بات‌نت‌های غیر قابل شناسایی
میزبان شبح قادر است سامانه‌های امنیتی را فریب دهد
هکرها به تازگی موفق به ابداع راهکار جدیدی شده‌اند که قادر است سامانه‌های امنیتی را فریب دهد. در این روش زمانی که بات‌نت‌ها در حال برقراری ارتباط با مرکز کنترل و فرمان‌دهی هستند، از نام‌های میزبان ناشناخته‌ در فیلد نام میزبان پروتکل انتقال ابر متن (HTTP) استفاده می‌کنند. پژوهشگران امنیتی این تکنیک را میزبان شبح (Ghost Host) نام نهاده‌اند.

1606683296_1_0.gif

پژوهشگران شرکت امنیتی Cyren گزارش کرده‌اند: «بدافزارنویسان موفق به ابداع راهکار جالب توجهی شده‌اند که به آن‌ها اطمینان می‌دهد سرورهای کنترل و فرمان‌دهی مورد استفاده از سوی آن‌ها توسط سامانه‌های امنیتی مسدود نخواهد شد.» این تکنیک که به نام میزبان شبح از نام برده شده است، این توانایی را دارد تا در بخش نام میزبان پروتکل انتقال ابر متن و همچنین ارتباطاتی که بات‌نت‌ها از آن استفاده می‌کنند از نام‌های میزبان ناشناخته‌ای استفاده کند.

با استفاده از این تکنیک هکرها قادر هستند از نام‌های میزبان ثبت شده و ثبت نشده استفاده کنند، در نتیجه سامانه‌های امنیتی نمی‌توانند یک آدرس مخرب را از یک آدرس غیرمخرب تشخیص دهند. پژوهشگران امنیتی گفته‌اند، یکی از بدافزارهای این خانواده‌‌ و همچنین DNS مرتبط با  www.djapp(.)info را مورد بررسی قرار داده‌اند و با موفقیت الگوی مورد استفاده توسط آن را کشف کرده‌اند. آن‌ها نتیجه کار خود را در اختیار چند شرکت فعال در زمینه عرضه محصولات امنیتی قرار داده‌اند و این شرکت‌ها با موفقیت توانسته‌اند این دامنه را مسدود کنند. به این شکل درخواست‌های HTTP که برای این دامنه ارسال می‌شود از سوی شبکه‌هایی که این تولیدکنندگان امنیتی از آن‌ها حمایت می‌کنند، مسدود خواهد شد. پژوهشگران پس از آن‌که درخواست‌ ارجاع شده به DNS، آدرس اینترنتی تحویلی به دامنه و ارتباطات مرکز کنترل و فرمان‌دهی که وظیفه کنترل بات‌نت را بر عهده دارد مورد تحلیل قرار دادند، متوجه شدند که بات‌نت فوق این قابلیت را دارد تا در صورت آلوده ساختن یک ماشین جدید گزارش مربوطه را برای مرکز کنترل و فرمان‌دهی ارسال می‌کند.

پژوهشگران موفق شدند رویکرد منحصر به فرد دیگری را نیز کشف کنند. در حالی که یک آدرس آی‌پی ممکن است به یک سرور مخرب تعلق داشته باشد، اما در مقابل فیلد نام میزبان در بخش درخواست HTTP می‌تواند به دامنه‌های متفاوتی اشاره کند. شرکت Cyren این دامنه‌ها را میزبان شبح نام نهاده است. نمونه خاصی که از سوی این شرکت مورد بررسی قرار گرفته بود با دامنه‌های json.nzlvin.net و events.nzlvin.net در ارتباط بود.

با استفاده از این تکنیک، بدافزارنویسان اطمینان خواهند داشت حتا اگر آدرس آی‌پی مقصد مسدود شود، بات‌ها بازهم با سرور کنترل و فرما‌ن‌دهی در ارتباط خواهند بود. به واسطه آن‌که آدرس‌های میزبان هیچ‌گونه مشکلی نداشته و مسدود نخواهند شد. وقتی سرور کنترل و فرمان‌دهی درخواستی مبتنی بر میزبان شبح را دریافت می‌کند، این توانایی را دارد تا پاسخ‌های مختلفی را ارسال کرده و به بات‌ها فرمان دهد بدافزار مشخصی را دانلود کنند. پژوهشگران امنیتی می‌گویند، به طور معمول آدرس‌های آی‌پی متعلق به سرور کنترل و فرمان‌دهی مسدود نمی‌شوند به واسطه آن‌که محتوای مشروع و قانونی را توامان با محتوای مخرب در اختیار دارند. در نتیجه اگر آدرس آی‌پی مربوط به یک سرور مسدود شود، کاربران این توانایی را نخواهند داشت تا به محتوای عادی دسترسی داشته باشند.

این شرکت گفته است: «ما تنها تعداد محدودی از میزبان‌های جعلی را شناسایی کرده‌ایم، اما هکرها از تعداد بسیار زیادی میزبان استفاده می‌کنند. به عقیده ما تکنیک میزبان شبح یکی از جدیدترین ترفندهایی است که هکرها برای دور زدن مکانیزم‌های شناسایی از آن استفاده می‌کنند.»

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟