باجافزار؛ تهديدي امنيتي كه روزبهروز پيشرفتهتر ميشود
باجافزار در تعريف ساده به بدافزاري گفته ميشود كه دادههاي متخصصان را مانند گروگان دراختيار ميگيرد. امروزه، چنين بدافزارهايي عموما دادهها را رمزنگاري ميكنند و در ازاي دريافت وجه (عموما بهصورت رمزارز) كليدهاي رمزگشايي را به متخصصان ميدهند. باجافزار از سال ۲۰۱۳ به دنياي بدافزارها وارد شد و البته در سال گذشته روند كاهش توزيع را در پيش گرفت. از دلايل كاهش توزيع باجافزارها ميتوان به دلايلي همچون كاهش كلي بدافزارها در دنياي فناوري و بهبود مؤلفهها و رويكردهاي امنيتي اشاره كرد. امروزه، همراهگيري از اطلاعات در ميان متخصصان دنياي فناوري به روندي جاري تبديل شده است كه سوددهي باجافزارها را تا حدودي براي مجرمان سايبري از بين ميبرد. بههرحال، روندهاي مذكور علاوهبر كاهش توزيع باجافزارها، به هدفمندتر و شديدتر شدن آنها هم منجر شدهاند.
روشهاي توزيع
اولين باجافزارها با كمپينهاي گستردهي رايانامهي و ابزارهاي بهرهبرداري توزيع ميشدند. رويكردهاي اوليه بدون تمركز خاصي متخصصان فردي و سازماني را هدف قرار ميدادند. امروزه، توسعهدهندگان باجافزار ترجيح ميدهند براي افزايش درآمد خود، رويكردي هدفمندتر براي توزيع در پيش گيرند.
متخصص كارشناسان امنيتي رويكرد مجرمان سايبري را به كسبوكار تشبيه ميكنند. كسبوكار آنها نيز مانند هر فعاليت ديگري هزينه دارد. درواقع، هرچه جامعهي هدف حملههاي امنيتي بزرگتر باشد، هزينهها هم بيشتر ميشوند و درنتيجه، مجرمان بايد بهدنبال سوددهي بيشتر از عمليات خود باشند.
كيتهاي بهرهبرداري
در برخي حملههاي امنيتي، حتي بازكردن وبسايت بدون دانلود فايلي خاص، قابليت آلودهكردن متخصص را دارد. چنين حملاتي عموما با بهرهبرداري از ضعفهاي امنيتي نرمافزارها و سرويسهاي مرور وب مانند مرورگر يا جاوا يا فلش انجام ميشوند. ابزارهاي مديريت محتوا و توسعهي وب مانند وردپرس و مايكروسافت سيلورلايت هم منابع آسيبپذيريهاي امنيتي هستند. درنهايت، براي آلودهكردن متخصصان با استفاده از روش مرور وبسايت، بايد نرمافزارهاي متعدد و راهكارهاي خاص زيادي بهكار گرفته شوند؛ به همين دليل، حجم عمدهاي از فعاليت نفوذ و آلودهسازي در كيتهاي بهرهبرداري تجميع ميشود. مجرمان سايبري با اجارهكردن ابزارها، روند توزيع بدافزار خود را با سرعت بيشتري اجرا ميكنند.
اجارهكردن كيت بهرهبرداري ماهيانه حدود هزار دلار هزينه دربر خواهد داشت؛ درنتيجه، چنين روشهايي براي همهي مجرمان مناسب نيستند. درواقع، تنها افراد و سازمانهايي كه انگيزهي مالي يا استراتژيك بسيار زيادي دارند، چنين هزينهاي براي نفوذ و بهرهبرداري انجام ميدهند.
اريك كلونوسكي، تحليلگر امنيتي Webroot Principal، درباره كيتهاي بهرهبرداري ميگويد:
در دههي گذشته، افزايش ارزش شديد در هزينهي بهرهبرداري از آسيبپذيريهاي امنيتي را شاهد بودهايم؛ به همين دليل، احتمالا در آينده با كاهش حملات روز صفر و نفوذهاي اطلاعاتي شخصي مواجه خواهيم بود. بدون شك مجرمان مرتبط با دولتها بازهم از كيتهاي بهرهبرداري براي هدف قراردادن قربانيهاي باارزش استفاده ميكنند؛ اما قطعا كاهش يا توقف رخدادهايي همچون حملات Shadowbrokers را شاهد خواهيم بود. نفوذهاي اطلاعاتي و درز دادههاي مهم در رخدادهاي گذشته نقشي حياتي در بيداركردن متخصصان و سازمانها داشت؛ خصوصا افرادي كه به ابزارهاي مذكور دسترسي داشتند يا آنها را در جايي رها كرده بودند، هشداري جدي دربرابر خود ديدند.
امروزه، دسترسي به كيتهاي توسعهاي بهصورت وب يا بدافزار دشوار شده است؛ ازاينرو، عرضهي كيتها كاهش و ارزش آنها افزايش يافته است. درنهايت، تهديد مذكور هيچگاه از بين نميرود و تنها روند كاهشي را در پيش گرفته است.
كمپينهاي رايانامهي
رايانامههاي اسپم از بهترين روشهاي توزيع بدافزار هستند. مزيت آنها بهدليل توانايي هدف قراردادن ميليونها قرباني بهصورت همزمان براي مجرمان سايبري بسيار زياد است. البته، پيادهسازي چنين كمپينهايي آنچنان آسان نيست و بازهم دشواري و هزينههايي براي مجرمان در پي دارد.
ارسال رايانامههاي انبوه حاوي بدافزار و راضيكردن متخصصان به دانلود و نصب، به مراحل متعددي نياز دارد. عبور از فيلترهاي رايانامهي، آمادهكردن پيام فيشينگ جذاب، ساختن ابزارهاي نفوذ و بهصورت كلي عبور از ديوارهاي امنيتي، نيازمند مهارت و برنامهريزي و هزينه خواهد بود. درنتيجه، اجراي چنين حملاتي هم به تخصص بالا نياز خواهد داشت و مانند كيتهاي بهرهبرداري، اجارهي آنها با افزايش ارزش روبهرو شده است.
حملات هدفمند
مجرمان امنيتي براي هدف قراردادن قربانيهاي خود برنامهريزيهاي متعددي دارند. آنها بايد شرايط و پرداخت شدن يا نشدن باج را مطالعه كنند. بههرحال، موفقيت پيادهسازي حملهي باجافزار هم به عوامل متعددي وابسته خواهد بود. مهمترين عوامل مؤثر در اين زمينه عبارتاند از:
عوامل گفتهشده نشان ميدهند موفقيت حملات امنيتي وابستگي زيادي به شرايط قرباني هدف دارند؛ درنتيجه پيداكردن روشهايي براي كاهش گسترهي هدف كمپينهاي رايانامهي و كيتهاي توسعه اهميت بسزايي پيدا ميكند. بههرحال، روشهاي نفوذ اينچنيني گسترهي عملكردي بازتري دارند و بايد حملات هدفمندتري بهجاي آنها پيدا كرد.
روش Remote Desktop Protocol
ابزار RDP يكي از پركاربردترين سيستمهاي مايكروسافت محسوب ميشود كه مديران عموما از آن براي دسترسي به سرورها و ديگر نقاط اتصال در شبكه استفاده ميكنند. وقتي چنين اتصالهايي با رمزعبور يا تنظيمات امنيتي ضعيف برقرار شوند، مجرمان امنيتي امكان نفوذ به آنها را خواهند داشت. حملات مبتنيبر RDP سابقهي طولاني دارند؛ اما متأسفانه دنياي كسبوكار، بهويژه شركتهاي نوپا، هنوز با بيتوجهي با آنها رفتار ميكنند.
اخيرا سازمانهاي دولتي در ايالات متحده و انگلستان دربارهي حملات RDP هشدارهايي جدي دادهاند؛ حملاتي كه قطعا با روشهايي آسان پيشگيريكردني هستند. ازلحاظ بازار خريدوفروش، مجرمان سطح پايين در داركوب امكان دسترسي و خريد ماشينهايي را دارند كه قبلا ديگر مجرمان هك كردهاند. بهعنوان مثال، در نمونههاي متعدد در داركوب، دسترسي به كامپيوترهايي در فرودگاهها با ارزشهاي ناچيز چنددلاري فروخته ميشود.
فيشينگ متمركز
اگر مجرم سايبري يك يا چند قرباني مشخص را هدف قرار داده باشد، روند آسانتري در طراحي رايانامههاي فيشينگ و نفوذ خواهد داشت. چنين روشهايي بهنام فيشينگ نيزهاي (Spear Phishing) شناخته ميشوند. در بسياري از پروندههايي كه با موضوع باجافزار در اينترنت ميخوانيم، از چنين روشي براي نفوذ استفاده ميشود.
حملات متمركز بخت موفقيت بيشتري بههمراه دارند
بدافزارهاي ماژولار
بدافزارهاي ماژولار به سيستمها در سطوح متعدد حمله ميكنند. در چنين حملاتي، بهمحض شروع فعاليت ماشين قرباني، مراحلي براي شناسايي هدف و شرايط انجام ميشود و بدافزار هم ارتباط خود را با واحد اصلي برقرار ميكند. درنهايت، كدها و بخشهاي مخرب در سيستم قرباني بارگذاري ميشوند.
بدافزار Trickbot
تروجاني بهنام Trickbot وجود دارد كه بيشتر با تمركز بر شركتهاي بانكي فعاليت ميكند. اين تروجان بدافزارهايي همچون Bitpaymer را در ماشينهاي قرباني نصب ميكند. اخيرا در برخي از حملات تروجان مذكور، پيش از اجراي حملات نهايي، ارزش شركت هدف مطالعه ميشود. سپس، بدافزاري بهنام Ryuk در سيستمهاي قرباني نصب ميشود و باارزشترين اطلاعات آنها را رمزنگاري ميكند. تيم اجرايي تروجان Trickbot، تنها اهداف بزرگ و سودده را هدف قرار ميدهد. بهعلاوه، آنها پيش از حمله امكان تأثيرگذاري عميق فعاليت خود را نيز مطالعه ميكنند. تروجان Trickbot را عموما بدافزار ماژولار ديگري بهنام Emotet اجرا و نصب ميكند.
روندهاي كنوني حملهي باجافزار
همانطوركه گفته شد، حملات باجافزاري بهدليل افزايش آگاهي متخصصان و بهينهسازي سيستمهاي امنيتي در حال كاهش هستند. همچنين، روند كنوني دنياي امنيت نشان ميدهد حملات جديد با هدفگيري دقيقتر انجام ميشوند. ازلحاظ آماري، حملات RDP در دو سال گذشته سهم فراواني را بهخود اختصاص دادهاند. چنين حملاتي عموما آسيبهايي جدي به قرباني وارد ميكنند و درنهايت، به پرداخت باج منجر ميشوند. باجافزارهاي ماژولار دستهي بعدي هستند كه پيش از انجام هرگونه حمله با استفاده از آنها، بايد ازلحاظ نفوذ و چگونگي اجراي حمله مطالعههاي عميقي انجام شود.
شايد تصور اوليه بر اين باشد كه انتخاب اهداف در حملههاي باجافزاري بهكمك نيروي انساني درحاليكه حملات امنيتي هم تا حد ممكن از برنامههايي براي كاهش نيروي انساني استفاده ميكنند. بهعنوان مثال، بدافزارها عموما سيستمهاي مجازي را شناسايي ميكنند و در آنها فعال نخواهند شد. افزونبراين، بدافزارهايي همچون Trickbot و Emotet با دزديدن اطلاعات شخصي متخصصان، از آنها براي نفوذ و گسترش خودكار بيشتر استفاده ميكنند.
فرايندهاي خودكارسازي بيش از همه بهكمك حملههاي مبتنيبر RDP ميآيند. اين سرويسها در سرتاسر اينترنت جستوجو و قربانيان بالقوه را به مجرمان معرفي ميكنند. روندهاي كنوني نشان ميدهد در آينده، افزايش هوشمندي و خودكارسازي در سيستمهاي بدافزاري را شاهد خواهيم بود. درنهايت، با توجه به روندهاي كنوني و توضيحاتي كه دربارهي حملههاي باجافزاري داده شد، با وجود كاهش تعداد حملات، اهميت بهكارگيري رويكردهاي امنيتي به قوت خود باقي است. متخصصان شخصي و سازماني با بهكارگيري برخي راهكارها امكان پيشگيري بيشتري دربرابر حملات باجافزاري خواهند داشت كه درادامه، به برخي از آنها اشاره ميكنيم:
هم انديشي ها