نحوه شناسایی backdoorها در یک شبکه اینترپرایز

در چشم‌انداز امنیت سایبری امروزی که به سرعت در حال تحول است، شبکه‌های سازمانی با یک تهدید موذیانه مواجه هستند: Backdoorها، همین امر شناسایی Backdoor را بسیار مهم می‌کند.
این نقاط ورودی مخفی به مهاجمان اجازه می‌دهد تا رویه‌های استاندارد احراز هویت را دور زده، به سیستم‌ها دسترسی غیرمجاز پیدا کرده و به طور بالقوه ماه‌ها در حین استخراج داده‌های حساس، ناشناس باقی بمانند.
با پیچیده‌تر شدن تکنیک‌های Backdoorها، سازمان‌ها باید روش‌های پیشرفته تشخیص را برای محافظت از زیرساخت‌های حیاتی خود اتخاذ کنند.

رشد تهدیدات Backdoorها

حملات Backdoor در سال‌های اخیر به طور قابل توجهی تکامل یافته‌اند. Backdoorهای مدرن دیگر فقط سوءاستفاده‌های ساده نیستند، بلکه از تکنیک‌های پیچیده‌ای برای فرار از شناسایی استفاده می‌کنند و در عین حال امکان دسترسی مداوم به سیستم‌های آسیب‌پذیر را برای مهاجمان فراهم می‌کنند.
حمله Backdoorها روشی مخفیانه برای دور زدن رویه‌های احراز هویت استاندارد برای دسترسی غیرمجاز به یک سیستم است.
این Backdoorها پس از نصب می‌توانند افزایش امتیاز، حرکت جانبی در شبکه‌ها، سرقت داده‌ها و اختلالات عملیاتی را انجام دهند.
حوادث اخیر شدت این تهدید را برجسته می‌کنند. برای مثال در نوامبر 2024، Broadcom در مورد سوءاستفاده فعال از دو آسیب‌پذیری VMware vCenter Server، از جمله یک نقص حیاتی اجرای کد از راه دور (CVE-2024-38812) که ناشی از ضعف سرریز پشته در پیاده‌سازی پروتکل DCE/RPC vCenter است، هشدار داد. این آسیب‌پذیری بر محصولاتی که حاوی vCenter هستند، از جمله VMware vSphere و VMware Cloud Foundation، تأثیر می‌گذارد و پتانسیل تأثیر گسترده این حملات را برجسته می‌کند.

روش‌های شناسایی Backdoorهای مدرن

تیم‌های امنیتی سازمانی از رویکردهای متعددی برای تشخیص Backdoorها استفاده می‌کنند که هر کدام مزایای متمایزی دارند:

تشخیص مبتنی بر امضا (Signature-Based)

این رویکرد سنتی، ترافیک شبکه و فایل‌ها را برای یافتن الگوهای مخرب شناخته‌شده یا « Signatureها» بررسی می‌کند.

هر برنامه، از جمله بدافزار، الگوی متمایزی از اقدامات، اندازه فایل، هش فایل و کد کامپایل‌شده خود دارد.
هنگامی که ترافیکی مطابق با امضاهای مخرب شناخته‌شده شناسایی می‌شود، سیستم می‌تواند بلافاصله آن را علامت‌گذاری کند.
تشخیص مبتنی بر امضا شامل استفاده از الگوها یا امضاهای از پیش تعریف‌شده برای شناسایی Backdoorهای شناخته‌شده در فایل‌ها یا سیستم‌ها است.
از آنجایی تشخیص مبتنی بر امضا در برابر تهدیدهای شناخته‌شده مؤثر است، در عین حال با سوءاستفاده‌های Zero-day و Backdoorهای قبلاً دیده نشده دست و پنجه نرم می‌کند.

تشخیص مبتنی بر رفتار (Behavior-Based)

به جای جستجوی امضاهای خاص، تشخیص مبتنی بر رفتار، الگوهای فعالیت مشکوک را رصد می‌کند.
تشخیص مبتنی بر رفتار به دنبال الگوهای فعالیت غیرمعمول یا مشکوکی می‌گردد که ممکن است نشان‌دهنده وجود یک Backdoor باشد. این رویکرد می‌تواند Backdoorهایی را که از طریق روش‌های مبتنی بر امضا شناسایی نشده اند، شناسایی کند.

تشخیص مبتنی بر ناهنجاری (Anomaly-Based)

این رویکرد پیشرفته‌تر، مدل‌های رفتار شبکه «عادی»ای را ایجاد نموده و انحرافات از این خط پایه را شناسایی می‌کند.
تشخیص مبتنی بر ناهنجاری، الگوهای ترافیک و رفتار کاربر را برای شناسایی انحرافات از استفاده عادی تجزیه و تحلیل می‌کند.
این روش، تهدیدات جدید، از جمله Backdoorهای پیچیده‌ای که ممکن است در غیر این صورت با فعالیت های قانونی ترکیب شوند را شناسایی می‌کند.
تشخیص مبتنی بر ناهنجاری، یک تکنیک کلیدی در امنیت سایبری است که شامل شناسایی الگوهای غیرمعمول یا مشکوک در داده‌ها، ترافیک شبکه یا رفتار کاربر است که از حالت عادی منحرف می‌شوند.

رویکردهای یادگیری ماشینی

جدیدترین مرز در تشخیص  Backdoor، هوش مصنوعی را به کار می‌گیرد.
روش‌های سنتی تشخیص Backdoor مبتنی بر امضا و مبتنی بر رفتار، محدودیت‌هایی در تشخیص بدافزارهای پیچیده دارند، اما رویکردهای مبتنی بر یادگیری ماشینی در تشخیص بدافزارهای Backdoor اثربخش بوده‌اند.
این سیستم‌ها می‌توانند به طور تطبیقی از حجم زیادی از داده‌ها یاد بگیرند و الگوهای ظریفی را که نشان‌دهنده تهدیدات امنیتی هستند، شناسایی کنند.

استراتژی‌های پیشگیری پیشگیرانه

تشخیص بسیار مهم است اما پیشگیری همچنان بهترین دفاع است. کارشناسان امنیتی چندین روش برتر را توصیه می‌کنند:
پیاده‌سازی سرورهای jump: برای کنترل دسترسی مدیریتی به دستگاه‌های شبکه، بهتر است که تمام دسترسی‌های مدیریتی یا root از طریق یک سرور jump یا “jump box” انجام شود.
استقرار احراز هویت چند عاملی: به ویژه برای دسترسی‌های سطح ادمین حیاتی است.
ایجاد تقسیم‌بندی شبکه: اجازه دسترسی به مدیریت دستگاه را فقط از زیرشبکه‌های خاص و باکس های خاص بدهید.
نظارت مداوم: پیاده‌سازی ابزارهای اسکن شبکه و نظارت مداوم برای شناسایی سریع آسیب‌پذیری‌ها و Backdoorها.
راهکارهای تشخیص و پاسخ در اندپوینتها (EDR): EDR به طور مداوم دستگاه‌های کاربر نهایی را برای شناسایی و پاسخ به تهدیدات سایبری رصد می‌کند و می‌تواند فعالیت‌های مخرب را قبل از اجرا مسدود کند.

شکار تهدید: رویکرد پیشگیرانه

فراتر از تشخیص خودکار، بسیاری از سازمان‌ها اکنون از شکار تهدید استفاده می‌کنند , به طور پیشگیرانه به دنبال تهدیدهای سایبری ای هستند که در شبکه شناسایی نشده‌اند.
شکارچیان تهدید فرض می‌کنند که دشمنان از قبل حضور دارند و تحقیقات را برای یافتن رفتارهای غیرمعمول نشان دهنده فعالیت مخرب آغاز می‌کنند.
با تکامل تکنیک‌های Backdoor، سازمان‌ها باید یک استراتژی تشخیص چند لایه را در نظر بگیرند که ترکیبی از تجزیه و تحلیل امضا، نظارت رفتاری، تشخیص ناهنجاری و یادگیری ماشینی است که همگی توسط تمرین‌های منظم شکار تهدید پشتیبانی ‌شوند.
این رویکرد جامع بهترین دفاع در برابر یکی از پایدارترین تهدیدها برای امنیت شبکه سازمانی را نشان می‌دهد.

منبع:

gbhackers