همه‌چیز در مورد Botnet و Zombie

بدافزار یا کدهای کامپیوتری خرابکارانه، نزدیک به ۴ دهه است که در گوشه ها-کناره ها ما و رایانه‌ها و سخت‌افزارهای مختلف پرسه می‌زنند، ولی استفاده از بدافزار برای کنترل دسته‌جمعی از کامپیوترها که برای اتمام منظور خرابکارانه خاصی تنظیم‌شده‌اند Botnet خوانده می‌شود و مفهومی است که در حدود دو دهه است که وارد ادبیات مربوط به دامنه ویروس و بدافزار شده است. Botnet ها رئیس بعضی از پرهزینه‌ترین حملات بدافزارها در درازا یک دهه گذشته بوده‌اند، بنابر سعی‌های زیادی برای دفاع در مساوی Botnet یا حتی در صورت امکان خاموش کردن شبکه Botnet ها شکل گرفته است.

Botnet چگونه حمله می‌کند و گسترش پیدا می‌کند؟

کلمه Botnet از دو کلمه تشکیل‌شده است. اولی Bot است که مخفف Robot هست نامی که ما بیشتر به کامپیوتری که تحت حمله بدافزاری قرارگرفته اطلاق می‌کنیم، Net هم که مخفف Network یا شبکه است و به مجموعه‌ای از کامپیوترها که به هم پیوند دارند اطلاق می‌شود. اشخاصی که بدافزارها رو برنامه‌نویسی و طراحی می‌کنند، بدون شک زمان و نیروی ورود برای به‌کارگیری همه کامپیوترهای آلوده‌شده را ندارند، پس مسیر حل این است که به کمک Botnet مجموعه وسیعی از کامپیوترهای آلوده را تحت مهار  قرار بگیرند لغایت کنترل و آلوده کردن باقی دستگاه‌ها به‌صورت خودکار اتمام گیرد. Botnet شبکه‌ای از کامپیوترهای آلوده است که برای گسترش بدافزار مورداستفاده قرار می‌گیرد.

کامپیوتر Zombie چیست؟

وقتی کامپیوتری آلوده شد، با از دست رفتن نا امنیتی تبدیل به یک زامبی می‌شود. به‌راستی این کامپیوتر، حال سایر فقط همانندی ظاهری به کامپیوتر دارد و ضمن دزدیدن اطلاعات حساس شما، اقدام به انجام تکاپوهای مخرب، گسترش آلودگی از راه ارسال هرزنامه یا روش‌های سایر می‌نماید. زامبی‌ها در کنار باقی زامبی‌ها تکاپو می‌کنند و برپایی یک ارتش زامبی یا Botnet می‌دهند.

چگونه می‌فهمیم که رایانه ما بخشی از یک Botnet شده است؟ آیا Botnet تأثیر خاصی روی کار آیی سیستم می‌گذارد؟

وقتی یک کامپیوتر، عضوی از یک Botnet می‌شود، در این صورت می‌توان از آن در یک ساختار خاص، مثلاً ارسال هرزنامه‌ها یا اجرای فرمان‌هایی برای برپایی بار بیش از حتماً روی منابع یک وب‌سایت ویژه برای از کار انداختن یا ایجاد دشواری‌ها امنیتی کاربرد کرد. این پیشامدها ممکن است برای کاربر محسوس باشد، مثلاً بادید اینکه پهنای باند سیستم کمتر از حدی است که مورد انتظار است.

کاربر می‌تواند بروز آلودگی در کامپیوتر را از طریق ابزارهای گوناگون آگاه شود. متعارف‌ترین ابزار، یک فرآورده ضد بدافزار پسندیده است. برای کاربران عادی، ابزاری مشابه Eset Smart Security پسندیده است یا برای کاربرانی که درک عمیق‌تری از فناوری دارند، ابزارهای تشخیصی همانند ESET SysInspector کارآمد است که می‌تواند در وسط Process های سیستم‌عامل جستجو کند و فرآیندی که وجود آلودگی بدافزار Botnet را منعکس می‌کند را معرفی کند. بنابر این باید بدانیم همش فهمیدن حضور Botnet در دستگاه‌هایمان بدون ابزارهای تشخیصی میسر نیست.

 

چه کسی پشت Botnet ها است و Botnet ها برای چه منظوری استفاده می‌شوند؟

Botnet ها به دست افراد مختلفی برای مقاصد گوناگون همچون سرقت اطلاعات، ارسال هرزنامه یا هر جرمی که سود بیشتری داشته باشد مورد کاربرد قرار می‌گیرند. هرچه اطلاعات بیشتری به دست برسد، سرعت و حجم خرابکاری وسیع‌تر خواهد بود. اشخاص مختلفی عملیات Botnet را اتمام می‌دهند، مثلاً  از Botnet برای سرقت اطلاعات بانکی و فریبکاری‌های گوناگون استفاده می‌کنند یا برای جاسوسی وب مختصر و سرقت اطلاعات و نسخه‌برداری از کار و جنبش‌های قربانیان از Botnet استفاده می‌کنند.

نقش Command-and-Control server یا سرور فرمان و مهار در Botnet چیست؟ آیا از بین بردن سرور مجوز و کنترل، منجر به از فعالیت افتادن همه Botnet می‌شود؟

آن چیزی که سرور دستور و مهار یا command and control server (گاهی وقت‌ها C&C یا C2) می‌خوانیم به‌راستی یک سرور مرکزی است که برای پیوندیدن کامپیوترهای آلوده به هم استفاده می‌شود. در بسیاری از Botnet ها خاموش کردن سرور اجازه و کنترل، به معنای خاموش کردن همه Botnet است. ولی استثناهایی هم هستی دارد، مثلاً Botnet هایی که برای وابستگی از شبکه‌های Peer-to-Peer مشابه تورنت استفاده می‌کنند درواقع فاقد سرور اجازه و کنترل هستند. پس چیزی نیست که آن را از شغل بیندازیم. باره دوم Botnet هایی هستند که بیش از یک سرور پروانه و مهار دارند و خاموش کردن گرد از آن‌ها دردی از ما دوا نمی‌کند. این سرورها در کشورها و گستره‌های مختلفی هستند و خاموش کردن احد هیچ تأثیری روی کارایی Botnet ندارد.

در مورد Botnet ها بزرگ‌ترین خطری که متوجه کاربران و صاحبان کسب‌وکار چیست؟

خطراتی که از جانب Botnet ها امکان دارد همان خطراتی هستند که از سوی همه بدافزارها سیستم شمارا دچار می‌کند. خطرات گوناگون هستند، مثلاً اطلاعاتی مهم از دستگاه سیستم عامل شما دزدیده شوند، مانند مالکیت معنوی، نقشه‌ها، رمزهای عبور برای دسترسی به منابع حساس و حتی بازی‌های آنلاین می‌توانند شامل این باره شوند. کامپیوترهای آلوده می‌توانند برای بارگذاری بیش از بی‌گمان هرزنامه روی سرور نیز استفاده شوند.

 

درک این نکته بسیار مهم است که رایانه آلوده‌شده دیگر متعلق به صاحب آن نیست و می‌تواند در دستان یک خرابکار در آن‌سوی گیتی باشد. این شخص می‌تواند هر عمل غیرقانونی را با حساب‌های شما سپردن دهد.

کسب وکار یا کاربران خانگی، کدام بیشتر در معرض خطر Botnet هستند؟

 

درواقع مرزهای بین کامپیوترهای شخصی  به‌شدت از بین رفته است. بسیاری از کار و جنبش‌های ما ممکن است از رایانه‌ها یا تلفن هوشمند نیز انجام شود. درعین‌حال کمپانی‌ها معمولاً مجهز به دستگاه‌های امنیتی و نرم‌افزارهای پیشگیری از حملات و امکانات مانیتورینگ متعددی هستند، هرچند که از جانب دیگر، اطلاعات کمتری نیز روی دستگاه‌های کسب‌وکار نسبت به دستگاه‌های خانگی وجود دارد.

 

آیا نوع خاصی از کاربران هستند که در مانند Botnet آفت‌پذیرتر باشند؟

 

نه واقعاً، چنین چیزی نیست. گونه‌ها مختلفی از بدافزار هستند که هدف های مختلفی دارند.

آیا Eset می‌تواند همگی Botnet ها را معرفی کند؟

 

بله ما از بزرگ‌ترین پروژه‌های تحقیقاتی Botnet که تاکنون وجود داشته را مدیریت می‌کنیم. گروه پژوهشی ما در سال گذشته شبکه‌ای از سرورهای آلوده که به‌قصد انتقال کاربران به وب‌سایت‌های خرابکارانه تکاپو می‌کردند یا اطلاعات اعتباری را می‌دزدیدند و یا هرزنامه ارسال می‌کردند را معرفی کرده است. ما فهمیدیم که درطول اتفاقات گذشته متوجه شدیم، حدود ۲۵ هزار سرور آلوده‌شده‌اند. در لحظه نگارش این گزارش هنوز ۱۰۰۰۰ سرور آلوده وجود دارد!

 

کدام سیستم‌عامل برای Botnet ها طعمه مناسب‌تری است؟ آیا روی مک، لینوکس یا اندروید هم Botnet کامیاب به خرابکاری شده است؟

 

ما بدافزارهای بسیاری را دیده‌ایم که برای اجرا روی سیستم‌عامل‌های بزرگ مجهز شده‌اند. یکی هم آوردن دستگاه‌های آلوده در دل شبکه‌ها یا Botnet ها برای آفت به هر پلتفرم یا سیستم‌عامل کار دشواری نیست. به‌عنوان‌مثال بدافزار Flashback صدها هزار سیستم‌عامل مک را آلوده کرد.

۱۰ Botnet ویرانگر تاریخ

ما در اینجا ۱۰ مورد از بدترین Botnet های تاریخ را مثال می‌زنیم.

 

۱. Zeus

 

اولین و مخوف‌ترین Botnet زئوس است که تنهای ۳.۶ میلیون کاربر را در آمریکا آلوده کرد. زئوس برای سرقت اطلاعات بانکی، اطلاعات کارت‌های اعتباری و اطلاعات واردشده در برگه‌های اینترنتی تنظیم‌شده بود و این فعالیت را از راه واردکردن کد در برگه‌های HTML انجام می‌داد.

 

۲. Koobface

 

یک کرم خبیث که به جان دستگاه‌های کاربران و عاشقان شبکه‌های اجتماعی افتاد. Koobface یک پیام ساده بود که مثلاً به یک لینک ویدئویی باحال اشاره داشت. ازقضا این ویدئو که مدت‌ها دنبالش بودید باز نمی‌شد و یک لینک برای اجرای codec به شما رهنمود می‌شد. دانلود Codec و اجرای آن، فصل جدیدی  از حیات هراسناک برای کاربران می‌ساخت. تنها ۲.۶ میلیون کاربر در آمریکا طعم دست‌پخت این کرم را چشیدند.

 

۳. TidServ

 

یک انگل کامپیوتری (computer parasite) مخرب بدذات بود که معمولاً به شکل ضمیمه یک هرزنامه ارائه می‌شد. بعد از دانلود و اجرای ضمیمه، TidServ اجرا می‌شد و از طرق مختلف، کدهایی را وارد رجیستری می‌کرد و امنیت سیستم را دچار مشکلات زیادی می‌کرد. فقط در آمریکا ۱.۵ میلیون کاربر آلوده شدند.

 

۴. Trojan.Fakeavalert

 

انگل کامپیوتری که برنامه‌های بدافزاری را بدون اخطار به کاربر دانلود می‌کرد. Trojan.Fakeavalert خیلی اوقات برنامه‌های ضد جاسوس انگیزه‌ها کاذب را دانلود می‌کرد. این بدافزار از راه هرزنامه منجر به آلوده کردن ۱.۲ میلیون سیستم شد.

 

۵. TR/Dldr.Agent.JKH

 

انگل کامپیوتری با ساختاری واقعاً همانند با انگل که تا ماه‌ها بدون تکاپو در سیستم آلوده‌شده نهفته می‌ماند. بعدازاین مدت، هنگامی‌که دستورات را از سرور می گرفتند، اقدام به اجرای فعالیت خرابکارانه خود می کردند. مثلاً پیام‌های تبلیغاتی نمایش می‌داد که کاربران را برای دانلود نرم‌افزارهای آلوده تحریک می‌کرد. ۱.۲ میلیون کاربر توسط TR/Dldr.Agent.JKH آلوده شدند.

 

۶. Monkif

 

یک انگل کامپیوتری بود که به‌عنوان یک آلت کمکی روی مرورگر کاربران نصب می‌شد. ۵۲۰ هزار رایانه به دست این انگل آلوده شدند و به اینترنت به‌عنوان یک تهدید امنیتی واقعاً جدی، کاربران را دچار دشواری‌ها جدی کرد.

 

۷. Hamweq

 

یک انگل Autorun بود که ۴۸۰۰۰۰ سیستم را در ایالات‌متحده آلوده کرد. این انگل می‌توانست یک در پشتی برپایی کند و با ورود به کامپیوتر، به تکثیر خود بپردازد. به علت ساختار Autorun، می‌توانست روی فلش مموری ها و سایر حافظه‌های خارجی پیمان بگیرد و بعد از پیوندیدن آن به دستگاه جدید، با دسترسی به حافظه اجرا شود. این انگل روی استارتاپ دستگاه‌های عامل قرار می‌گرفت و امنیت دستگاه‌ها را دچار مخاطرات بسیاری می‌کرد.

۸. Swizzor

 

این Botnet با دانلود تروجان و برنامه‌های آلوده روی دستگاه‌های ۳۷۰۰۰۰ کاربر در ایالات‌متحده، دشواری‌ها کثرت را به وجود آورد.

 

۹. Gammima

 

در حدود ۲۳۰۰۰۰ یارانه در سرتاسر آمریکا توسط این Botnet آلوده شدند که ایستگاه فضایی بین‌المللی نیز از آن جمله بود. قصد اصلی این Botnet حساب‌های مربوط به بازی‌های آنلاین بود و می‌توانست از راه حافظه‌های جانبی گسترش یابد. به دلیل آلوده کردن Explorer.exe رفع سخت این Botnet بسیار دردناک بود. Gammima در اینترنت با اسم‌های Krap، Frethog، Vakik و Gamina نیز شناخته‌شده است.

 

۱۰. کرم Conficker

 

کرم Conficker  از مخوف‌ترین و بدنام‌ترین Botnet ها است که در زمان انتشار، راز و صدای زیادی در رسانه‌های خبری برپایی کرد. نزدیک ۶ میلیون سیستم در سرتاسر دنیا و ۲۱۰ هزار در آمریکا، با مشکلات و دردسرهای متعددی دست‌به‌گریبان شدند. این کرم بانام‌های Kudo و Downadup نیز شناخته‌شده است.

مؤثرترین گذرگاه مبارزه با Botnet ها چیست؟

 

از منظر چیره‌دست گذرگاه‌های متعددی برای مبارزه با Botnet ها وجود دارد و راه‌حل آغازین یک ضد بدافزار است. شرکت‌های امنیتی معتبر می‌توانند موقعیت Botnet را در ترافیک شبکه، حافظه دستگاه‌های آلوده‌شده یا روی هارددیسک‌ها شناسایی کنند. ولی انگار ما بر این است که بهترین گذرگاه مبارزه با ولی انگار ما بر این است که بهترین گذرگاه مبارزه با Botnet آگاهی است. لازم است با افزایش اخطار نسبت به این نوع از تهدید نرم‌افزاری، کاربران را آگاه کنیم که کامپیوتر یا دستگاه آن‌ها بعد از آلوده شدن می‌تواند جرائم هولناکی را مرتکب شود. بناتر این به‌مجرداینکه کامپیوتری آلوده شد و این مسئله پدیدار شد، باید به‌سرعت آفلاین شده و از بدافزار پاک شود. درنهایت، مشارکت کاربران، گروه‌های پژوهشی، سرویس‌دهندگان اینترنت و نهادهای قانونی در مبارزه با Botnet ها و سپردن مجرمان به دستگاه عدالت زیاد کارآمد است.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

درباره aewawea aeaweawe

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *