اخیرا گزارش های بسیاری از باج افزار WannaCry در رسانه ها منتشر شد و این پوشش گسترده ممکن است در این زمان سایر تهدیدات اینترنتی را تحت شعاع قرار داده باشد.
خطرناکتر از باج افزارها هنوز بدافزارها (Malware) هستند که می توانند به طور کامل کنترل سیستم آلوده را در دست بگیرند. این بدافزار که قادر است به طور کامل کنترل ماشین آسیب دیده و در این مورد حتی شبکه ای از سیستم ها را تحت کنترل خود قرار دهد Botnet نامیده می شود.
این بات نت تهدید بزرگتری نسبت به باج افزارها است. زیرا اپراتورهای آنها می توانند هر عملیاتی را با موفقیت نزدیک به 100درصد در سیستم اجرا کنند. بات نت ها به اندازه باج افزار برای مردم شناخته شده نیستند و تقریبا غیرقابل پیش بینی هستند و در هر لحظه می توانند تغییر کنند.
بات نت ها نه تنها به سیستم های آلوده بلکه به سیستم های دیگر می توانند از طریق ارسال اسپم و توزیع کلاهبرداری ها و حتی باج افزارها آسیب برسانند. به عنوان مثال می تواند حملات DDos یا بنرهای تبلیغاتی تقلبی شبکه را اجرا کند. هرکدام از اینها می تواند نگران کننده باشد به علاوه حدود 50 تا 70 درصد ایمیل ها اسپم هستند که 85 درصد از این اسپم ها می توانند حاوی فایل های ضمیمه آلوده و منجر به آلودگی به باج افزارها شوند.
از دیدگاه یک کاربر سیستم آلوده، اپراتور بات نت می تواند به حسابهای بانکی، حسابهای شبکه های اجتماعی و ایمیل ها دسترسی پیدا کند و یا حداقل از منابع سیستم برای استفاده و برای سوءاستفاده های مالی از طریق بیت کوین، استفاده کند.
علاوه بر این، کمترین و ناچیزترین تهدید بات نت ها می تواند رمزگذاری روی سیستم ها توسط اپراتور بات نت باشد.
پیشرفت اخیر بات نت ها
بین افزایش قدرت جرایم اینترنتی، اپراتورهای بات نت به دنبال یافتن بهترین حد ممکن برای کنترل سیستم های تحت نظر خودشان هستند. در اصل معنای اولیه آنها کسب درآمد از طریق توزیع هرزنامه بوده است. بات نت های قوی می توانند میلیاردها هرزنامه در هر روز ارسال نمایند، بنا به گزارش ها مارینا بزرگترین بات نت با رکورد ارسال 90 میلیارد اسپم متناوب بوده است.
برای جلوگیری از شناسایی و بهبود ویژگی ها، معماران بات نت ها نوآوری های جدیدی را به کار گرفته اند. آن ها مدل های ساده ی سرور را رها کردند و از سرورهای مدل P2P استفاده می کنند که بات هم به عنوان سرور هم کلاینت می تواند اجرا شود. آنها دستورات را هم ارسال و هم دریافت می کنند بنابراین از داشتن یک نقطه شکست اجتناب می کنند.
همانطور که به تازگی در دسامیر 2016، بات نتی با نام Avalanche توسط تعدادی از شرکت های امنیتی از جمله ESET شناسایی شد. زیر ساخت این بات نت بسیار پیچیده و انعطاف پذیر بود و از تکنولوژی Fast-Flux استفاده می کرد که به صورت متناوب آدرس های IP سرورهای C&C و نام سرورها را عوض می کند.
برای شناسایی یک بات نت، حدود 800000 آدرس دامنه وب کشف، ضبط و مسدود شد و 220 سرور آفلاین شدند و 5 نفر دستگیر شدند. این بات نت حدود یک میلیون نفر را آلوده کرد که 500 نفر از آنها شناسایی شده و از طریق ISP ها به آنها اطلاع داده شد. بات نت Avalanche انواع مختلفی از بدافزارها از جمله باج افزارها، تروجان های بانکی و استیلرهای اعتباری را توزیع کرد.
بات نت : نه فقط کامپیوترهای شخصی
در حالیکه بات نت های معمولی کامپیوترهای شخصی را درگیر می کند، دو نوع بات نت دیگر وجود دارد : سرور و اشیا. هر کدام از این دو نوع مزایای متفاوتی برای مجرمان سایبری دارد.
وب سرورهای آلوده ممکن است مسیر ترافیک را تغییر دهند و با توجه به نوع آنها قوی تر از رایانه های شخصی عمل می کنند همچنین از خطوط اینترنت پر سرعت تری برای توزیع اسپم ها استفاده می کنند.
دستگاههایی که در دسته اینترنت اشیا قرار می گیرند امنیت کمتری دارند و بنابراین می توانند بیشتر توسط بدافزارها آلوده شوند. با توجه به ماهیت آنها اشیا برای وظایف ساده تر استفاده می شوند، استفاده از آنها محدود به حملات DDoS است. به هرحال این یک مسئله بزرگ است و طبق گزارشات و تحقیقات تعداد اشیا متصل به اینترنت تا سال 2020 به 20.8 بیلیون خواهد رسید.
سرورهایی که به بردگی گرفته می شوند.
یکی از بزرگترین بات نت های سرور در سال 2014 توسط قوانینی هماهنگ از کشورهای مختلف و با پشتیبانی ESET مهار شد. این مورد عملیات منجر به تشریح بات نت های بزرگ لینکوسی OpenSSH backdoor شد. براساس تجزیه و تحلیل های ESET حدود 250000 سرور طی دو سال گذشته مورد بهره برداری قرار گرفتند و حدودا 10000 عدد از این سرورها هنوز هم آلوده اند. سرورهای آلوده برای هدایت بازدیدکنندگان وب سایت ها به محتوای آلوده و یا ارسال 35 میلیون اسپم در هر روز مورد استفاده قرار گرفته اند.
بات نت Mumblehard، یکی دیگر از بات نت هایی است که توسط ESET، شناسایی شد. آنالیز این بات نت نشان می دهد که از حدود 4000 سرور آلوده برای ارسال اسپم استفاده می کند.
اشیا به بردگی گرفته می شوند.
بات نت های اینترنت اشیا (IoT) در اکتبر 2016 به شهرت رسیدند زمانی که DNS خدمات Dyn مورد حمله DDoS پایداری قرار گرفت. در اواسط ماه بات نت Mirai به عنوان داده برای حمله به کار گرفته شد، مجددا بات نت در حمله Krebs در سایت امنیتی ظاهر شد، که به سرعت 620گیگابیت بر ثانیه و بعد از آن رکورد 1ترا بیت بر ثانیه روی یک وب سایت خدمات هاستینگ دست یافت.
این بات نت شبکه ای از دستگاههای مصرف کننده آنلاین مثل آی پی دوربین ها ، روترهای خانگی و … که توسط بدافزار Mirai آلوده شده اند، است. این بدافزار اینترنت را برای یافتن دستگاهها آسیب پذیر مثل سیستم هایی که از ورژن قدیمی لینکوس و … استفاده می کنند، بررسی کرده و آن ها را آلوده می کند.
متاسفانه سورس کد Mirai در یک فروم هک قرار گرفته و می تواند به راحتی مورد استفاده هکرها قرار بگیرد. محققان ESET، حدس می زنند که حدود 15درصد از روترهای خانگی سراسر جهان که تقریبا معادل 105میلیون عدد هستند، در معرض خطر آلودگی توسط بد افزار Mirani حملات DDoS قرار دارند.
یک مثال برای بررسی نزدیک تر: Necurs
Necurs یکی از بزرگترین بات نت های ارسال اسپم است که از نزدیک به 5میلیون بات آلوده استفاده می کرد که روزانه یک میلیون از آنها فعال بودند و ماژول جدیدی را اضافه کرد که می توانست برای اجرای حملات DDoS بکار گرفته شود.
این بات نت بخش ثابت اسپم و از بزرگترین توزیع کنندگان باج افزار در سراسر جهان است. در دسامبر 2016 نیز به نوع دیگری از جرایم اینترنتی و کلاهبرداری مالی روی آورد.
تغییر و تحول از باج افزار به کلاهبرداری از طریق سهام و حملات DDoS ظرف مدت فقط چندماه نشان از سرعت بالای این بات نت و تحولات چشمگیر در آنهاست.
دست کم گرفتن تهدیدات
ادعا می شود که این تهدیدات می توانند بسیار خطرناک تر از باج افزار بزرگ قوی wannacry که بیش از 350000 کامپیوتر را درگیر کرد، باشد.
بات نت ها به طور کلی حاوی میلیون کامپیوتر هستند که ( با توجه به گزارشات سالانه حدود 500میلیون کامپیوتر به صورت سراسری در جهان آلوده می شوند). نه فقط این بلکه هر یک از این کامپیوترها می توانند توسط باج افزاری نیز رمزگذاری شوند. اپراتورهای آنها نیز می توانند به راحتی باج افزارهایی به انتخاب خود توزیع و پخش کنند.
حفاظت در برابر بات نت ها : یک راه حل کاربردی
حتی بدون در نظر گرفتن تهدید نهایی رمزگذاری فایلها، در حال حاضر بات نت ها خطری جدی و روشن هستند که هم کاربران نهایی و هم سازمان باید برای جلوگیری از آلودگی به آنها تلاش کنند.
مطمئنا هدف تهدیدات نیز اجرا شدن و آلودگی سیستم ها با دور زدن خط های امنیتی است. برای جلوگیری از این تهدیدات باید دامنه ابزارهای امنیتی و روش ها حفاظتی گسترش یابند که شامل آموزش های امنیتی تا استقرار راه حل های امنیت معتبر در سرورها و ایستگاههای کاری و ابزارهای پشتیبان گیری و ریکاوری است.
همچنین برای حفاظت در برابر بات نت ها و جلوگیری از قربانی شدن اینگونه حملات، باید لایه تخصصی حفاظتی ای قرار داده شود. ESET و دیگر وندورهای پیشرو، حفاظت در برابر بات نت ها به عنوان یک لایه حفاظتی امنیتی، برای شناسایی کدهای مخرب و ارتباطات مشکوک مورد استفاده بات نت ها، پیشنهاد می دهند. هر ارتباط مشکوکی مسدود خواهد شد و کاربر نیز ریپورت می شود. باج افزارها تهدیدات خطرناک و قابل مشاهده ای هستند اما بات نت ها تهدیداتی غیر قابل مشاهده و پنهان هستند که اگر بتوانند آن طور که باید و شاید اجرا شوند می توانند اینترنت را به طور کامل فلج کنند.
منبع : www.welivesecurity.com