به آکادمی آتی نگر خوش آمدید

دسته‌ها: امنیت شبکه
تیر ۱۵, ۱۳۹۶ | دیدگاه‌ها: بدون دیدگاه
به این مقاله امتیاز بدهید

 

در حملات هکری مجرمان سایبری بدافزارهای خود را به‌گونه‌ای طراحی می‌کنند که در ابتدا سامانه‌های کامپیوتری را آلوده کند و در ادامه از طریق یک سرور کنترل و فرمان‌دهی با هکرها در ارتباط باشند. هکرها از طریق این مرکز کنترل و فرمان‌دهی دستورات لازم را برای بدافزار ارسال می‌کنند. بات‌نت‌ها و باج‌افزارها به‌شکل گسترده‌ای از این سرورها استفاده می‌کنند. حال اگر بتوانیم مانع برقراری این ارتباط شویم، در واقع موفق شده‌ایم ارتباط میان هکر و بدافزار را از میان ببریم. در چنین حالتی شانس ما برای مقابله با بدافزارها دوچندان خواهد شد. سرویس Malware Hunter که به شکارچی بدافزارها معروف شده برپایه همین ایده طراحی شده است.

سرویس فوق به شرکت‌ها و سازمان‌ها اجازه می‌دهد کانال ارتباطی میان بدافزارها و سرورهای کنترل و فرمان‌‌دهی را مسدود کنند. شرکت Recorded Future که در زمینه شناسایی تهدیدات امنیتی از طریق الگوریتم‌های یادگیری ماشینی به فعالیت اشتغال دارد، با همکاری موتور جست‌وجوگر شادون موفق شده است این سرویس آنلاین را طراحی کند. سرویس فوق به‌طور مستمر در سطح اینترنت به جست‌وجو پرداخته تا پانل‌های کنترلی متعلق به ده‌ها برنامه RAT (سرنام Remote Access Trojan) را شناسایی کند.

پانل‌هایی که با تروجان‌های معروفی همچون Gh0st RAT، DarkComet، njRAT، ZeroAccess و XtremeRAT در ارتباط هستند. بدافزارهایی که به آن‌ها اشاره شد، جزء بدافزارهای تجاری هستند و در انجمن‌های دارک وب خرید و فروش می‌شوند. هکرها از طریق این بدافزارها و تعامل آن‌ها با پانل‌های مربوط قادر هستند دستگاه‌های آلوده را کنترل و دستورات مربوط را برای آن‌ها ارسال کنند. سرویس فوق برای آنکه بتواند سرورهای کنترل و فرمان‌دهی (C&C) (سرنام Command-and- Control) را شناسایی کند، به نشانی‌های IP عمومی متصل می‌شود و در ادامه ترافیکی را به‌سمت این نشانی‌ها هدایت می‌کند.

ترافیکی که ممکن است تروجان‌ها آن ‌را دریافت و به‌سمت پانل کنترلی خود ارسال کنند. اگر دستگاه‌هایی که این ترافیک به‌سمت آن‌ها ارسال شده پاسخی برای سرویس Malware Hunter ارسال کنند، نشان می‌دهند که یک سرور کنترل و فرمان‌دهی هستند. سرویس فوق تا به امروز موفق شده است بیش از ۵۷۰۰ سرور کنترل و فرمان‌دهی را شناسایی کند. جالب آنکه بیش از چهار هزار مورد از این سرورها در کشور ایالات متحده قرار داشته‌اند. بخش اعظمی از پانل‌های کنترلی شناسایی شده در ارتباط با تروجان Gh0st بودند. بدافزار فوق اولین بار در سال ۲۰۰۹ میلادی شناسایی شد. بدافزاری که منشأ آن یکی از کشورهای آسیایی بوده و تا به امروز در طیف گسترده‌ای از حملات سایبری مورد استفاده قرار گرفته است. الگویی که سرویس شکارچی بدافزارها به‌منظور شناسایی سرورهای کنترل و فرمان‌دهی RAT از آن استفاده می‌کند، منطبق بر پژوهشی است که در گذشته شرکت Research Future انجام داده است. شرکت یاد شده در گذشته از طریق همین تکنیک سرورهای مخرب را شناسایی می‌کرد، اما این کار را در مقیاس کوچک‌تری انجام می‌داد. توسعه‌دهندگان سرویس شکارچی بدافزار ساز و کاری را ترتیب داده‌اند که به شرکت‌های امنیتی و همچنین پژوهشگران امنیتی اجازه می‌دهد فهرستی از این سرورهای کنترل و فرمان‌دهی را مشاهده کرده و قواعد مربوط به دیوار آتش خود را منطبق با این فهرست به‌روزرسانی کنند. فهرست یاد شده به‌طور مرتب به‌روزرسانی شده تا همواره جدیدترین اطلاعات را در اختیار شرکت‌های امنیتی قرار دهد.

مطالب مرتبط:  راهنمای تنظیمات شبکه در ویندوز ۱۰


زمانی که ارتباط بدافزار با سرور کنترل و فرما‌ن‌دهی قطع و این ‌کار در سطح لایه شبکه انجام شود، هکرها دیگر این توانایی را نخواهند داشت تا حمله خود را به‌طور کامل اجرا و اطلاعات موجود روی سامانه‌های قربانی را استخراج کنند.

رویکرد ارائه شده از سوی این سرویس در عمل کارایی بالایی دارد، زیرا در حالت عادی باید منتظر باشیم تا شرکت‌های امنیتی نمونه‌هایی از یک بدافزار را به دست آورده، آن‌ها را تحلیل کرده، در ادامه الگوی مورد استفاده از سوی یک بدافزار در ارتباط با مرکز کنترل و فرمان‌دهی را کشف کرده و در ادامه گزارش آن‌ را منتشر کنند تا سازمان‌ها از کم و کیف موضوع اطلاع پیدا کنند. همان ‌گونه که مشاهده می‌کنید، این پروسه به زمان نسبتاً زیادی نیاز دارد، در حالی که سرویس شکارچی بدافزارها این ‌کار را در سریع‌ترین زمان ممکن انجام می‌دهد. با توجه به آنکه در چند سال اخیر سامانه‌های امنیتی در ارتباط با ترافیک وارد شونده به یک شبکه در بعضی موارد هشدارهای مثبت کاذبی را صادر کرده‌اند و پس از بررسی مشخص شده هیچ ‌گونه فعالیت مشکوکی شکل نگرفته است، در نتیجه این احتمال وجود دارد که سرویس فوق بتواند در این زمینه راهگشا باشد.

نظرات

اولین کسی باشید که نظر می دهد!

نام شما *:
ایمیل *:
با عضویت در خبرنامه از آخرین مقاله های مربوط به شبکه و تخفیف های تجهیزات شبکه با اطلاع شوید: