مقالات مرکز
کارشناسان معتقد هستند براي پيشگيري از جرائم سايبري، زيرساخت بات‌نت‌ها بايد موردبررسي قرار گيرد؛ چراکه بات‌نت‌ها از ميليونها سيستم آلوده در سراسر جهان تشکيل مي‌شوند و عدم شناسايي آنها، منجر به نشت اطلاعات خصوصي و افزايش جرائم سايبري مي‌شود.
بات‌نت‌ها امکان انتشار بدافزارها و زيرساخت موردنياز براي جرائم سايبري را فراهم مي‌آورند. وقتي مجرمان سايبري کنترل شبکه‌اي از سيستم‌هاي آلوده را به دست مي‌گيرند، در واقع ابزار لازم براي انتشار حجم عظيمي از بدافزارها را در اختيار دارند، مي‌توانند به سيستم‌هاي خصوصي دسترسي پيدا کنند و منابع موردنياز براي حملات DDoS را به دست بياورند.
تجزيه‌وتحليل نشانه‌هاي نفوذ (IOC) بات‌نت‌ها با جستجو در اسامي دامنه، سرورهاي نام و آدرس‌هاي IP، نشانه‌هاي فعاليت‌هاي مخربي که قبلاً شناسايي نشده‌اند را آشکار مي‌سازد. در ادامه، نمونه‌هايي از شکار تهديدات با استفاده از اين روش آورده مي‌شود (شکار تهديدات به فرايند جستجوي پيش‌کنشگرانه و مکرر در شبکه براي کشف و ايزوله‌سازي تهديدات پيشرفته‌اي اطلاق مي‌شود که راهکارهاي امنيتي موجود را دور مي‌زنند و فرار مي‌کنند). به علاوه مراحل مختلف استفاده از سيستم آلوده به عنوان بخشي از باتنت نيز تشريح مي‌گردد.

چرخه عمر يک بات‌نت
مرحله آلوده‌سازي و انتشار زماني است که مهاجم از ابزارهاي خود براي انتقال بدافزار به سيستم‌ها و ايميل‌ها يا تنظيم وبسايت‌ها براي تبليغ بدافزارها و کدهاي مخرب استفاده مي‌کند. سيستم‌هايي که به صورت از راه دور به عنوان بخشي از باتنت کنترل مي‌گردند، اغلب با هزينه‌اي اندک اجاره داده مي‌شوند. در نتيجه، مهاجم مي‌تواند يک سيستم آلوده را اجاره کند، از اتصالات مشترک آن درون بات‌نت استفاده نمايد تا بدافزار موردنظرش را انتقال دهد و پخش کند. از سيستم‌هاي آلوده‌اي که قادر به ارسال ايميل هستند نيز مي‌توان براي ارسال اسپم به سيستم‌هاي جديد استفاده کرد و محتويات مخرب را به صورت فايل پيوست يا يک URL مبهم در متن ايميل که با کليک روي آن، وبسايتي به ميزباني مهاجم پديدار مي‌گردد و بدافزار را انتقال مي‌دهد، قرار داد.
در مرحله ارتباط با سرور فرمان و کنترل (C&C) يا فراخواني، روبات تلاش مي‌کند با سرور C&C مهاجمان تماس برقرار نمايد و آلوده‌سازي موفق را اطلاع دهد. سپس از رويکرد «شار تغييرات سريع»6 دامنه و IP استفاده مي‌شود ( شار تغييرات سريع تکنيکي است که بات‌نت‌ها از آن براي پنهان ساختن سايت‌هاي انتشار بدافزار يا فيشينگ استفاده مي‌کنند). سرور C&C آدرس IP ميزبان خود را به طور مرتب تغيير مي‌دهد و از زمان دوام (TTL) 
کوتاه‌تري استفاده مي‌کند تا با انتقال مستمر آدرس‌هاي ميزبان، شناسايي نشود. بدافزار با استفاده از الگوريتم توليد دامنه (DGA) با مجموعه بزرگي از دامنه‌ها ارتباط برقرار مي‌کند. بسياري از اين نامهاي دامنه ثبت نشده‌اند و در واقع وجود ندارند. سرور C&C اصلي که براي کنترل سيستم آلوده به کار مي‌رود، در ميان حجم انبوهي از درخواست‌هاي فراخوان براي دامنه‌هاي DGA قرار دارد. از اين رو، شناسايي آن بسيار دشوار است. روبات‌هاي آلوده مي‌توانند به عنوان پراکسي بين سيستم‌هاي آلوده و سرور C&C عمل نمايند. البته سرورهاي آلوده نيز لايه ديگري از پراکسي را ايجاد مي‌کنند که سرور C&C مي‌تواند پشت آن پنهان شود.
حالا که سرور C&C و مهاجم از روبات‌هاي آلودهاي که به تازگي به بات‌نت پيوسته‌اند، اطلاع دارند، مرحله بعدي آغاز مي‌شود که در آن، روبات گزارش مي‌دهد و در انتظار فرمان مي‌ماند. تعاملات شبکه با سرور C&C، امکان دريافت و اجراي فرمان‌هاي ديگر و ارسال اطلاعات يا فايل‌هاي مسروقه به سرور C&C را نيز فراهم مي‌آورند. از پهناي باندي که توسط روبات فراهم مي‌شود، مي‌توان براي اجراي حملات DDoS روي اهداف موردنظر استفاده کرد. در اين مرحله، مي‌توان اسپم‌هاي بيشتري را از طريق روبات‌هاي مستعد ارسال نمود. در نتيجه، بدافزارهاي بيشتري به سيستم فرستاده مي‌شود که معمولاً تروجان‌هاي دسترسي از راه دور، باج‌افزارها، استخراج‌کننده‌هاي ارزهاي مبتني بر رمزنگاري و تروجان‌هاي بانکي هستند.
هدف و مرحله نهايي آن است که وضعيت موجود حفظ و از شناسايي بدافزار جلوگيري شود تا سيستم به عنوان بخشي از بات‌نت باقي بماند. بدافزارها معمولاً از روش‌هاي مختلفي براي باقي ماندن در سيستم استفاده مي‌کنند. روش‌هاي مبتني بر فراخوان لايه‌هاي پراکسي، DGAها و شار تغييرات سريع دامنه و IP نيز ادامه خواهد يافت.

ضرورت بررسي زيرساخت بات‌نت‌ها
زيرساخت بات‌نت‌ها بايد موردبررسي قرار گيرد تا به کاهش و مهار جرائم سايبري کمک شود. رفع مشکل بات‌نت‌ها بسيار دشوار است، چراکه به جاي يک گره يا ميزبان مرکزي، ميليونها سيستم آلوده در سراسر جهان وجود دارد. سيستم‌هاي آلوده معمولاً توسط کاربران و سازمان‌ها شناسايي نمي‌شوند و به بخشي از بات‌نت تبديل مي‌گردند. اين سيستم‌ها مي‌توانند اطلاعات خصوصي را تا سال‌ها نشت دهند و پهناي باند موردنياز براي افزايش جرائم سايبري را فراهم آورند. هزينه اجاره يک روبات يا توزيع بار حاوي بدافزار بسيار پايين است (حدود 10 دلار). از اين رو، پخش بات‌نت‌ها تسريع مي‌شود.

اسپم‌ها و کلاهبرداري از طريق شرکت‌هاي دارويي 
کارشناســان مجمـــوعه‌اي از اسپم‌ها در قالــب My  Pharmacy Canadian را در بات‌نت Necurs شناسايي کردند. اين اسپم‌ها در ميزبان‌هاي آلوده‌اي که در گسترش اسپم Hailstorm مورداستفاده قرار گرفته بودند، پديدار شده‌اند. پس از شناسايي ميزبان‌هاي مرتبط توسط شرکت SpamHaus، مشخص شد که با سازمان Yambo Financials که در حوزه ارسال اسپم‌هاي مجرمانه فعاليت دارد، در ارتباط هستند.
اين پيام‌هاي اسپم علاوه بر تبليغ داروهاي تقلبي، باج‌افزارهايي مانند Locky را از طريق پيوسته‌اي حاوي بدافزار گسترش مي‌دهند. اين بدافزار سيستم‌ها را به اسپم‌بات‌ها تبديل کرده و تعداد زيادي ايميل ناخواسته ارسال مي‌نمايد. لينک‌هاي درون ايميل‌ها نيز شامل URLهايي هستند که وبسايت‌هاي جعلي دوست‌يابي در روسيه را باز مي‌کنند.

منبع:

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان شهید بهشتی، خیابان شهید صابونچی، کوچه دهم ،پلاک 36 ،مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.