تهديدات سال 2013 به گزارش Malwarebytes

IRCRE201312153
تاريخ: 18/09/92

سال گذشته انواع جديدي از تهديدات براي اولين بار مشاهده شدند. همچنين در اين سال مانند گذشته شاهد استفاده مجرمان از انواع تهديدات مانند بدافزارهاي گروگان‌گير و نيز ظهور تهديدات بزرگ‌تري كه از تاكتيك‌هاي مشابه استفاده مي‌كنند، بوديم. در اين سال شاهد اوج گرفتن و سپس سقوط يك كيت سوء استفاده بسيار مشهور بوديم و با سالي سرشار از سوء استفاده‌هاي drive-by مواجه بوديم.
فريب‌هاي تلفني به ما نشان داده‌اند كه اعتماد به افرادي كه ادعا مي‌كنند متخصص هستند كار مطمئني نيست و جنگ عليه تهديدات موبايلي بسيار جدي شده است.
در ابتداي سال جديد ميلادي، مي‌توان انتظار داشت كه اين تهديدات با قدرت تخريب بيش از پيش همچنان ادامه يابند.
دنيا در حال تغيير است و بسياري از ارتباطات شخصي، كارهاي بانكي و فعاليت‌هاي روزانه ما به‌صورت آنلاين در دسترس قرار دارد. بنابراين درصورتي‌كه ما خود را با زندگي آنلاين تطبيق ندهيم، مجرمان اينترنتي نهايت سوء استفاده را از كاربران بي‌تجربه در زمينه امنيت اينترنت خواهند كرد.
اينترنت امروزه يك ميدان جنگ است و هركسي كه فعاليت‌هاي آنلاين دارد، بخشي از اين جنگ است.

بزرگ‌ترين تهديدات 2013

• بدافزارهاي گروگان‌گير
  تصور مي‌شد كه سال 2012 مهمترين سال براي بدافزارهاي گروگان‌گير بوده است. البته اين تصور تا حدود زيادي به لحاظ تنوع و نوآوري بدافزارها صحيح است.
  اما با توجه به خسارات اين بدافزارها، سال 2013 بايد مورد توجه قرار گيرد. اين بدافزارها سعي مي‌كنند سيستم كاربر را قفل كرده و يا فايل‌هاي وي را رمزگذاري كنند و براي باز كردن آن، از كاربر درخواست پول نمايند.
  در سال گذشته و سال جاري، بدافزارهاي گروگان‌گير از طريق كيت‌هاي سوء استفاده گسترش يافتند. مدتي طول كشيد تا با دستگيري‌هاي متعدد، تعداد اين بدافزارها كاهش يابد و برخي فعالان اين زمينه نيز به توليد انواع جديد اين بدافزار پايان دادند.
• Cryptolocker
  Reveton و Urausy، بزرگترين گروه‌هاي بدافزارهاي گروگان‌گير در سال گذشته بودند، اما فعاليت‌هاي آنها به اندازه Cryptolocker كه شهرت آن دو را ندارد مخرب نبوده است.
  اين بدافزار كه در ماه سپتامبر شناسايي شد، در حقيقت فايل‌هاي شخصي كاربر (مانند تصاوير و اسناد) را دوبار توسط يك كليد AES محلي و يك كليد RSA-2048 ذخيره شده در يك سرور راه دور رمزگذاري مي‌كند.
  در گذشته بدافزارهاي گروگان‌گير ديگري نيز بوده‌اند كه ادعاي رمز كردن فايل‌ها را داشتند، ولي اين بدافزارها يا صرفاً يك فريب ساده بودند و يا اينكه روش رمزگذاري آنها به حدي ساده بود كه به راحتي شكسته مي‌شد و فايل‌هاي كاربر را به وي بازمي‌گرداند.
  نوع رمزگذاري مورد استفاده توسط Cryptolocker، امن‌ترين استاندارد امروزه است. آنها با استفاده از رمزگذاري كليد عمومي نامتقارن، فايل‌ها را توسط يك كليد عمومي محلي موجود بر روي سيستم رمز مي‌كنند و شما صرفاً مي‌توانيد فايل‌ها را توسط كليد اختصاصي كه بر روي يك سرور راه دور قرار دارد، رمزگشايي نماييد.
  البته شكستن رمز RSA-2048 به‌صورت تئوري ممكن است، اما انجام اين كار توسط يك كامپيوتر معمولي حدود 10 ميليارد سال طول مي‌كشد! البته درصورت در اختيار داشتن تعداد زيادي سوپر كامپيوتر و رمزگشاها و رياضيدان‌هاي خبره، ممكن است اين زمان كاهش يابد. اما هيچكس نمي‌داند چقدر طول خواهد كشيد، چون تا كنون كسي اين كار را انجام نداده است.
  Cryptolocker به كاربر هشدار مي‌دهد كه درصورتي‌كه پول درخواستي ظرف مدت معيني (معمولاً 72 ساعت تا 96 ساعت) پرداخت نگردد، كليد اختصاصي موجود بر روي سرور راه دور پاك خواهد شد و به اين ترتيب فايل‌هاي وي هرگز رمزگشايي نخواهند شد.
  جامعه امنيت كامپيوتر به شدت در حال تلاش براي مقابله با اين تهديد و تهديدات مشابه آتي است.
• فريب‌هاي تلفني
  فريبكاران تلفني از روشي مشابه آنتي‌ويروس‌هاي جعلي استفاده مي‌كنند. اين آنتي‌ويروس‌ها به كاربر مي‌گويند كه تعداد زيادي بدافزار بر روي سيستم وي وجود دارند و بايد پاك شوند و اغلب براي اين كار، قيمت بالايي را پيشنهاد مي‌دهند.
  فريبكاران تلفني منحصر به سال 2013 نيستند ولي به نظر مي‌رسد تعداد گزارش‌هاي دريافتي در اين زمينه و انواع مختلف اين فريب‌ها بيش از گذشته بوده است.
  در سال 2013 شاهد فريبكاراني بوديم كه خود را به جاي مايكروسافت، يك شركت آنتي‌ويروس، توليد كننده ضدبدافزار سيستم‌هاي مك، دستگاه‌هاي قانوني و غيره جا زدند.
  بزرگترين دفاع عليه اين نوع فريب، آگاهي است. شما هرگز تماسي از سمت يك شركت نرم‌افزاري يا يك شركت توليد كننده آنتي‌ويروس مبني بر حذف بدافزار تشخيص داده شده بر روي سيستم شما دريافت نخواهيد كرد.
• بدافزارهاي اندرويد
  سال 2013 نمايشي از افزايش قابل توجه فريب‌ها و بدافزارهاي موبايلي بود.
  بخش عمده‌اي از بدافزارهاي موبايلي شامل تروجان‌هاي پيامكي است كه بدون اطلاع صاحب گوشي، پيامك‌هايي را براي سرويس‌هاي پولي ارسال كرده يا تماس‌هاي تلفني هزينه‌بري را برقرار مي‌كنند. كاربر تا زمان دريافت قبض تلفن، از آنچه رخ داده است بي‌اطلاع باقي مي‌ماند. البته اين نوع حملات بيشتر در اروپاي شرقي مشاهده مي‌گردند.
  تهديد ديگري به نام كيت جرم‌افزار Perkle نيز سعي مي‌كند به حساب بانكي قرباني خود دست پيدا كند.
  به هر حال حجم بدافزارهاي موبايلي مشاهده شده در اين سال افزايش يافته است و اين بدان معنا است كه در آينده، بايد آماده درگيري بيشتر با اين قسم تهديدات باشيم.
• كيت سوء استفاده Blackhole
  در سال 2012 و بخش قابل توجهي از سال 2013، كيت سوء استفاده Blackhole روش اصلي ارسال بدافزار براي مجرمان سايبري بود تا بتوانند حملات drive-by را راه‌اندازي كنند. اين كيت شامل مجموعه‌اي از بدافزارهاي مختلف است كه بسته به نياز مجرم مورد استفاده قرار مي‌گيرد. براي مثال: تروجان زئوس، روت‌كيت ZeroAccess، بدافزار گروگان‌گير Ransomware و انواع بدافزارهاي ديگر.
  اين كيت در فروشگاه‌ها و فروم‌هاي جرايم سايبري به فروش مي‌رفت و مجرمان با استفاده از آن، سرورهاي خود را راه‌اندازي كرده و يا سرورهاي قربانيان را مورد سوء استفاده قرار مي‌دادند. مجرمان تعيين مي‌كنند كه چه بدافزاري مورد استفاده قرار گرفته و كدام آسيب‌پذيري مورد سوء استفاده قرار گيرد. به اين ترتيب زماني كه كاربري صفحه‌اي را كه مورد سوء استفاده قرار گرفته است بازديد نمايد، بدافزار مربوطه نصب مي‌گردد.
  در بسياري از موارد، كيت‌هاي سوء استفاده اجاره داده مي‌شوند، به قيمت گزاف از مجرمي خريداري مي‌گردند و سپس به قيمتي براي ميزباني بدافزارهاي خرابكاران ديگر ارائه مي‌شوند.
  در اوايل اكتبر، توليد كننده كيت سوء استفاده Blackhole دستگير شد و از آن زمان، استفاده از اين كيت به‌طور مدام كاهش داشته است.
  نسخه‌هاي قديمي‌تر اين كيت همچنان توسط مجرمان سايبري مورد استفاده قرار مي‌گيرد و نسخه‌هاي تغيير يافته آن نيز توسط سايرين عرضه مي‌گردد.
  با ورود به سال 2014، ممكن است شاهد ظهور مدل جديدي از كيت سوء استفاده باشيم كه داراي تمامي قابليت‌ها و تهديدات Blackhole باشد و آسيب‌پذيري‌هاي مربوط به سيستم‌عامل‌هاي جديدتر را نيز شامل گردد.
• حملات انكار سرويس توزيع شده (DDoS) عليه بانك‌ها
  سال 2013 نيز مانند همه سال‌هاي ديگري سهمي جالب توجه در حملات بانكي (با استفاده از بدافزار يا صرفاً هك) داشت. يكي از قابل توجه‌ترين مثال‌ها، حملات عليه بانك‌هاي آمريكا در ماه آگوست بود. اين حمله به شكل يك حمله انكار سرويس توزيع شده عليه بانك هدف شروع شد. كارمندان بخش آي‌تي توانستند به اين حمله پاسخ دهند و براي مقابله با آن به سختي تلاش كردند و سرورها و سرويس‌هاي خود را به مشتريان عرضه كردند.
  اما زماني كه كارمندان در حال درگيري با اين حمله انكار سرويس توزيع شده بودند، مهاجمان خرابكار توانستند به سيستم‌هاي بانك نفوذ كنند و اين موضوع در حجم زياد ترافيك انكار سرويس، از چشم‌ها پنهان مانده بود.
  مهاجمان با پول قابل توجهي كه از اين سرقت سايبري سازمان يافته به دست آوردند، به كار خود پايان دادند. جرائم در تمامي سطوح از جمله سرقت بانك، با استفاده از فعاليت‌هاي آنلاين ساده‌تر و بيشتر شده‌اند. ما پس از اين شاهد حملات بيشتر و بدتري نيز خواهيم بود.
• برنامه‌هاي ناخواسته (PUP)
  برنامه‌هاي ناخواسته نوع كم ضررتري از بدافزارها هستند كه چيزهايي را بر روي كامپيوتر شما نصب مي‌كنند كه شما هرگز نخواسته‌ايد و به آنها نياز نداريد. به اين ترتيب منابع سيستم را مصرف مي‌كنند و سيستم شما را با كمبود منابع روبرو مي‌كنند.
  به عنوان مثال‌هايي از برنامه‌هاي ناخواسته مي‌توان به نوارهاي ابزار و قابليت‌هاي جستجو (Search Agent) اشاره كرد.
  در جولاي 2013، ضدبدافزار Malwarebytes شروع به تشخيص برنامه‌هاي ناخواسته كرد و حذف آنها را به كاربران خود پيشنهاد داد. البته اين ضدبدافزار اين برنامه‌ها را به‌طور خودكار حذف نمي‌كند، بلكه صرفاً پيشنهاد حذف آنها را به كاربر ارائه مي‌دهد.
  در اواخر نوامبر، نوع جديدي از تهديد با روش كار برنامه‌هاي ناخواسته كشف شد كه يك Bitcoin miner را بر روي سيستم نصب مي‌كرد. اما اين مورد يك تهديد جدي به شمار مي‌رود، چرا كه نصب miner بر روي سيستمي كه براي اين كار در نظر گرفته نشده است ممكن است خسارت‌هاي زيادي براي سيستم ايجاد كند.
  چنين رفتارهايي از بدافزارهايي مانند بدافزارهاي گروگان‌گير بعيد نيست، اما در مورد برنامه‌هاي ناخواسته كه اساساً هميشه بدون ضرر بوده‌اند و حالا در حال ضربه زدن به كاربران هستند، داستان ديگري است.