نحوه تشکیل باتنتها از میلیونها سیستم آلوده در جهان
موبنا – باتنتها امکان انتشار بدافزارها و زیرساخت موردنیاز برای جرائم سایبری را فراهم میآورند. وقتی مجرمان سایبری کنترل شبکهای از سیستمهای آلوده را به دست میگیرند، درواقع ابزار لازم برای انتشار حجم عظیمی از بدافزارها را در اختیار دارند، میتوانند به سیستمهای خصوصی دسترسی پیدا کنند و منابع موردنیاز برای حملات DDoS را به دست بیاورند.
تجزیهوتحلیل نشانههای نفوذ (IOC) باتنتها با جستوجو در اسامی دامنه، سرورهای نام و آدرسهای IP، نشانههای فعالیتهای مخربی که قبلاً شناسایی نشدهاند را آشکار میسازد. در ادامه، نمونههایی از شکار تهدیدات با استفاده از این روش آورده میشود (شکار تهدیدات به فرایند جستوجوی پیشکنشگرانه و مکرر در شبکه برای کشف و ایزولهسازی تهدیدات پیشرفتهای اطلاق میشود که راهکارهای امنیتی موجود را دور میزنند و فرار میکنند).
چرخه عمر یک باتنت
مرحله آلودهسازی و انتشار زمانی است که مهاجم از ابزارهای خود برای انتقال بدافزار به سیستمها و ایمیلها یا تنظیم وبسایتها برای تبلیغ بدافزارها و کدهای مخرب استفاده میکند. سیستمهایی که بهصورت از راه دور بهعنوان بخشی از باتنت کنترل میشوند، اغلب با هزینهای اندک اجاره داده میشوند. درنتیجه، مهاجم میتواند یک سیستم آلوده را اجاره کند، از اتصالات مشترک آن درون باتنت استفاده کند تا بدافزار موردنظرش را انتقال دهد و پخش کند.
اما از سیستمهای آلودهای که قادر به ارسال ایمیل هستند نیز میتوان برای ارسال اسپم به سیستمهای جدید استفاده کرد و محتویات مخرب را بهصورت فایل پیوست یا یک URL مبهم در متن ایمیل که با کلیک برروی آن، وبسایتی به میزبانی مهاجم پدیدار میگردد و بدافزار را انتقال میدهد، قرار داد.
در مرحله ارتباط با سرور فرمان و کنترل (C&C) یا فراخوانی، روبات تلاش میکند با سرور C&C مهاجمان تماس برقرار کند و آلودهسازی موفق را اطلاع دهد. سپس از رویکرد «شار تغییرات سریع» دامنه و IP استفاده میشود (شار تغییرات سریع تکنیکی است که باتنتها از آن برای پنهان ساختن سایتهای انتشار بدافزار یا فیشینگ استفاده میکنند). سرور C&C آدرس IP میزبان خود را به طور مرتب تغییر میدهد و از زمان دوام (TTL) کوتاهتری استفاده میکند تا با انتقال مستمر آدرسهای میزبان، شناسایی نشود.
بر اساس اطلاعات سایت افتا، بدافزار با استفاده از الگوریتم تولید دامنه (DGA) با مجموعه بزرگی از دامنهها ارتباط برقرار میکند. بسیاری از این نامهای دامنه ثبت نشدهاند و درواقع وجود ندارند. سرور C&C اصلی که برای کنترل سیستم آلوده به کار میرود، در میان حجم انبوهی از درخواستهای فراخوان برای دامنههای DGA قرار دارد. از این رو، شناسایی آن بسیار دشوار است. رباتهای آلوده میتوانند بهعنوان پراکسی بین سیستمهای آلوده و سرور C&C عمل کنند. البته سرورهای آلوده نیز لایه دیگری از پراکسی را ایجاد میکنند که سرور C&C میتواند پشت آن پنهان شود.
حالا که سرور C&C و مهاجم از رباتهای آلودهای که به تازگی به باتنت پیوستهاند، اطلاع دارند، مرحله بعدی آغاز میشود که در آن، ربات گزارش میدهد و در انتظار فرمان میماند. تعاملات شبکه با سرور C&C، امکان دریافت و اجرای فرمانهای دیگر و ارسال اطلاعات یا فایلهای مسروقه به سرور C&C را نیز فراهم میآورند. از پهنای باندی که توسط روبات فراهم میشود، میتوان برای اجرای حملات DDoS روی اهداف موردنظر استفاده کرد. در این مرحله، میتوان اسپمهای بیشتری را از طریق روباتهای مستعد ارسال کرد. در نتیجه، بدافزارهای بیشتری به سیستم فرستاده میشود که معمولاً تروجانهای دسترسی از راه دور، باجافزارها، استخراجکنندههای ارزهای مبتنی بر رمزنگاری و تروجانهای بانکی هستند.
هدف و مرحله نهایی آن است که وضعیت موجود حفظ و از شناسایی بدافزار جلوگیری شود تا سیستم بهعنوان بخشی از باتنت باقی بماند. بدافزارها معمولاً از روشهای مختلفی برای باقی ماندن در سیستم استفاده میکنند. روشهای مبتنی بر فراخوان لایههای پراکسی، DGA ها و شار تغییرات سریع دامنه و IP نیز ادامه خواهد یافت.
ضرورت بررسی زیرساخت باتنتها
زیرساخت باتنتها باید مورد بررسی قرار بگیرد تا به کاهش و مهار جرائم سایبری کمک شود؛ حل مشکل باتنتها بسیار دشوار است، چراکه به جای یک گره یا میزبان مرکزی، میلیونها سیستم آلوده در سراسر جهان وجود دارد. سیستمهای آلوده معمولاً توسط کاربران و سازمانها شناسایی نمیشوند و به بخشی از باتنت تبدیل میگردند. این سیستمها میتوانند اطلاعات خصوصی را تا سالها نشت دهند و پهنای باند موردنیاز برای افزایش جرائم سایبری را فراهم آورند. هزینه اجاره یک روبات یا توزیع بار حاوی بدافزار بسیار پایین است (حدود ۱۰ دلار). از این رو، پخش باتنتها تسریع میشود.
اسپمها و کلاهبرداری از طریق شرکتهای دارویی
کارشناســان مجمـــوعهای از اسپمها در قالــب My Pharmacy Canadian را در باتنت Necurs شناسایی کردند. این اسپمها در میزبانهای آلودهای که در گسترش اسپم Hailstorm مورد استفاده قرار گرفته بودند، پدیدار شدهاند. پس از شناسایی میزبانهای مرتبط توسط شرکت SpamHaus، مشخص شد که با سازمان Yambo Financials که در حوزه ارسال اسپمهای مجرمانه فعالیت دارد، در ارتباط هستند.
این پیامهای اسپم علاوه بر تبلیغ داروهای تقلبی، باجافزارهایی مانند Locky را از طریق پیوستهای حاوی بدافزار گسترش میدهند. این بدافزار سیستمها را به اسپمباتها تبدیل کرده و تعداد زیادی ایمیل ناخواسته ارسال میکند. لینکهای درون ایمیلها نیز شامل URL هایی هستند که وبسایتهای جعلی دوستیابی در روسیه را باز میکنند.
منبع: ایسنا