پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

چگونگی استفاده از ارتباطات DNS در حملات بدافزاری

تیتر مطالب

این تفکر که حفاظت از شبکه در برابر بدافزارها ساده است، غیرواقعی است مخصوصا که بدافزارها محدود به اکسپلویت خاص، نقطه، هدف یا روش خاصی نیستند. با توجه به اینکه محدوده حملات سایبری گسترده و متنوع است، هیچ ابزار جادویی برای دفع تمامی حملات به طور کامل وجود ندارد.
برای مثال در حوزه سلامت، حملات سایبری موفق تنها بر عملکرد آن سازمان اثر نداشته بلکه پیامدهای حقوقی و اعتباری عمده ای در پی خواهد داشت. به همین دلیل معمولا سازمانهای پزشکی و سلامت که قربانی حملات باج افزاری شده اند، بیشترین نرخ پرداخت باج را نسبت به سایر سازمانها دارند. اگر امکان تشخیص شاخص ها قبل از اینکه حمله به طور کامل رخ دهد، را داشته باشند می توانند تا حدود 10.1 میلیون دلار در خسارت حادثه صرفه جویی شود.
اکثر راه حل های امنیتی به یک زیر بخش خاص از بدافزارها ویا بردارهای نفوذ می پردازند، اما هیچ یک از آنها نمی توانند همه تهدیدات را در نقطه ورود متوقف کنند. حتی اگر شدنی هم باشد، گاهی گیت ها دور زده می شوند، همانطور که در بهره برداری Log4J و پکیج های به خطر افتاده اخیر Ctx Python که توسط عوامل خارجی به خطر افتاده و برای بارگذاری بدافزار به هزاران اندپوینت استفاده شده است.
همه تهدیدات فقط در فضای مجازی کمین نمی کنند. به مثال سازمانهای سلامت و درمانی برمیگردیم در چنین جاهایی بردار حمله از دسترسی فیزیکی نیز شروع شود. بیشتر بیمارستانها، مطبهای پزشکان، داروخانه ها و …. به ترمینال های شبکه و دستگاههای در محل متکی هستند و به صورت تصادفی ممکن است کاربر سیستمی آن را برای کاری خارج از دفتر خود ترک کند، در این حالت بیمار، ویزیتورها یا سایر کاربران احراز هویت نشده می توانند به سیستم دسترسی داشته باشند که در این حالت موضوع چگونگی دفاع از شبکه مطرح نیست و فرد مهاجم می تواند با استفاده از USB یا ورود به دستگاه بدافزار را بارگذاری کند و شبکه را از داخل تحت تاثیر قرار دهد.
ممکن است این موقعیت، نشدنی به نظر برسد، اما یک ویژگی وجود دارد که اکثریت قریب به اتفاق بدافزارها را به هم مرتبط می کند:یک پاشنه آشیل مشترک به نام “سیستم نام دامنه (DNS)”. بیش از 91 درصد از بدافزارها از ارتباطات DNS در طول حمله خود استفاده می کنند و DNS تبدیل به یک نقطه ارزشمند در حملات سایبری شده است.
وقتی برای اولین بار بدافزاری وارد شبکه سازمان می شود، تلاش دارد تا از شناسایی در امان مانده و در طی آن تلاش می کند به دستگاه های بیشتری در محیط شبکه گسترش یابد، منابع حیاتی را پیدا کند و ذخیره سازی بک آپها را به خطر بیاندازد.
همچنین بدافزار برای زمانی که نیاز به ارتباط با زیرساخت C2 هکر دارد تا گزارش اطلاعات کشف شده در مورد شبکه مثل ترافیک اینترنت را ارسال کند، لازم است تا درخواستی به DNS ارسال کند. با به کار گیری یک راهکار حفاظتی DNS، مدیران شبکه می توانند ترافیک DNS را برای شاخص های فعالیت های مخرب بررسی کرده و سپس اقداماتی نظیر مسدود سازی، قرنطینه یا هر کاری که از آن رفتار مخرب پیشگیری کند، انجام دهند.
متاسفانه تهدیدات جدید مرتبا در حال تغییر و توسعه هستند؛ سازمان ها باید برای چنین حملاتی در شبکه های خود آماده باشند. زمانی که بدافزاری وارد شبکه ای می شود، به طور قطعی از ارتباط DNS در جایی استفاده می کند. یک راهکار حفاظتی DNS می تواند چنین درخواستهای غیرطبیعی را شناسایی کرده و بلاک نماید. بدافزار را خنثی می کند و به ادمین اجازه می دهد تا به سرعت فرآیند پاکسازی سیستم های خود و تقویت دفاعی خود را شروع کند.
جهت اطلاع از راهکارهای حفاظتی مناسب با ما در تماس باشید. همکاران ما با افتخار آماده پاسخگویی خواهند بود.

منبع: https://www.darkreading.com