الگوی جدید تهدیدات سایری
به نام خدا
هدف من از مطرح کردن این مطلب، آشنا کردن شما بچه های آی تی با الگوی جدیدی است که مجرمین سایبری از آن برای حمله به یک شبکه و زیر ساخت آن استفاده می کنند.
اما چگونه یک حمله ی هدف مند و پیچیده موفق می شود؟ برای اینکه یک حمله ی پیشرفته بتواند به هدف تهدید آمیز خود برسد باید مراحل پیچیده ای را پشت سر بگذرد تا با شانس بیشتری بتواند با عبور از چندین مسیر تهدید آمیز سدهای دفاعی شبکه را شکست دهد. حملات چند بعدی از طریق ایمیل یا صفحات وب و با استفاده از نقاط ضعف و آسیب پذیری های سیستم عامل یا برنامه کاربردی یا ناتوانی مکانیزم های متداول حفاظت از شبکه برای ارائه سد دفاعی متحد استفاده میکنند تا به سیستم نفوذ کنند.
چرخه حیات یک حمله
مرحله 1: این مرحله که به استثمار سیستم معروف است، حمله باید اولین اقدام را برای راه اندازی خودش انجام دهد برای همین منظور در زمان مرور عادی از سیستم برای دانلود یا نصب ناخواسته (Drive-by Attack) استفاده میکند این مرحله با استفاده از مسیرهای تهدید وب یا یک ایمیل که حاوی نشانه های وب یا یک نسخه فایل مخرب میباشد، تحویل و ارائه میگردد
مرحله 2: در این مرحله بدافزارهای لازم برای یک کنترل دراز مدت در سیستم خودبه خود دانلود می شوند.
مجرمان در این مرحله قصد دارند سیستم شما را با مکانیزم های کنترل دراز مدت تری کنترل کنند و عاملی که باعث می شود آنها به هدفشان برسند دانلود آلودگی های دیگر در سیستم است به این صورت که کدهای باینری بدافزارهای بیشتری همچون کی لاگرها(Password crckers) ، (Trojan backdoors)، (Key loggers) و(FileGrabbers)، را دانلود می کنند.
مرحله 3: بعد ازین که بد افزار نصب شد شروع به برقراری ارتباط با کاربر و فرمان دهنده اش میکند در واقع حمله کننده ها موفق شده اند که اولین گام را برای شکستن سدهای دفاعی سازمانی بردارند در اولین فرصت، بد افزار سعی می کند به سرورهای مجرم برای گرفتن دستورات متصل شود البته کار بد افزار فقط به این محدود نمی شود بلکه آنها نیز می توانند تکثیر شوند، تغییر شکل دهند و خود را مخفی کنند تا در موقع اسکن های آنتی ویروس ها شناخته نشوند وحتی می تواند فعالیت های آنتی ویروس را متوقف سازد و یا پردازش های گم شده ی خود را دوباره نصب کند و همچنین می تواند برای مدت زیادی بدون فعالیت باقی بماند.
با برقراری ارتباط بین مجرمان و بد افزار از طریق شبکه های به نظر قابل اعتماد، بدافزار اجازه ی عبور از فایروال را می یابد و می تواند به تمام لایه های شبکه دسترسی یابد.
مرحله 4: در این مرحله مجرمین داده های بدست آمده از سرورهای آلوده به فایل های رمزنگاری شده و به وسیله ی پروتکل های مجاز، همانند FTP، HTTP خارج کرده و به سرور تحت کنترل خودشان منتقل می کنند.
مرحله 5: در این مرحله مجرم می خواهد بد افزار را بیشتر منتشر کند تا به سیستم های بیشتری دست یابد و کنترل دراز مدتی روی شبکه داشته اشد بد افزار از به طور جانبی و از طریق اشتراک فایل ها در شبکه منتشر شده و عمیق تر نفوذ می کند و شروع به کشف زیر ساخت شبکه می کند و دارایی های کلیدی را پیدا می کند و یک پایگاه ثابتی را در شبکه بر روی سرورهای هدف ایجاد می کند.