تهديدات پنهانی، قسمت دوم: Botnet

IRCAR200908030

مقدمه
لغتي است كه از ايده شبكه اي از روبوتها استخراج شده است. در ساده ترين شكل، يك روبوت يك برنامه كامپيوتري خودكار است. در botnetها، bot به كامپيوترهايي اشاره مي­كند كه مي­توانند توسط يك يا چند منبع خارجي كنترل شوند. يك فرد مهاجم معمولا كنترل كامپيوتر را با ضربه زدن به آن كامپيوتر توسط يك ويروس يا يك كد مخرب بدست مي­گيرد و به اين وسيله دسترسي فرد مهاجم به سيستم آسيب ديده فراهم مي­شود. ممكن است كامپيوتر شما بخشي از يك botnet باشد ولي ظاهرا درست و عادي كار كند. Botnet ها معمولا براي هدايت فعاليتهاي مختلفي مورد استفاده قرار مي­گيرند. اين فعاليتها مي­تواند شامل انتشار هرزنامه و ويروس، يا انجام حملات انكار سرويس و يا فعاليتهاي خرابكارانه ديگر باشد. Botnet ها از كامپيوترهايي تشكيل شده اند كه توسط يك سرور خرابكار كنترل مي­شوند و عمده ترين تكنولوژي مورد استفاده جهت انتشار هرزنامه، بدافزار و برنامه هاي سرقت هويت هستند. زماني كه كامپيوترها آگاهانه يا ناآگاهانه توسط نرم افزاري كه براي اين منظور طراحي شده آسيب مي­بينند، ديگر قادر نخواهند بود در برابر دستورات مالك botnet مقاومت نمايند. Botnet ها تهديدات مداومي براي شركتهاي تجاري به حساب مي آيند و در صورت نفوذ به شبكه يك شركت تجاري يا دسترسي به داده هاي محرمانه، بسيار خطرناك هستند. مشكل اصلي در مورد botnet ها اين است كه پنهان هستند و ممكن است تا زمانيكه شما بطور خاص به دنبال آنها نگرديد، متوجه حضورشان نشويد. افراد مهاجم همچنين از botnet ها براي دسترسي به اطلاعات شخصي و تغيير آنها، حمله به كامپيوترهاي ديگر، و انجام ساير اعمال مجرمانه استفاده مي­كنند و در عين حال ناشناخته باقي مي­مانند. از آنجايي كه هر كامپيوتر در يك botnet مي­تواند براي اجراي دستورات يكسان برنامه ريزي شود، يك فرد مهاجم مي­تواند با استفاده از هر يك از اين كامپيوترها، آسيب پذيريهاي چندين كامپيوتر را بررسي كرده و فعاليتهاي آنلاين آنها را كنترل نمايد يا اطلاعاتي را كه در فرمهاي آنلاين وارد مي­كنند جمع آوري كند.

يك botnet دقيقا چيست؟
Botnet ها شبكه هايي از كامپيوترهاي آلوده هستند. اين كامپيوترها تحت كنترل يك مجموعه دستورات هستند كه از طريق نرم افزاري كه تعمدا و يا نا آگاهانه نصب شده است، مديريت شده و تغيير مي­كنند. اين نرم افزار توسط يك كامپيوتر خرابكار كنترل مي­گردد. ممكن است botnet ها داراي كاركردهاي قانوني نيز باشند، ولي در اغلب موارد با فعاليتهاي مجرمانه براي انتشار هرزنامه، بدافزار يا حملات سرقت هويت در ارتباطند. بر اساس مطالعات اخير، حدود 10 درصد از تمامي كامپيوترهاي موجود بر روي اينترنت توسط botnet ها آلوده شده اند. زماني كه يك كامپيوتر توسط نرم افزار botnet آلوده مي­شود، ديگر قادر نخواهد بود در برابر دستورات مالك botnet مقاومت كرده يا از اجراي آنها سر باز زند. برخي اوقات از كامپيوترهاي موجود در Botnet ها بعنوان Zombie نام برده مي­شود. اندازه يك botnet به پيچيدگي و تعداد كامپيوترهاي استخدام شده در اين Botnet بستگي دارد. يك botnet بزرگ ممكن است از 10000 كامپيوتر منفرد تشكيل شده باشد. معمولا كاربران كامپيوترها از اين موضوع كه سيستمهايشان از راه دور كنترل شده و مورد سوء استفاده قرار مي­گيرد اطلاعي ندارند. از آنجاييكه Botnet ها از تكنولوژيهاي بدافزاري مختلفي تشكيل شده اند، توضيح دادن درباره آنها و پيچيدگي كار آنها چندان ساده نيست. افراد مهاجم تكنولوژيهاي مختلف را به نحوي با هم تركيب كرده اند كه دسته بندي آنها را سخت مي­كند. Botnet ها مي­توانند باعث ايجاد گستره متنوعي از حملات گردند:

• حملات انكار سرويس توزيع شده يك botnet با هزاران عضوي كه در سراسر جهان دارد مي­تواند يك حمله گسترده و هماهنگ را براي خراب كردن يا از كار انداختن سايتها و سرويسهاي مهم راه اندازي نمايد و منابع و پهناي باند اين سيستمها را اشغال كند. حملات چندين گيگا بيت بر ثانيه توسط botnet ها حملاتي كاملا شناخته شده و معمول هستند. اغلب حملات معمول از UDP، ICMP، و TCP SYN استفاده مي­كنند. اهداف اين حملات ممكن است شامل وب سايتهاي تجاري يا دولتي، سرويسهاي ايميل، سرورهاي DNS، ارائه دهنده هاي سرويس اينترنت، زيرساختهاي اساسي اينترنت يا حتي توليد كنندگان ابزارهاي امنيتي صنعت فناوري اطلاعات باشد. حملات همچنين ممكن است سازمانهاي سياسي يا مذهبي خاصي را هدف بگيرند. اين حملات گاهي با باج گيري همراه مي­شوند. هر سرويس اينترنتي ممكن است هدف يك botnet قرار گيرد. اين كار مي­تواند از طريق غرق كردن وب سايت مورد نظر در درخواستهاي بازگشتي HTTP انجام شود. اين نوع حمله كه در آن، پروتكلهاي سطوح بالاتر نيز براي افزايش تاثير حمله به كار گرفته مي­شوند، بعنوان حملات عنكبوتي نيز مشهور است.
• ابزار جاسوسي و بدافزار Botnet ها فعاليتهاي تحت وب كاربران را بدون اطلاع يا رضايت كاربر كنترل كرده و گزارش مي­دهند. همچنين ممكن است Botnet ها نرم افزار ديگري را براي جمع آوري اطلاعاتي درباره آسيب پذيريهاي سيستم نصب كرده و اين اطلاعات را به ديگران بفروشند. علاوه بر اين، يك ربات همچنين مي­تواند بعنوان يك وسيله استراق سمع به كار رفته و داده هاي مهم و حساس را كه از يك سيستم آسيب ديده مي­گذرند گوش دهد. داده هاي نوعي كه اين رباتها به دنبال آن مي­گردند عبارتند از اسامي كاربري و كلمات عبوري كه فرمانده Botnet مي­تواند براي اهداف شخصي خود از آنها استفاده كند. داده هايي درباره يك botnet رقيب كه در همان واحد نصب شده است نيز مي­تواند هدف فرمانده botnet قرار بگيرد تا به اين وسيله، botnet ديگر را نيز سرقت نمايد.
• سرقت هويت در اغلب موارد Botnet ها براي سرقت اطلاعات هويت شخصي افراد، داده هاي مالي و تجاري، يا كلمات عبور كاربران و سپس فروش يا استفاده مستقيم از آنها به كار مي­روند. همچنين Botnet ها در پيدا كردن و معرفي سرورهايي كه مي­توانند براي ميزباني وب سايتهاي سرقت هويت مورد استفاده قرار گيرند كمك كنند. اين وب سايتها خود را به جاي يك وب سايت معتبر جا زده و كلمات عبور و داده هاي هويتي كاربران را سرقت مي­كنند.
• ابزار تبليغاتي ممكن است botnet ها بطور خودكار popup هاي تبليغاتي را بر اساس عادات كاربر دانلود و نصب نمايند يا مرورگر كاربر را مجبور كنند كه بطور متناوب وب سايتهاي خاصي را مشاهده نمايد.
• هرزنامه يك botnet مي­تواند براي ارسال هرزنامه ها مورد استفاده قرار گيرد. پس از اينكه يك كامپيوتر مورد سوء استفاده قرار گرفت، فرمانده botnet مي­تواند از اين zombie جديد به همراه ساير zombie هاي botnet استفاده كرده و با جمع آوري آدرسهاي ايميل به ارسال دسته اي هرزنامه و يا ايميلهاي سرقت هويت اقدام نمايد. امروزه اغلب هرزنامه ها از طريق botnet ها انتشار مي­يابند. بر اساس مطالعات اخير، در سال 2008 botnet ها مسوول انتشار بيش از 90 درصد از هرزنامه ها بودند.
• گسترش botnet Botnet ها همچنين مي­توانند براي گسترش ساير Botnet ها مورد استفاده قرار گيرند. اين كار با متقاعد كردن كاربر براي دانلود كردن فايل اجرايي مورد نظر از طريق FTP، HTTP يا ايميل انجام مي­شود.
• فريب سيستمهاي پرداخت به ازاي هر كليك Botnet ها مي­توانند براي مقاصد تجاري مورد استفاده قرار گيرند. آنها اين كار را با كليكهاي خودكار روي يك سيستم كه به ازاي هر كليك مبلغي را پرداخت مي­كند انجام مي­دهند. اعضاي Botnet در هنگام آغاز به كار يك مرورگر بطور خودكار روي يك سايت كليك مي كنند. بعبارت ديگر، اين Botnet ها تعداد كليكهاي يك آگهي تبليغاتي را به شكل مصنوعي افزايش مي­دهند.

چگونه يك botnet تجارت و شبكه شما را تحت تاثير قرار مي­دهد؟
براي اينكه شركتهاي تجاري بتوانند با خطرات botnet ها مقابله نمايند، ابتدا بايد بدانند كه خطرات حقيقي اين شبكه ها چيست. قابليت پاسخگويي سريع و موثر به نفوذ botnet يكي از مهمترين چالشهاي شركتهاي تجاري است. متاسفانه استفاده صرف از تكنولوژي مبتني بر امضا براي مقابله با اين حملات، مي­تواند باعث در خطر قرار گرفتن شركت شما گردد. ممكن است چند ساعت يا حتي چند روز طول بكشد تا شما بتوانيد از طريق اين تكنولوژي يك botnet را كشف كرده و پاسخ مناسبي به حملات آن بدهيد. از آنجايي كه botnet ها پيچيده هستند و مبارزه و حذف آنها كار سختي است، خطر براي شركت شما باقي مي­ماند. Botnet ها براي مجرمان اينترنتي جذاب هستند، چرا كه اين قابليت را دارند كه براي جرائم مختلف مجددا تنظيم شوند، براي سرويسهاي ميزباني جديد تغيير مكان پيدا كنند، و در پاسخ به پيشرفتهاي جديد امنيتي دوباره برنامه ريزي گردند. مجرمان اينترنتي با استفاده از اين شبكه ها، حوزه جرائم خود را گسترده مي­كنند. صاحبان اين botnet ها با استفاده از قدرت مخرب botnet ها حملات دقيق و هدفمندي را عليه شركتهاي تجاري ايجاد مي­كنند. علاوه بر انتشار هرزنامه، هك كردن پايگاههاي داده ايميلها و اجراي حملات انكار سرويس توزيع شده (DDOS)، اكنون botnet ها به شكل گسترده اي براي سرقت اطلاعات در قالب كلاهبرداريهاي مالي يا عمليات جاسوسي شركتي مورد استفاده قرار مي­گيرند. يكي از مهمترين كاربردهاي botnet ها حملات DDOS است. يك حمله DDOS پيشرفته، مي­تواند سيستمهاي IT را براي ساعتها يا روزها مسدود نموده و مستقيما باعث ايجاد ضررهاي مالي ­گردد كه در نتيجه كل اقتصاد بصورت غير مستقيم آسيب مي­بيند. Botnet ها سعي مي­كنند كه به هرزنامه ها بعنوان يك بخش مهم از مبارزه خود تكيه نمايند. Botnet ها به انتشار دهندگان هرزنامه ها اجازه مي­دهند كه ميليونها پيغام را از طريق سيستمهاي آسيب ديده در مدت زمان كوتاهي ارسال نمايند. اين پيغامها مي­توانند درصد زيادي از پهناي باند شبكه و كارآيي سرور يك شركت را اشغال كنند. اگر سرورها در اثر حجم هرزنامه ها از كار بيفتند يا بدافزارهاي موجود در ايميلها نصب گردند، مي­تواند باعث زيانهاي مالي شديد گردد. زماني كه botnet ها به سيستم عامل يا شبكه يك شركت دسترسي پيدا مي­كنند، مي­توانند به اطلاعات مربوط به كارتهاي اعتباري، حسابهاي بانكي، و يا اطلاعات محرمانه تجاري دست يافته و آنها را سرقت نمايند. معمولا شركتهايي كه نقل و انتقالات آنلاين را هدايت مي­كنند، هدف كلاهبرداري قرار مي­گيرند. چرا كه نقل و انتقالات آنلاين نياز به اين دارد كه اطلاعات شخصي مهم يا اطلاعات تجاري وارد سيستمهاي آنان گردد. يك كلاهبرداري آنلاين قوي به وسيله يك botnet، مي­تواند منجر به زيانهاي شديد مالي براي شركت تجاري هدف و نيز مشتريان او گردد. همچنين چنين اتفاقي مي­تواند باعث بدنامي اين شركت و از دست رفتن اعتبار وي شود.

در مقابل Botnet ها چه كنيم؟

• هشيار باشيد
  اين توصيه به نظر بسيار واضح و بديهي مي آيد! ولي ما همچنان با گروهي از مديران آي تي برخورد مي­كنيم كه هرگز به لاگهاي سيستم خود نگاه نمي­كنند، هرگز مصرف پهناي باند را بررسي نمي­نمايند، نمي­توانند به شما بگويند كه چه كسي به چه چيزي در شبكه آنها متصل شده است، و سيستمهايي به شبكه آنها وصل هستند كه آنها اصلا اين سيستمها را نمي­شناسند. اگر اين چند جمله در مورد شما هم صدق مي­كند، بايد گفت كه شما به دنبال دردسر مي­گرديد. حتي ممكن است همين حالا كه اين مطلب را مي­خوانيد سيستمهايي از شبكه شما عضو يك botnet باشند. اگر شما مديري هستيد كه به ندرت لاگهاي خود را بررسي مي­كنيد، بايد از اين پس شروع به خواندن اين لاگها نماييد. زمانيكه شيوه بررسي اين لاگها را ياد بگيريد، اين كار بيشتر از 30 دقيقه در روز وقت شما را نخواهد گرفت. اگر شما به دليل كمبود منابع و پرسنل اين كار را انجام نمي­دهيد، شرايط و خطرات اين كار را براي مافوق خود توضيح دهيد و بخواهيد كه هر روز صبح نيم ساعت به شما براي بررسي وضعيت شبكه فرصت بدهند. به خاطر داشته باشيد كه اين زمان نيم ساعته از هر ملاقات و كنفرانس و مساله كاري ديگري مهمتر است.
• آگاهي و دانش كاربران را افزايش دهيد
  برخي botnet ها در اينترنت به دنبال سيستمهاي آسيب پذير مي­گردند تا به آنها آسيب برسانند. يك تاكتيك ديگر مورد استفاده botnet ها مهندسي اجتماعي است كه به وسيله آن، قرباني خود را براي باز كردن يك فايل يا كليك كردن روي يك لينك فريب مي­دهند. اين Botnet ها تا زمانيكه كاربر فريب آنها را نخورده باشد نمي­توانند كاري از پيش ببرند. در گذشته مهاجمان فايلهاي اجرايي خرابكار را بعنوان پيوست يك ايميل ارسال مي­كردند. اما اكنون بيشتر فعاليتها مبتني بر وب است. ايميلهاي خرابكار كه قبلا پيوست داشتند، اكنون شامل لينكي به يك سايت خرابكار هستند. اين وظيفه شماست كه اين مساله را براي كاربران خود به روشي كه آنها كاملا متوجه شوند توضيح دهيد. به آنها بگوييد كه پيوستهاي ناشناس يا ناخواسته را باز نكنند، روي لينكهاي داخل ايميلها كليك نكنند، و به هر لينك غير عادي كه مي­بينند فكر كنند.
• مراقب اين پورتها باشيد
  اين توصيه از دو بخش تشكيل شده است:

1. اگرچه botnet هاي اخير مي­توانند از هر پورتي كه مدير شبكه باز گذاشته باشد ارتباط برقرار كنند، ولي اغلب botnet ها هنوز با استفاده از IRC يعني پورت شماره 6667 يا ساير پورتهايي با شماره هاي بزرگ و فرد (مانند 31337 و 54321) ايجاد ارتباط مي­كنند. تمامي پورتهاي بالاي 1024 بايد در مورد ارتباطات ورودي و خروجي مسدود باشند، مگر اينكه سازمان شما يك برنامه خاص يا نياز خاصي براي باز كردن يك پورت داشته باشد. حتي در چنين حالتي نيز شما مي­توانيد با استفاده از سياستهايي مانند بستن پورت در ساعتهاي غير كاري يا رد كردن تمامي ارتباطات به جز ارتباطاتي كه از IP هاي قابل اعتماد ايجاد شده اند، احتياط لازم را به عمل آوريد.
2. ترافيك botnet 2.0 كه از طريق پورتهايي مانند 80 يا 7 رد و بدل مي­شود، در ساعاتي كه نبايد ترافيكي وجود داشته باشد اين botnet ها را لو مي­دهد. اغلب صاحبان botnet ها، شبكه هاي خود را بين ساعات 1 تا 5 صبح كه معمولا كسي بيدار نيست به روز مي­كنند. عادت داشته باشيد كه صبح ها لاگهاي سرور خود را چك كنيد. اگر فعاليتي مبني بر مرور وب مشاهده مي­كنيد، در حاليكه مي­دانيد در آن ساعات كسي چنين كاري انجام نداده است، بايد به وجود Botnet شك كنيد.

• جاوا اسكريپت را مسدود كنيد
  تنظيم مرورگر به صورتي كه قبل از اجراي جاوا اسكريپت به كاربر هشدار دهد، بسياري از مشكلات را حذف خواهد كرد. قبلا در مقالات «مرورگر خود را امن كنيد» در دو بخش امنيت IE و امنيت Firefox به اين موضوع پرداخته ايم.
• از دفاع لايه اي استفاده نماييد
  هيچيك از ابزارهاي امنيتي قادر نيستند بطور كامل از سيستم شما محافظت نمايند. اما استفاده از چند ابزار مختلف ميزان امنيت سيستم شما را افزايش مي­دهد. براي مثال اگر دو ابزار امنيتي داشته باشيد كه هريك 50 درصد از خطراتي را كه با آن مواجه مي­شوند را پوشش دهند، در صورت نصب هر دو ابزار، تقريبا مي­توانيد با 75 درصد از خطرات امنيتي مقابله نماييد.
• وضعيت امنيت خود را ارزيابي كنيد
  بسياري از توليدكنندگان مهم نرم افزارها، ابزارهاي رايگان يا نسخه هاي آزمايشي رايگاني براي ارزيابي امنيت سيستم شما ارائه مي­دهند. اين ابزارها قادرند گستره اي از تهديدات، ترافيك، و نقاط ضعف امنيتي سيستمها را به شما گزارش دهند. اين كار به شما كمك مي­كند كه در مورد سياستهاي امنيتي خود تصميم گيري مناسبي انجام دهيد.
• توصيه هاي معمول امنيتي را جدي بگيريد
  استفاده از آنتي ويروسهاي به روز، نصب فايروال، استفاده از كلمات عبور مناسب، به روز نگه داشتن نرم افزارها، و رعايت جوانب احتياط در هنگام استفاده از ايميل و مرورگرهاي وب، از اين دسته توصيه هاي امنيتي هستند. متاسفانه اگر يك فرد مهاجم در حال استفاده از سيستم شما در يك botnet باشد، ممكن است شما اصلا متوجه اين موضوع نشويد. حتي اگر به اين موضوع پي ببريد كه قرباني خرابكاران شده ايد، باز هم رهايي از اين وضعيت براي يك كاربر عادي كار مشكلي خواهد بود. ممكن است فرد مهاجم فايلها را روي سيستم شما تغيير داده باشد، بنابراين صرفا پاك كردن فايلهاي خرابكار ممكن است مساله را حل نكند. از اين گذشته ممكن است شما نتوانيد به اين سادگي به نسخه اوليه فايل اعتماد كنيد. اگر فكر مي­كنيد كه قرباني افراد خرابكار شده ايد، بايد با يك فرد آموزش ديده و مسلط تماس بگيريد.