند صفحه ای باشد که ظاهر آن دقیقا مثل صفحه ورود به Gmail طراحی شده است.
  • سرورهای SMTP: این سرورها برای ارسال ایمیل حاوی بدافزار مورد استفاده قرار می گیرد. استفاده از این سرورها، ردگیری هکر را نیز بسیار دشوار می سازد.
  • لیست ایمیل: در این کیت ها می توانند لیستی از ایمیل های هدفمند وجود داشته باشند. برای مثال در این لیست ها می تواند لیست ایمیل پرسنل یک سازمان حساس وجود داشته باشد.
  • و…

حمله منع سرویس توزیع شده به عنوان خدمت یا DDoS-as-a-Service

حملات منع سرویس، به خصوص منع سرویس توزیع شده یا Distributed Denial of Service (DDoS) برای از دسترس هارج کردن پلت فرم ها مورد استفاده قرار می گیرند. این عمل به مقاصد مختلف رقابتی، انتقام جویانه، قدرتنمایی، از کار انداختن مکانیزهای امنیتی، پرت کردن حواس تیم امنیتی و… می تواند انجام شود. امروزه می توان پکیج های DDoS را از کارکت های دارک وب (Dark Web) تهیه کرد.

استخدام یا کرایه هکر

مواردی پیش می آید که برای یک حمله نیروی لازم در دست نداریم یا می خواهیم حمله ای ترتیب دهیم اما مهارت اجرای آن را نداریم. در این شرایط می توان یک هکر را با پرداخت هزینه ای استخدام یا کرایه کرد. برخی دولت ها برای تشکیل کمپین های APT اقدام به استخدام هکر می کنند و طی قراردادی با آن ها به توافق می رسند که این قرارداد شامل بندهای سختگیرانه ای راجع به عدم افشا و تکنیک سیانور است! هکرها را می توان از طریق پلت فرم های مختلف استخدام یا کرایه کرد و این پلت فرم ها حتما قرار نیست زیرزمینی باشند.
البته استخدام یا کرایه هکر فقط برای APT انجام نمی شود و ممکن است برای کارهای بچگانه ای همچون کرک پسورد شبکه های اجتماعی نیز انجام شود!

سخن پایانی

در این مقاله در مورد یکی از مدل های ارائه خدمت در قالب “به عنوان خدمت” یا as-a-Service یعنی هک به عنوان خدمت یا Hacking-as-a-Service (HaaS) صحبت کردیم. این خدمت عموما یک خدمت ناهنجار تلقی می شود. بررسی کردیم که چه نوع خدماتی در قالب HaaS‌ می تواند ارائه شود و در مورد هریک مختصری صحبت کردیم.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
دوره‌های آکادمی ترجنس | courses.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ