آموزش SQL Server2012

«و عنده مفاتح الغیب لا یعلمها الا هو»

Botnet چیست؟ و روش مقابله با آن

در ساده ترین شکل، یک روبوت یک برنامه کامپیوتری خودکار است. در botnetها، bot به کامپیوترهایی اشاره میکند که میتوانند توسط یک یا چند منبع خارجی کنترل شوند. یک فرد مهاجم معمولا کنترل کامپیوتر را با ضربه زدن به آن کامپیوتر توسط یک ویروس یا یک کد مخرب بدست میگیرد و به این وسیله دسترسی فرد مهاجم به سیستم آسیب دیده فراهم میشود.

ممکن است کامپیوتر شما بخشی از یک botnet باشد ولی ظاهرا درست و عادی کار کند. Botnet ها معمولا برای هدایت فعالیتهای مختلفی مورد استفاده قرار میگیرند. این فعالیتها میتواند شامل انتشار هرزنامه و ویروس، یا انجام حملات انکار سرویس و یا فعالیتهای خرابکارانه دیگر باشد. Botnet ها از کامپیوترهایی تشکیل شده اند که توسط یک سرور خرابکار کنترل میشوند و عمده ترین تکنولوژی مورد استفاده جهت انتشار هرزنامه، بدافزار و برنامه های سرقت هویت هستند. زمانی که کامپیوترها آگاهانه یا ناآگاهانه توسط نرم افزاری که برای این منظور طراحی شده آسیب میبینند، دیگر قادر نخواهند بود در برابر دستورات مالک botnet مقاومت نمایند.

Botnet

Botnet ها تهدیدات مداومی برای شرکتهای تجاری به حساب می آیند و در صورت نفوذ به شبکه یک شرکت تجاری یا دسترسی به داده های محرمانه، بسیار خطرناک هستند. مشکل اصلی در مورد botnet ها این است که پنهان هستند و ممکن است تا زمانیکه شما بطور خاص به دنبال آنها نگردید، متوجه حضورشان نشوید. افراد مهاجم همچنین از botnet ها برای دسترسی به اطلاعات شخصی و تغییر آنها، حمله به کامپیوترهای دیگر، و انجام سایر اعمال مجرمانه استفاده میکنند و در عین حال ناشناخته باقی میمانند. از آنجایی که هر کامپیوتر در یک botnet میتواند برای اجرای دستورات یکسان برنامه ریزی شود، یک فرد مهاجم میتواند با استفاده از هر یک از این کامپیوترها، آسیب پذیریهای چندین کامپیوتر را بررسی کرده و فعالیتهای آنلاین آنها را کنترل نماید یا اطلاعاتی را که در فرمهای آنلاین وارد میکنند جمع آوری کند.

یک botnet دقیقا چیست؟

Botnet ها شبکه هایی از کامپیوترهای آلوده هستند. این کامپیوترها تحت کنترل یک مجموعه دستورات هستند که از طریق نرم افزاری که تعمدا و یا نا آگاهانه نصب شده است، مدیریت شده و تغییر میکنند. این نرم افزار توسط یک کامپیوتر خرابکار کنترل میگردد. ممکن است botnet ها دارای کارکردهای قانونی نیز باشند، ولی در اغلب موارد با فعالیتهای مجرمانه برای انتشار هرزنامه، بدافزار یا حملات سرقت هویت در ارتباطند.

بر اساس مطالعات اخیر، حدود 10 درصد از تمامی کامپیوترهای موجود بر روی اینترنت توسط botnet ها آلوده شده اند. زمانی که یک کامپیوتر توسط نرم افزار botnet آلوده میشود، دیگر قادر نخواهد بود در برابر دستورات مالک botnet مقاومت کرده یا از اجرای آنها سر باز زند. برخی اوقات از کامپیوترهای موجود در Botnet ها بعنوان Zombie نام برده میشود. اندازه یک botnet به پیچیدگی و تعداد کامپیوترهای استخدام شده در این Botnet بستگی دارد. یک botnet بزرگ ممکن است از 10000 کامپیوتر منفرد تشکیل شده باشد. معمولا کاربران کامپیوترها از این موضوع که سیستمهایشان از راه دور کنترل شده و مورد سوء استفاده قرار میگیرد اطلاعی ندارند. از آنجاییکه Botnet ها از تکنولوژیهای بدافزاری مختلفی تشکیل شده اند، توضیح دادن درباره آنها و پیچیدگی کار آنها چندان ساده نیست. افراد مهاجم تکنولوژیهای مختلف را به نحوی با هم ترکیب کرده اند که دسته بندی آنها را سخت میکند.

Botnet ها میتوانند باعث ایجاد گستره متنوعی از حملات گردند:
حملات انکار سرویس توزیع شده یک botnet با هزاران عضوی که در سراسر جهان دارد میتواند یک حمله گسترده و هماهنگ را برای خراب کردن یا از کار انداختن سایتها و سرویسهای مهم راه اندازی نماید و منابع و پهنای باند این سیستمها را اشغال کند. حملات چندین گیگا بیت بر ثانیه توسط botnet ها حملاتی کاملا شناخته شده و معمول هستند. اغلب حملات معمول از UDP، ICMP، و TCP SYN استفاده میکنند. اهداف این حملات ممکن است شامل وب سایتهای تجاری یا دولتی، سرویسهای ایمیل، سرورهای DNS، ارائه دهنده های سرویس اینترنت، زیرساختهای اساسی اینترنت یا حتی تولید کنندگان ابزارهای امنیتی صنعت فناوری اطلاعات باشد. حملات همچنین ممکن است سازمانهای سیاسی یا مذهبی خاصی را هدف بگیرند. این حملات گاهی با باج گیری همراه میشوند. هر سرویس اینترنتی ممکن است هدف یک botnet قرار گیرد. این کار میتواند از طریق غرق کردن وب سایت مورد نظر در درخواستهای بازگشتی HTTP انجام شود. این نوع حمله که در آن، پروتکلهای سطوح بالاتر نیز برای افزایش تاثیر حمله به کار گرفته میشوند، بعنوان حملات عنکبوتی نیز مشهور است.
ابزار جاسوسی و بدافزار Botnet ها فعالیتهای تحت وب کاربران را بدون اطلاع یا رضایت کاربر کنترل کرده و گزارش می­دهند. همچنین ممکن است Botnet ها نرم افزار دیگری را برای جمع آوری اطلاعاتی درباره آسیب پذیریهای سیستم نصب کرده و این اطلاعات را به دیگران بفروشند. علاوه بر این، یک ربات همچنین میتواند بعنوان یک وسیله استراق سمع به کار رفته و داده های مهم و حساس را که از یک سیستم آسیب دیده میگذرند گوش دهد. داده های نوعی که این رباتها به دنبال آن میگردند عبارتند از اسامی کاربری و کلمات عبوری که فرمانده Botnet میتواند برای اهداف شخصی خود از آنها استفاده کند. داده هایی درباره یک botnet رقیب که در همان واحد نصب شده است نیز میتواند هدف فرمانده botnet قرار بگیرد تا به این وسیله، botnet دیگر را نیز سرقت نماید.
سرقت هویت در اغلب موارد Botnet ها برای سرقت اطلاعات هویت شخصی افراد، داده های مالی و تجاری، یا کلمات عبور کاربران و سپس فروش یا استفاده مستقیم از آنها به کار میروند. همچنین Botnet ها در پیدا کردن و معرفی سرورهایی که میتوانند برای میزبانی وب سایتهای سرقت هویت مورد استفاده قرار گیرند کمک کنند. این وب سایتها خود را به جای یک وب سایت معتبر جا زده و کلمات عبور و داده های هویتی کاربران را سرقت میکنند.
ابزار تبلیغاتی ممکن است botnet ها بطور خودکار popup های تبلیغاتی را بر اساس عادات کاربر دانلود و نصب نمایند یا مرورگر کاربر را مجبور کنند که بطور متناوب وب سایتهای خاصی را مشاهده نماید.
هرزنامه یک botnet میتواند برای ارسال هرزنامه ها مورد استفاده قرار گیرد. پس از اینکه یک کامپیوتر مورد سوء استفاده قرار گرفت، فرمانده botnet میتواند از این zombie جدید به همراه سایر zombie های botnet استفاده کرده و با جمع آوری آدرسهای ایمیل به ارسال دسته ای هرزنامه و یا ایمیلهای سرقت هویت اقدام نماید. امروزه اغلب هرزنامه ها از طریق botnet ها انتشار مییابند. بر اساس مطالعات اخیر، در سال 2008 botnet ها مسوول انتشار بیش از 90 درصد از هرزنامه ها بودند.
گسترش botnet Botnet ها همچنین میتوانند برای گسترش سایر Botnet ها مورد استفاده قرار گیرند. این کار با متقاعد کردن کاربر برای دانلود کردن فایل اجرایی مورد نظر از طریق FTP، HTTP یا ایمیل انجام میشود.
فریب سیستمهای پرداخت به ازای هر کلیک Botnet ها میتوانند برای مقاصد تجاری مورد استفاده قرار گیرند. آنها این کار را با کلیکهای خودکار روی یک سیستم که به ازای هر کلیک مبلغی را پرداخت میکند انجام میدهند. اعضای Botnet در هنگام آغاز به کار یک مرورگر بطور خودکار روی یک سایت کلیک می کنند. بعبارت دیگر، این Botnet ها تعداد کلیکهای یک آگهی تبلیغاتی را به شکل مصنوعی افزایش میدهند.

چگونه یک botnet تجارت و شبکه شما را تحت تاثیر قرار میدهد؟

برای اینکه شرکتهای تجاری بتوانند با خطرات botnet ها مقابله نمایند، ابتدا باید بدانند که خطرات حقیقی این شبکه ها چیست. قابلیت پاسخگویی سریع و موثر به نفوذ botnet یکی از مهمترین چالشهای شرکتهای تجاری است. متاسفانه استفاده صرف از تکنولوژی مبتنی بر امضا برای مقابله با این حملات، میتواند باعث در خطر قرار گرفتن شرکت شما گردد. ممکن است چند ساعت یا حتی چند روز طول بکشد تا شما بتوانید از طریق این تکنولوژی یک botnet را کشف کرده و پاسخ مناسبی به حملات آن بدهید.

از آنجایی که botnet ها پیچیده هستند و مبارزه و حذف آنها کار سختی است، خطر برای شرکت شما باقی میماند. Botnet ها برای مجرمان اینترنتی جذاب هستند، چرا که این قابلیت را دارند که برای جرائم مختلف مجددا تنظیم شوند، برای سرویسهای میزبانی جدید تغییر مکان پیدا کنند، و در پاسخ به پیشرفتهای جدید امنیتی دوباره برنامه ریزی گردند. مجرمان اینترنتی با استفاده از این شبکه ها، حوزه جرائم خود را گسترده میکنند.

صاحبان این botnet ها با استفاده از قدرت مخرب botnet ها حملات دقیق و هدفمندی را علیه شرکتهای تجاری ایجاد می­کنند. علاوه بر انتشار هرزنامه، هک کردن پایگاههای داده ایمیلها و اجرای حملات انکار سرویس توزیع شده (DDOS)، اکنون botnet ها به شکل گسترده ای برای سرقت اطلاعات در قالب کلاهبرداریهای مالی یا عملیات جاسوسی شرکتی مورد استفاده قرار میگیرند. یکی از مهمترین کاربردهای botnet ها حملات DDOS است. یک حمله DDOS پیشرفته، میتواند سیستمهای IT را برای ساعتها یا روزها مسدود نموده و مستقیما باعث ایجاد ضررهای مالی گردد که در نتیجه کل اقتصاد بصورت غیر مستقیم آسیب میبیند.

Botnet ها سعی میکنند که به هرزنامه ها بعنوان یک بخش مهم از مبارزه خود تکیه نمایند. Botnet ها به انتشار دهندگان هرزنامه ها اجازه میدهند که میلیونها پیغام را از طریق سیستمهای آسیب دیده در مدت زمان کوتاهی ارسال نمایند. این پیغامها میتوانند درصد زیادی از پهنای باند شبکه و کارآیی سرور یک شرکت را اشغال کنند. اگر سرورها در اثر حجم هرزنامه ها از کار بیفتند یا بدافزارهای موجود در ایمیلها نصب گردند، میتواند باعث زیانهای مالی شدید گردد.

زمانی که botnet ها به سیستم عامل یا شبکه یک شرکت دسترسی پیدا میکنند، میتوانند به اطلاعات مربوط به کارتهای اعتباری، حسابهای بانکی، و یا اطلاعات محرمانه تجاری دست یافته و آنها را سرقت نمایند. معمولا شرکتهایی که نقل و انتقالات آنلاین را هدایت میکنند، هدف کلاهبرداری قرار میگیرند. چرا که نقل و انتقالات آنلاین نیاز به این دارد که اطلاعات شخصی مهم یا اطلاعات تجاری وارد سیستمهای آنان گردد. یک کلاهبرداری آنلاین قوی به وسیله یک botnet، می­تواند منجر به زیانهای شدید مالی برای شرکت تجاری هدف و نیز مشتریان او گردد. همچنین چنین اتفاقی میتواند باعث بدنامی این شرکت و از دست رفتن اعتبار وی شود.

در مقابل Botnet ها چه کنیم؟
هشیار باشید. این توصیه به نظر بسیار واضح و بدیهی می آید! ولی ما همچنان با گروهی از مدیران آی تی برخورد می­کنیم که هرگز به لاگهای سیستم خود نگاه نمیکنند، هرگز مصرف پهنای باند را بررسی نمینمایند، نمیتوانند به شما بگویند که چه کسی به چه چیزی در شبکه آنها متصل شده است، و سیستمهایی به شبکه آنها وصل هستند که آنها اصلا این سیستمها را نمیشناسند. اگر این چند جمله در مورد شما هم صدق میکند، باید گفت که شما به دنبال دردسر میگردید. حتی ممکن است همین حالا که این مطلب را میخوانید سیستمهایی از شبکه شما عضو یک botnet باشند. اگر شما مدیری هستید که به ندرت لاگهای خود را بررسی میکنید، باید از این پس شروع به خواندن این لاگها نمایید. زمانیکه شیوه بررسی این لاگها را یاد بگیرید، این کار بیشتر از 30 دقیقه در روز وقت شما را نخواهد گرفت. اگر شما به دلیل کمبود منابع و پرسنل این کار را انجام نمیدهید، شرایط و خطرات این کار را برای مافوق خود توضیح دهید و بخواهید که هر روز صبح نیم ساعت به شما برای بررسی وضعیت شبکه فرصت بدهند. به خاطر داشته باشید که این زمان نیم ساعته از هر ملاقات و کنفرانس و مساله کاری دیگری مهمتر است.

آگاهی و دانش کاربران را افزایش دهید. برخی botnet ها در اینترنت به دنبال سیستمهای آسیب پذیر میگردند تا به آنها آسیب برسانند. یک تاکتیک دیگر مورد استفاده botnet ها مهندسی اجتماعی است که به وسیله آن، قربانی خود را برای باز کردن یک فایل یا کلیک کردن روی یک لینک فریب میدهند. این Botnet ها تا زمانیکه کاربر فریب آنها را نخورده باشد نمیتوانند کاری از پیش ببرند. در گذشته مهاجمان فایلهای اجرایی خرابکار را بعنوان پیوست یک ایمیل ارسال میکردند. اما اکنون بیشتر فعالیتها مبتنی بر وب است. ایمیلهای خرابکار که قبلا پیوست داشتند، اکنون شامل لینکی به یک سایت خرابکار هستند. این وظیفه شماست که این مساله را برای کاربران خود به روشی که آنها کاملا متوجه شوند توضیح دهید. به آنها بگویید که پیوستهای ناشناس یا ناخواسته را باز نکنند، روی لینکهای داخل ایمیلها کلیک نکنند، و به هر لینک غیر عادی که میبینند فکر کنند.
مراقب این پورتها باشید. این توصیه از دو بخش تشکیل شده است:
اگرچه botnet های اخیر می¬توانند از هر پورتی که مدیر شبکه باز گذاشته باشد ارتباط برقرار کنند، ولی اغلب botnet ها هنوز با استفاده از IRC یعنی پورت شماره 6667 یا سایر پورتهایی با شماره های بزرگ و فرد (مانند 31337 و 54321) ایجاد ارتباط می¬کنند. تمامی پورتهای بالای 1024 باید در مورد ارتباطات ورودی و خروجی مسدود باشند، مگر اینکه سازمان شما یک برنامه خاص یا نیاز خاصی برای باز کردن یک پورت داشته باشد. حتی در چنین حالتی نیز شما می-توانید با استفاده از سیاستهایی مانند بستن پورت در ساعتهای غیر کاری یا رد کردن تمامی ارتباطات به جز ارتباطاتی که از IP های قابل اعتماد ایجاد شده اند، احتیاط لازم را به عمل آورید.
یییی ترافیک botnet 2.0 که از طریق پورتهایی مانند 80 یا 7 رد و بدل می¬شود، در ساعاتی که نباید ترافیکی وجود داشته باشد این botnet ها را لو می¬دهد. اغلب صاحبان botnet ها، شبکه های خود را بین ساعات 1 تا 5 صبح که معمولا کسی بیدار نیست به روز می¬کنند. عادت داشته باشید که صبح ها لاگهای سرور خود را چک کنید. اگر فعالیتی مبنی بر مرور وب مشاهده می¬کنید، در حالیکه می¬دانید در آن ساعات کسی چنین کاری انجام نداده است، باید به وجود Botnet شک کنید.

جاوا اسکریپت را مسدود کنید. تنظیم مرورگر به صورتی که قبل از اجرای جاوا اسکریپت به کاربر هشدار دهد، بسیاری از مشکلات را حذف خواهد کرد. قبلا در مقالات «مرورگر خود را امن کنید» در دو بخش امنیت IE و امنیت Firefox به این موضوع پرداخته ایم.
از دفاع لایه ای استفاده نمایید. هیچیک از ابزارهای امنیتی قادر نیستند بطور کامل از سیستم شما محافظت نمایند. اما استفاده از چند ابزار مختلف میزان امنیت سیستم شما را افزایش میدهد. برای مثال اگر دو ابزار امنیتی داشته باشید که هریک 50 درصد از خطراتی را که با آن مواجه میشوند را پوشش دهند، در صورت نصب هر دو ابزار، تقریبا می­توانید با 75 درصد از خطرات امنیتی مقابله نمایید.
وضعیت امنیت خود را ارزیابی کنید. بسیاری از تولیدکنندگان مهم نرم افزارها، ابزارهای رایگان یا نسخه های آزمایشی رایگانی برای ارزیابی امنیت سیستم شما ارائه میدهند. این ابزارها قادرند گستره ای از تهدیدات، ترافیک، و نقاط ضعف امنیتی سیستمها را به شما گزارش دهند. این کار به شما کمک میکند که در مورد سیاستهای امنیتی خود تصمیم گیری مناسبی انجام دهید.
توصیه های معمول امنیتی را جدی بگیرید. استفاده از آنتی ویروسهای به روز، نصب فایروال، استفاده از کلمات عبور مناسب، به روز نگه داشتن نرم افزارها، و رعایت جوانب احتیاط در هنگام استفاده از ایمیل و مرورگرهای وب، از این دسته توصیه های امنیتی هستند. متاسفانه اگر یک فرد مهاجم در حال استفاده از سیستم شما در یک botnet باشد، ممکن است شما اصلا متوجه این موضوع نشوید. حتی اگر به این موضوع پی ببرید که قربانی خرابکاران شده اید، باز هم رهایی از این وضعیت برای یک کاربر عادی کار مشکلی خواهد بود. ممکن است فرد مهاجم فایلها را روی سیستم شما تغییر داده باشد، بنابراین صرفا پاک کردن فایلهای خرابکار ممکن است مساله را حل نکند. از این گذشته ممکن است شما نتوانید به این سادگی به نسخه اولیه فایل اعتماد کنید. اگر فکر میکنید که قربانی افراد خرابکار شده اید، باید با یک فرد آموزش دیده و مسلط تماس بگیرید.

‌ یکی از معروف‌ترین و خطرناک‌ترین بات‌نت‌ها در دنیا به شمار می‌رود که در سال 2007 با هدف حمله به سیستم‌های عامل microsoft ایجاد شده است. تا کنون یک میلیون سیستم کامپیوتری توسط این بات‌‌نت آوده شده‌اند. کاربران با دانلود ضمیمه‌ی نامه‌های الکترونیکی با موضوعات کارت تبریک، وقایع و اخبار روز و.... به این بات‌نت آلوده می‌شوند. هزاران کامپیوتر در اروپا و آمریکا در طول یک روز با استفاده از این نامه‌های الکترونیکی آلوده شدند. این بات‌نت با اسامی گوناگونی شناخته می‌شود که در زیر به آنها اشاره شده است.
Trojan-Downloader.Win32.Small.dam
CME-711
W32/Nuwar@MM
Troj/Dorf and Mal/Dorf
Trojan.DL.Tibs.Gen!Pac13
Trojan.Downloader-647
Trojan.Peacomm
TROJ_SMALL.EDW

عملکرد این بات‌نت شامل دو فاز زیر است:

1) آلوده‌سازی اولیه[1]

2) آلوده‌سازی ثانویه[2]

در فاز اول، کارهای زیر توسط Storm انجام می‌شود:
اضافه شدن درایورwincom32.sysبه سیستم قربانی
غیرفعال کردن دیواره آتش قربانی
غیرفعال کردن سرویس‌هایICF و ICSقربانی
بازکردن پورت‌های TCP و UDP قربانی

درایورنصب شده فایل اجرایی service.exe را به لیست فرایند‌های درحال اجرا اضافه می‌کند که در واقع این سرویس به صورت یک client نظیر به نظیر رفتار می‌کند و بدنه ثانویه را از شبکه دانلود می‌کند.

اولین بسته‌ای که از میزبان فرستاده می‌شود برای فرایند Bootstrap می‌باشد تا گره میزبان بتواند عضوی ازشبکه نظیر به نظیر overnet شود. عملیات Bootstrap به این صورت انجام می‌شود که میزبان به لیستی ازگره‌ها که به صورت hard code در کدمخرب wincom32.ini قرار دارند، بسته‌هایی می‌فرستد تا بتواند وارد شبکه نظیر به نظیر شود. لیست گره‌ها با هر انتشار موفق به‌روز می‌شود. این عملیات یکی از نقاط ضعف بات‌نت‌های نظیر به نظیر می‌باشد. زیرا اگر میزبان نتواند گره‌ای را درشبکه بیابد، عملکرد بات درهمین مرحله متوقف خواهد شد.

در فاز آلوده‌سازی ثانویه، بدنه ثانویه دانلود می‌شود که اهداف اصلی‌botmaster را که شامل جمع‌آوری اطلاعات مهم از میزبان، دانلود Rootkit، حملات ممانعت از سرویس و ... است را برآورده کند. آدرس بدنه ثانویه به صورت رمز شده در میزبان hardcode شده است که کلید رمز و خود فایل در شبکه نظیر به نظیر موجود می‌باشد. در نهایت میزبان قربانی (بات) وضعیت خود را به صورت دوره‌ای برای botmaster ارسال می‌کند.

+ سید حسین موسوی ; ۱٢:٤۱ ‎ق.ظ ; ۱۳٩٢/٩/٢٥
comment نظرات ()