آموزش CEH (هکر کلاه سفید): بات‌نت‌ها چگونه از سرویس رایانش ابری برای پیاده‌سازی حملات استفاده می‌کنند؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

بسیاری از بات‌نت‌ها با انگیزه مالی طراحی می‌شوند. یک نمونه مشهور در این زمینه Silentbanker است. بات‌نت فوق پس از آلوده کردن یک سامانه، منتظر می‌ماند تا یک تراکنش مالی از جانب سامانه انجام شود. در ادامه، Silentbanker ضمن نمایش اطلاعات مربوط به تراکنش مالی، جزئیات حساب بانکی کاربر را به حساب مهاجم تغییر می‌دهد. از آن‌جایی که کاربران نمی‌دانند داده‌های حساب کاربری آن‌ها اصلاح شده است، ناخواسته مبالغی به حساب بانکی مهاجم ارسال می‌کنند. تروجان‌های بانکی به روش‌های مختلفی کاربران نهایی را هدف قرار می‌دهند. موارد مشترک زیر در ارتباط با تمامی تروجان‌های بانکی صدق می‌کند:

TAN grabber: روبات شماره تأیید اعتبار را معامله می‌کند و آن‌را با یک شماره نامعتبر جایگزین می‌کند تا کلاینت از آن استفاده کند. در این حالت مهاجم می‌تواند برای انجام معاملات بانکی از این شماره معتبر استفاده کند.

injection HTML: یکسری فیلدهای جعلی را ایجاد و به کاربر نهایی نشان می‌دهد.

Form grabber: درخواست‌های POST را ضبط و ویرایش می‌کند.

برخی از بات‌نت‌ها به عنوان کیت‌های crimeware فروخته می‌شوند. Citadel نمونه‌ای از این نوع بات‌نت‌ها است. شکل زیر رابط کاربری بات‌نت فوق را نشان می‌دهد.

قیمت این کیت مخرب بسته به قابلیت‌ها و کارکردهایی که در اختیار مصرف‌کننده قرار می‌دهد از چند هزار دلار آغاز می‌شود. کیت Crimeware می‌تواند خدمات مختلفی همچون میزبانی سرور بات‌نت را ارائه کند. شرکت‌هایی که خدمات میزبانی مربوط به این کیت را ارائه می‌کنند در کشورهای مختلف قرار دارند. بر خلاف اکثر شرکت‌های میزبانی، آن‌ها نسبت به خدمات و قابلیت‌هایی که ارائه می‌کنند و همچنین نحوه بارگذاری و توزیع سرویس‌های موردتقاضای کاربر، دقیق هستند. به عبارت دیگر نسبت به مشتریان خود متعهد هستند. این شرکت‌های میزبان ناپیدا به مشتریانی که نیازمند بدافزار یا سرویس‌های کلاه‌برداری هستند به شکل پنهان سرویس‌دهی می‌کنند تا هویت مشتریانشان حفظ شود.

مرحله بعدی نصب است. این یک فرآیند حالت خودکار دارد و کیت به همان شکلی نصب و پیکربندی می‌شود که سیستم‌عامل یا یک نرم‌افزار کاربردی را روی یک سامانه نصب می‌کنید. اگر در زمان نصب با مشکلی روبرو شوید، یک دفترچه راهنما اطلاعات تکمیلی را ارائه می‌کند. جالب است که اگر بازهم با مشکلی روبرو شوید، بخش پشتیبانی فنی اطلاعات لازم را ارائه می‌کند. در این حالت مصرف‌کننده هزینه اضافی برای دریافت پشتیبانی فنی ارائه می‌کند. با رونق بازار روبات‌ها، مصرف‌کنندگان می‌توانند به درآمدزایی بالایی برسند. به‌طور مثال، کافی است یک بدافزار کی‌لاگر را روی سامانه تعدادی از کاربران نصب کنید تا جزییات کارت‌های بانکی، شماره کارت‌های اعتباری، گذرواژه‌های ورود به سیستم، گذرواژه‌های مربوط به حساب‌های ایمیل را ضبط کنند یا حتا هرزنامه‌هایی را برای کاربران ارسال کنند. بیشتر حملات بات‌نت مبتنی بر مباحث مالی از کارگران مالی استفاده می‌کنند. کارگران مالی افرادی هستند که هیچ چیزی از آن‌ها به سرقت نرفته، بلکه تنها پولی را از یک حساب به حساب دیگری در یک کشور یا کشورهای مختلف انتقال می‌دهند. این افراد عمدتا ناخواسته این‌کار را انجام می‌دهند و برخی متوجه نیستند که فعالیت آن‌ها غیر قانونی بوده و قانون جرم آن‌ها را پول‌شویی تعریف کرده است.

چرخه حیات بات‌نت

چرخه حیات یک بات‌نت شامل مراحل زیر است:

Initial infection: در این فاز یک میزبان آلوده می‌شود و به عنوان عضوی از یک شبکه روباتی در می‌آید.

Secondary injection: این فاز نیازمند آن است که فاز اول به صورت موفقیت‌آمیز انجام شده باشد. در این فاز میزبان آلوده شده، برنامه‌ای را اجرا می‌کند که در پایگاه داده یک شبکه مشخص، باینری‌های بدافزار را جستجو می‌کند. زمانی که این باینری‌ها دانلود و اجرا شدند، میزبان آلوده شده، تبدیل به یک روبات واقعی می‌شود. دانلود کردن باینری‌های روبات‌ها معمولاً توسط پروتکل‌های FTP, HTTP و P2P انجام می‌شود.

Connection or Rally: در این مرحله بایستی ربات جدید به یک کانال کنترل و فرمان متصل شود تا به روز رسانی‌ها و دستورالعمل‌ها را دریافت نماید. به برقراری ارتباط ربات با کانال فرمان و کنترل، Rally نیز گفته می‌شود. در واقع هر بار که میزبان restart می‌شود بایستی این فاز مجدداً انجام شود تا از اتصال و آماده به کار بودن ربات، اطمینان حاصل شود؛ بنابراین فاز اتصال، چندین بار در طول حیات یک ربات اتفاق می‌افتد. با توجه به این که ربات‌ها باید با سرورهای C&C ارتباط برقرار کنند، در این فاز بسیار آسیب پذیرند. ربات‌ها معمولاً به صورت پیش‌فرض ارتباطی را با سرورهای C&C برقرار می‌کنند که این ویژگی می‌تواند منجر به این شود که مکانیزم‌هایی برای تشخیص الگوهای ترافیکی ایجاد شوند که می‌توانند در نهایت منجر به کشف اجزای یک شبکه رباتی و حتی سرورهای C&C گردند.

Malicious activities: پس از برقراری ارتباط با کانال فرمان و کنترل، ربات منتظر دریافت دستورها می‌شود تا فعالیت‌های مخربی را انجام دهد. در این فاز تبادل پیام‌ها با شدت بیشتری انجام می‌گیرد به گونه‌ای که در یک دوره زمانی کوتاه تعداد زیادی پیام مبادله می‌شوند. البته لازم است ذکر شود که ترافیک C&C حجم زیادی ندارد و منجر به تأخیر بالای شبکه نمی‌شود؛ بنابراین تکنیک‌های مبتنی بر بی نظمی نمی‌توانند ترافیک C&C را تشخیص دهند.

Maintanance and upgrading: برای این که یک botmaster بتواند ارتش زامبی‌های خود را حفظ کند اجرای این فاز الزامیست. ممکن است که botmaster احتیاج داشته باشد که کدها را به دلایلی اعم از دور زدن تکنیک‌های تشخیص، اضافه کردن ویژگی‌های جدید یا تغییر دادن سرور C&C به روزرسانی کند. این مرحله معمولاً به عنوان یکی از مراحل آسیب‌پذیر در نظر گرفته می‌شود چرا که botmasterها معمولاً تلاش می‌کنند تا به روز رسانی‌ها را خیلی سریع انجام دهند و این می‌تواند منجر به الگوهای مشخص رفتاری شود که با استفاده از آن‌ها می‌توان ترافیک ربات‌ها را تشخیص داد. پس از این که ربات‌ها به روز شدند، باید ارتباطات جدیدی را با سرور C&C برقرار نمایند.

اقدامات متقابل در برابر بات‌نت‌ها

هکرها می‌توانند انواع مختلفی از حملات را ترتیب دهند. سایت www.computerworlduk.com از ژوئیه تا اکتبر سال 2015 ترافیک طیف گسترده‌ای از سایت‌ها را زیر نظر گرفت و متوجه شد، تقریباً نیمی از کل ترافیک این سایت‌ها توسط روبات‌ها ایجاد شده است. گزارش منتشر شده توسط این سایت نشان می‌دهد که ترافیک مربوط به روبات‌های خوبی همچون عنکبوت‌های استفاده شده توسط موتورهای جست‌وجو (19.5 درصد) و موارد مخرب همچون اسپم و DDoS (29 درصد) بود. فقط نیمی از ترافیک کلی توسط کلیک افراد روی ماوس تولید شده بود و مابقی ترافیک را روبات‌ها ایجاد کرده بودند. گزارش فوق نشان می‌دهد که متخصصان امنیتی با یک چالش جدی در این زمینه روبرو هستند. بخش عمده‌ای از تهدیدات بات‌نت‌ها در ارتباط با پیاده‌سازی حملات انکار سرویس توزیع شده است. از آن‌جایی که روز به روز بر تجارت الکترونیک، انجام تراکنش‌های مالی و به ویژه رمزارزها تاکید خاصی می‌شود، مشاغل بیشتری به فضای مجازی وارد می‌شوند و در نتیجه سامانه‌های اسکادا برای نظارت و جمع‌آوری داده‌ها (SCADA) به یک ارتباط ثابت وابستگی بیشتری پیدا می‌کنند. DDoS همچنان یک تهدید واقعی است و به سختی می‌توان در برابر یک حمله DDoS که از جانب بات‌نت‌ها پیاده‌سازی شده مقابله کرد، با این‌حال می‌توان میزان آسیب‌های وارد شده یا خطر از دست دادن شبکه را کاهش داد. یکی از اولین کارهایی که می‌توانید انجام دهید اقدامات پیشگیرانه است. اگر دستگاه یا برنامه‌ای به درستی کار نمی‌کند یا رفتا عجیبی دارد، این موضوع را بررسی کنید. زمانی که تکنیک‌های مختلف و دفاع در عمق را با یکدیگر ترکیب کنید، قادر به پیاده‌سازی شبکه ایمن‌تری هستید. سامانه‌های تشخیص نفوذ (IDS) می‌توانند در دفاع در برابر حملات نقش تعیین کننده‌ای داشته باشند. اگرچه ممکن است مانع پیاده‌سازی حملات نشوند، اما می‌توانند در تشخیص زود هنگام، مسدود کردن ترافیک مشکوک و حذف روبات‌ها از سیستم‌های آلوده کمک کنند. گاهی اوقات کامپیوترها بدون اطلاع صاحبان آن‌ها آلوده می‌شوند.

اگر به یک کلاینت یا مشتری یکی از سرویس‌ها مشکوک هستید، Ngrep می‌تواند برای جست‌وجوی الگوهای رشته‌ای در بارداده‌های لایه کاربرد و جست‌وجوی ترافیک IRC مفید باشد. Wireshark را می‌توان برای تحلیل ترافیک بلادرنگ استفاده کرد. در برخی موارد، حتی ممکن است کامپیوترها مقصر نباشند و دستگاه‌های اینترنت اشیاء (IoT) توسط بدافزارهایی شبیه به میرای هدف قرار باشند. کاملا طبیعی است که در چند سال آینده و با رشد ضریب نفوذ تجهیزات اینترنت اشیا در سراسر جهان با حمله طیف گسترده‌ای از تجهیزات هوشمند روبرو شویم، زیرا هکرها دستگاه‌های آسیب‌پذیر اینترنت اشیا بیشتر و جدیدی را پیدا می‌کنند و سعی می‌کنند راهکارهای خلاقانه‌ای برای آلوده کردن دستگاه‌های آسیب‌پذیر پنهان شده در پشت دیوارهای آتش شرکت‌ها یا روترهای خانگی پیدا کنند.

رویکرد بعدی ردیابی است. راهکار فوق روی ردیابی بسته‌ها در نقاط ورودی مرتبط با دامنه‌ها متمرکز است. به‌طور معمول، در گام اول ابتدا باید مشخص کنید که ترافیک ورودی جعلی یا معتبر است و در ادامه بررسی کنید که آیا ترافیک از سمت یک آدرس آی‌پی معتبر آماده یا خیر. می‌توانید از تکنیک‌های مختلفی برای تعیین اینکه ترافیک از یک منبع معتبر ارسال شده یا خیر استفاده کنید. از حمله این تکنیک‌ها به موارد زیر می‌توان اشاره کرد:

■ IPID analysis : مقدار IPID موجود در سرآیند IPv4 به شکل اصولی افزایش پیدا می‌کند. اگر این تعداد بین ترافیک ورودی و آنچه که منبع واقعی متصور است، تفاوت محسوسی داشته باشد، نشان می‌دهد که ترافیک جعلی است و نباید به شبکه اصلی وارد شود.

■ TTL inspection: با ارسال یک بسته به میزبان ادعا شده و بررسی پاسخ می‌توان این موضوع را بررسی کرد. اگر TTL پاسخ داده شده برابر با بسته‌ در حال بررسی نباشد، بیان‌گر ترافیک جعلی است.

■ TCP window size: اگر مهاجمین بسته‌های جعلی ارسال کنند، کامپیوتر فرستنده بسته ACK قربانی را دریافت نمی‌کند و نمی‌تواند زمانی که TCP فیلد window را دریافت می‌کند به درستی پاسخ دهد.

نکته: حمله سيل‌آسای SYN يك نوع حمله فرسودگي منابع است. در این حمله از کوکی‌های SYN می‌توانند برای پیاده‌سازی یک حمله سیل‌آسا استفاده می‌شود. ایده اصلی این است که از کوکی‌های SYN استفاده کنیم تا سرور ارتباطات را رها کند و صف SYN در وضعیت اشباع قرار بگیرد. در این حالت سرور قادر به پردازش محاوره‌ها نخواهد بود.

هنگامی که احساس کردید ترافیک از یک منبع غیرقانونی در حال ورود است یا ترافیک جعلی است و محل ورود را می‌دانید باید با ارائه‌دهنده خدمات اینترنتی (ISP) صحبت کنید تا روترهای خود را برای رد کردن تمام بسته‌‌هایی که ممکن است برای پیاده‌سازی حملات DDoS استفاده شوند پیکربندی کند. به‌طور معمول، شرکت‌های ارائه‌دهنده خدمات اینترنتی این نتایج را در قالب پروتکل پیام کنترل اینترنت (ICMP) نوع 3 و به شکل پیام‌های غیر قابل دستیابی بازگردانده می‌گردانند. ISP سپس می‌تواند رابط‌های مشخص شده بعدی روتر را که از طریق آن حمله انجام می‌شود را شناسایی کند. این تکنیک نوعی مکانیزم دفاعی پیش‌رو است. انتقال ترافیک به مکانی به غیر از شبکه اصلی به میزان قابل توجهی به روند دفع حملات کمک می‌کند. گره‌هایی که در این زمینه استفاده می‌شوند عملکردی شبیه به نیروی نظافتی دارند و اجازه می‌دهند ترافیک معتبر و قانونی به سرورهای وب شرکت هدایت شوند. Symantec ، Verisign و شرکت‌ها دیگر امنیتی یک چنین خدماتی را ارائه می‌کنند. همچنین لازم است از ابزارهایی مانند Tripwire برای بررسی یکپارچگی فایل‌ها استفاده کرد.

همان‌گونه که اشاره شد، مهم‌ترین دفاع انجام اقدامات پیشگیرانه است. این بدان معنی است که باید با شرکت ارائه‌دهنده خدمات اینترنتی یک استراتژی مدون را ترتیب دهید. رویکرد فوق می‌تواند به متوقف کردن ترافیک در سطح بالاتر کمک کند. خدمات مسدودسازی hole filtering و سرویس‌های پیشگیری از حملات DDoS ارائه شده توسط شرکت‌های ارائه‌دهنده خدمات با پرداخت مبالغی در دسترس هستند.

چگونه به جست‌وجوی برنامه‌های DDoS بپردازیم؟

در حالت کلی مکانیزم‌های محافظتی کمی برای مقابله با حملات DDoS در دسترس سازمان‌ها قرار دارد، با این‌حال هنوز هم می‌توان بر مبنای یکسری ابزارها و اقدامات خاص به شناسایی نشانه‌های احتمالی پرداخت. برای روشن‌تر شدن بحث به مثال زیر دقت کنید:

1. ابتدا ابزار شناسایی DDoS که DDoSPing نام دارد را دانلود کنید. ابزار فوق به شکل رایگان در آدرس http://www.mcafee.com/us/downloads/free-tools/ddosping.aspx  قرار دارد.

2. پس از دانلود برنامه را در پوشه پیش‌فرض از حالت فشرده خارج و اجرا کنید.

3. سرعت انتقال را با حرکت لغزنده در وضعیت MAX قرار دهید. (لغزنده را به سمت راست بکشید.)

4. در محدوده مقصد، آدرس زیر شبکه خود را وارد کنید.

5. روی دکمه Start کلیک کنید.

6. نتایج به دست‌ آمده را آزمایش کنید تا مطمئن شوید هیچ میزبان آلوده‌ای وجود ندارد.

شبکه تحویل محتوا

یکی از فناوری‌های مهم مبتنی بر ابر که نقش مهمی در دنیای امروز بازی می‌کند شبکه تحویل محتوا است. شبکه تحویل محتوا (Content Delivery Network) که به اختصار CDN خوانده می‌شود، طبق تعریف اتحادیه بین‌المللی مخابرات به هر گونه شبکه‌ای که برای تحویل محتوای دیجیتالی بهینه‌سازی شده باشد شبکه تحویل محتوا می‌گویند. معمولاً شبکه‌های تحویل محتوا دارای سرورهایی است که در نقاط مختلف مستقر هستند و به صورت جغرافیایی توزیع شده‌اند. برخی شبکه‌های تحویل محتوا بسیار بزرگ هستند و به وبگاه‌های زیادی خدمت عرضه می‌کنند مانند آمازون، آکامی و کلودفلر برخی دیگر از شبکه‌های تحویل محتوا هم بسیار بزرگ هستند، اما فقط برای مصرف یک مجموعه وبگاه توسعه پیدا کرده‌اند مانند شبکه تحویل محتوای گوگل. برخی شبکه‌های تحویل محتوا هم بر یک کشور خاص متمرکز هستند مانند چاینا کش در چین. گاهی اوقات به شرکت‌های ذخیره‌ساز موقتی اپراتورهای دسترسی اینترنتی هم شبکه تحویل محتوا می‌گویند، اما شبکه‌های تحویل محتوای تجاری بر اساس قرارداد با صاحب خدمات وبگاه و با دسترسی به سرور نام به اطلاعات وبگاه دسترسی دارند. شبکه تحویل محتوا با استفاده از سرورهای توزیع شده توجه به موقعیت جغرافیایی کاربر از طریق نزدیک‌ترین سرور به کاربر محتوا را ارائه می‌دهد. این سرویس در افزایش سرعت تحویل محتوا و پهنای باند در وب سایت‌های با ترافیک بالا و وب سایت‌های جهانی مانند گوگل، یاهو، فیس بوک و … بسیار تأثیرگذار است. از مزایای شبکه تحویل محتوا می‌توان به افزایش سرعت بارگذاری و نمایش صفحات وب در سیستم بازدیدکنندگان، افزایش امنیت سایت‌ها (بیشتر ارتباط‌ها به صورت غیر مستقیم و محافظت دو چندان هستند)، افزایش مقدار پهنای باند (به‌طور مثال اگر سرور شما ۱۰ گیگابایت پهنای باند به شما ارائه می‌کند وقتی از یک CDN که دارای 10 گره است استفاده می‌کنید در حقیقت 10 x 10 گیگابایت به پهنای باند خود افزوده‌اید، هزینه بسیار پایین (دلیل این مزیت توانایی استفاده اشتراکی چندین نفر از سرورها است)، نصب آسان و افزایش سرعت بارگذاری و نتایج مثبت در رتبه سایت شما در موتورهای جستجوگر اشاره کرد.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH