تحلیل شبکه بات Zorenium

در ماه مارس 2014 هنگامی که مولف بات  Zorenium (W32.Zorenium) ادعا کرد که بدافزار سرقت اطلاعات با ویژگی های جدید به روز شده است، مورد توجه قرار گرفت . مطابق گفته مولف بدافزار، REX، این بدافزار قابلیت اجرا بر روی سیستم عامل  اندروید و IOS ، سرقت اعتبارات بانکی، پشتیبانی ارتباطات point 2 point و انتشار از طریق Skype  و Facebook را دارد.
بر اساس تحلیل صورت گرفته توسط شرکت امنیتی سمانتک، اگر ادعای REX درست باشد بنابراین Zorenium یک تهدید مهم محسوب می شود. در حالی که این ادعاها هرگز ثابت نشده است.

همه چیز درباره Mariposa

در ماه می سال 2009، شرکت امنیتی Defence Intelligence که یک شرکت خصوصی کانادایی است، خبر شناسایی یک شبکه رایانه های خرابکار (botnet) جدید را به نام Mariposa برای برخی از شرکت های امنیتی سرشناس مانند پاندا، پلیس اسپانیا و FBI به صورت محرمانه ارسال کرد. در پی کشف مذکور، تحقیقات چند ماهه ای با هدف از کار انداختن شبکه خرابکار مذکور که چیزی نمانده بود تا به بزرگترین شبکه رایانه های خرابکار در تاریخ رایانه تبدیل شود، انجام شد. در اولین گام یک کارگروه Mariposa با نام اختصاری MWG، متشکل از شرکت امنیتی Defense Intelligence، مرکز امنیت اطلاعات Georgia، شرکت امنیتی پاندا و برخی متخصصان و آژانس های امنیتی بین المی که نخواسته اند نامشان فاش شود، تشکیل شد. هدف از این کارگروه، اجرای عملیاتی بود که از یک طرف botnet مذکور را ریشه کن سازد و از طرف دیگر مجرمان را تحویل قانون دهد. بعد از جمع آوری و تحلیل اطلاعات مرتبط با botnet مذکور، افراد درگیر در پروژه سعی کردند تا کنترل Mariposa را از دست مجرمان خارج کرده و آن را تصاحب کنند. آنها همچنین تلاش کردند تا مجرمان پشت پرده را شناسایی کنند ولی این کار بسیار پیچیده و سخت بود زیرا صاحبان Mariposa همواره از طریق یک VPN (Virtual Private Network) ناشناس به سرورهای کنترل و فرماندهی متصل می شدند و لذا شناسایی IP حقیقی آنها غیر ممکن بود. متخصصان امنیتی کارگروه تحقیقاتی Mariposa، جهت انجام اقدامات فوق، ابتدا سرورهای کنترل و فرماندهی (Command & Control (C&C)) را که فرمان های جدید از طریق آنها برای اعضای شبکه ارسال می شود، شناسایی کردند. متخصصان امنیتی از این طریق توانستند انواع فعالیت هایی را که از طریق شبکه

تحلیل شبکه بات بانکی (GameOverZeus)

در هفته گذشته بات نت Game over zeus با اجرای قوانین بین المللی و با همکاری مراکز، شرکت ها و سازمان های فعال در زمینه بدافزار شناسایی و به حالت تعلیق درآمد. آنچه اهمیت دارد آن است که از لحاظ فنی باز پس گرفتن کنترل بات ها غیرممکن نیست، بنابراین شناسایی، رفع آلودگی سیستم های قربانی و زامبی ها به این گونه بات ها بسیار پراهمیت است. درحال حاضر بیش از یک میلیون کامپیوتر توسط Game over zeus آلوده شده اند.

 ساختار بات نت

شبکه بات شبکه‌ای از میزبان‌های آلوده است که تحت کنترل یک مرکز فرمان دهی واحد بوده و با دریافت فرامین از این مرکز اقدامات متناسبی را انجام می‌دهند. شبکه‌های بات تهدیدی جدی علیه امنیت منابع اینترنتی بوده و معمولا انگیزه‌های مالی و سیاسی مهمی پشت آن‌ها وجود دارد. در سال‌های اخیر فروش شبکه‌های بات شکل تجاری به خود گرفته است. برخی شبکه‌های بات علاوه بر استفاده در به اشتراک گذاری منابع در حملات منع دسترسی، می‌توانند همانند یک تروجان جهت دزدی اطلاعات کاربر نیز مورد استفاده قرار گیرند.

بات دستورات خود را از سرور کنترل و فرمان که توسط رییس بات هدایت می‌شود، دریافت می‌نماید. رییس بات به فردی گفته می‌شود که تمامی امور یک شبکه بات از ایجاد تا کنترل را به دست دارد، بدین ترتیب که بات را پیکربندی می‌کند، روش‌هایی که برای مصالحه کردن سیستم قربانی به کار می‌رود را مشخص می‌کند و آن‌ها را پیاده سازی می‌نماید. سپس بات را بر روی سیستم قربانی نصب می‌نماید و در نهایت بات ها را از طریق کانال کنترلی هدایت و رهبری می‌کند و دستورات حمله را صادر می‌نماید. بات نت ها معمولاً بدون هیچ شواهد غیرقابل مشاهده عمل می کنند و می توانند برای سال ها عملیاتی باقی بمانند.

 

مهمترین تهدیدات تاریخ اینترنت

روز چهارشنبه دوم سپتامبر، چهلمین سالروز تولد اینترنت بود. در حقیقت چهل سال پیش در چنین روزی برای اولین بار دو کامپیوتر به یکدیگر متصل شدند. گروهی از محققان شرکت امنیتی Symantec در گزارشی به مناسبت این روز، فهرستی از «تهدیدات مهم در تاریخ اینترنت» را منتشر کرده اند. این فهرست، لیست جالب توجهی است ولی در عین حال ممکن است به نظر برخی، بعضی تهدیدات از قلم افتاده باشند و یا در مقابل، بعضی تهدیدات جدی گرفته شده باشند. در ادامه فهرست تهیه شده توسط Symantec در این گزارش را مطالعه می کنید:

الگوریتمهای جدید CAPTCHA

اخیراً روشهای جدید Captcha مبتنی بر تصویر ارائه شده اند که عبور از آنها برای ما انسانها ساده تر و برای رایانه ها غیرممکن شده است. در یکی از این روشها از قدرت تشخیص انسانها در تمییز اجسام از یکدیگر در حالت سه بعدی و دو بعدی و همچنین در زوایای مختلف استفاده می شود. روش دیگر بر تشخیص یک تصویر متفاوت از بین چندین تصویر مشابه استوار است و شکستن آن برای رایانه های فعلی غیرممکن می باشد. روشی که در بیشتر وب سایتها برای جداسازی ورودیهایی که کامپیوترها تولید کرده اند از ورودیهای انسانی به کار می رود، Captcha یا Completed Automated Public Turing نام دارد. در این روشها، معمولاً ترکیبی از الفبا، اعداد و کاراکترهای دیگر را تولید می کنند به طوری که یک انسان بتواند آنها را تشخیص دهد، ولی شناسایی اجزای آن برای رایانه ها مشکل باشد. همان طور که رباتهای کامپیوتری تولید کننده ورودیها هوشمندتر می شوند، روشهای Captcha نیز آزاردهنده تر می شوند به طوری که عبور از برخی از آنها برای ما انسانها نیز دشوار می نماید. به همین دلیل متخصصان این قضیه به دنبال روشهایی هستند که استفاده از آنها برای انسانها ساده تر و برای کامپیوترها تقریباً غیر ممکن باشد. یکی از روشهای جایگزین، استفاده از عکسهای سه بعدی در اینگونه تستها است که تشخیص آنها برای انسانها ساده بوده و در حال حاضر تکنولوژی شکستن آن برای رایانه ها موجود نمی باشد. در این روش که 3D Captcha نام دارد، از قدرت تشخیص انسانها برای تمییز اجسام سه بعدی در زوایای مختلف استفاده می شود. در زیر نمونه ای از این تست را که وب سایت Yuniti.com از آن استفاده می کند، مشاهده می کنید (وب سایت مذکور ابداع کننده این الگوریتم Captcha می باشد):

چگونه از شر Conficker خلاص شویم؟

ویروس Conficker که با نامهای kido، Downup و Downadup نیز شناخته می شود، با سوءاستفاده از یک آسیب پذیری ویندوز که در ماه اکتبر سال گذشته اصلاحیه ای برای آن منتشر شده است، به رایانه ها نفوذ پیدا کرده و دردسرهایی را برای رایانه قربانی ایجاد می کند. هر چند سازندگان ویروس مزبور هنوز استفاده خطرناکی از شبکه رایانه های آلوده نکرده اند، اما طبق نظر محققان کرم Conficker همچنان یک خطر بالقوه محسوب شده و لازم است به کاربران رایانه آگاهی لازم در مورد ویروس مذکور و راههای مقابله با آن داده شود. کاربران بسیاری گمان می کنند که رایانه شان توسط ویروس Conficker آلوده شده است و با توجه به اینکه ویروس مذکور پس از آلوده سازی سیستم، مانع از اتصال به وب سایتهای آنتی ویروس می شود، مشکل اصلی چگونگی پاکسازی رایانه آلوده است. در صورتی که شما هم یکی از قربانیان Conficker هستید، نگران نباشید زیرا در این گزارش قصد داریم کاربران خود را برای پاکسازی رایانه شان یاری رسانیم. در گام اول باید از آلودگی رایانه خود توسط این ویروس اطمینان حاصل کنید. این ویروس علامتهایی که برای یک کاربر عادی قابل درک باشد، بر روی رایانه ایجاد نمی کند. لذا ساده ترین راه برای تشخیص آلودگی آزمایش امکان دسترسی به وب سایتهای آنتی ویروس است، زیرا همان طور که گفتیم این ویروس مانع از دسترسی قربانیان به وب سایتهای آنتی ویروس می شود. اخیراً یک نمودار تصویری ساده جهت تشخیص آلودگی ابداع شده است که با مراجعه به آن می توانید از نفوذ Conficker به رایانه خود اطلاع حاصل کنید. یکی دیگر از علامتهای آلودگی با Conficker، غیر فعال شدن سرویسهای Automatic updates، Background Intelligent Transfer Service، Windows Defender، Error Reporting Service بدون اطلاع کاربر است. در صورتی که شما مدیر شبکه هستید، از دیگر علامتهای آلودگی، ترافیک بالای غیرعادی بر روی شبکه محلی و همچنین پاسخگویی کند کنترل کننده های دامنه به درخواست های کاربران است. قبلاً توضیح دادیم که این ویروس با استفاده از یک آسیب پذیری در ویندوز به رایانه ها نفوذ پیدا می کند و مایکروسافت یک اصلاحیه امنیتی به نام MS08-067(KB 958644) را در سال گذشته برای آن ارائه کرده است. درست است کسانی که اصلاحیه فوق را به موقع دریافت و نصب کرده اند از این ویروس در امان هستند، اما این فکر که لیست به روزرسانی های ویندوز را چک کنیم و در صورت وجود داشتن این اصلاحیه خیالمان راحت شود، ایده خوبی محسوب نمی شود چرا که Conficker یک نسخه جعلی از این اصلاحیه را بر روی رایانه قربانی قرار می دهد. در صورتی که از آلوده بودن رایانه خود اطمینان حاصل کردید، گام بعدی دریافت یکی از چندین ابزار پاکسازی رایگان می باشد. ابزارهای مخصوص پاکسازی Conficker عبارتند از: McAfee’s Stinger، Eset’s Win32/Conficker Worm Removal Tool ، Symantec’s W32.Downadup Removal Tool و Sopho’s Conficker Cleanup Tool. در صورتی که امکان دسترسی به یک رایانه غیر آلوده برای شما فراهم می باشد، توصیه می کنیم ابتدا ارتباط رایانه خود با اینترنت را قطع کنید و سپس از طریق رایانه غیر آلوده یکی از ابزارهای فوق را دریافت کرده و با استفاده از CD و یا حافظه فلش آن را بر روی رایانه خود نصب کنید. گام بعدی غیرفعال کردن AutoRun ویندوز می باشد، زیرا یکی از متداول ترین راههای نفوذ Conficker از این طریق می باشد. شرکت Eset که یکی از معتبرترین شرکتهای فعال در زمینه امنیت فناوری اطلاعات است ادعا می کند، یکی از هر 15 تهدید امنیتی که در سال 2008 تشخیص داده، مربوط به AutoRun ویندوز بوده است. متأسفانه غیر فعال کردن این خصوصیت ویندوز به راحتی امکان پذیر نیست زیرا حتی اگر آن را از طریق ابزارهای متداول غیرفعال کنید، به جای صرف نظر کردن کامل از فایلهای autorun، باز هم قسمت زیادی از فایل autorun.inf را مرور می کند. برای غیرفعال کردن کامل این امکان، لازم است متن زیر را در یک فایل Notepad کپی کنید. دقت کنید که از اولین براکت سمت چپ تا آخرین گیومه متن در یک خط قرار بگیرد.



این فایل را با نام StopAutoRun.REG ذخیره کنید، سپس بر روی فایل دو بار کلیک کنید. به این ترتیب شما امکان Autorun را کاملاً غیرفعال می کنید، ولی از طرفی امکان اجرای CD ها و DVD ها را به محض قرار دادن آنها در درایو نخواهید داشت. البته این مسئله در مقابل بستن یک نقص امنیتی نسبتاً خطرناک بهای معقولی به نظر می رسد. بعد از این رایانه شما پاک شده است، ولی باز هم کارهایی را باید انجام دهید و آن هم تغییر عادت در کار با رایانه و اینترنت است. عادت کنید اصلاحیه های امنیتی نرم افزارهای خود و به خصوص ویندوز را در اولین فرصت دریافت و نصب کنید. عادت کنید بر روی هر لینکی در اینترنت که پیشنهاد اسکن رایگان رایانه شما در مورد ویروسها را می دهد، کلیک نکنید و در انتها توجه داشته باشید که صرف نصب کردن یک آنتی ویروس خوب بر روی رایانه کافی نیست و باید آن را مرتباً به روز رسانی کنید تا امکان تشخیص ویروسهای جدید را دارا باشد.