پژوهشگران شرکت امنیتی Cyren گزارش کردهاند: «بدافزارنویسان موفق به ابداع راهکار جالب توجهی شدهاند که به آنها اطمینان میدهد سرورهای کنترل و فرماندهی مورد استفاده از سوی آنها توسط سامانههای امنیتی مسدود نخواهد شد.» این تکنیک که به نام میزبان شبح از نام برده شده است، این توانایی را دارد تا در بخش نام میزبان پروتکل انتقال ابر متن و همچنین ارتباطاتی که باتنتها از آن استفاده میکنند از نامهای میزبان ناشناختهای استفاده کند.
مطلب پیشنهادی
با استفاده از این تکنیک هکرها قادر هستند از نامهای میزبان ثبت شده و ثبت نشده استفاده کنند، در نتیجه سامانههای امنیتی نمیتوانند یک آدرس مخرب را از یک آدرس غیرمخرب تشخیص دهند. پژوهشگران امنیتی گفتهاند، یکی از بدافزارهای این خانواده و همچنین DNS مرتبط با www.djapp(.)info را مورد بررسی قرار دادهاند و با موفقیت الگوی مورد استفاده توسط آن را کشف کردهاند. آنها نتیجه کار خود را در اختیار چند شرکت فعال در زمینه عرضه محصولات امنیتی قرار دادهاند و این شرکتها با موفقیت توانستهاند این دامنه را مسدود کنند. به این شکل درخواستهای HTTP که برای این دامنه ارسال میشود از سوی شبکههایی که این تولیدکنندگان امنیتی از آنها حمایت میکنند، مسدود خواهد شد. پژوهشگران پس از آنکه درخواست ارجاع شده به DNS، آدرس اینترنتی تحویلی به دامنه و ارتباطات مرکز کنترل و فرماندهی که وظیفه کنترل باتنت را بر عهده دارد مورد تحلیل قرار دادند، متوجه شدند که باتنت فوق این قابلیت را دارد تا در صورت آلوده ساختن یک ماشین جدید گزارش مربوطه را برای مرکز کنترل و فرماندهی ارسال میکند.
پژوهشگران موفق شدند رویکرد منحصر به فرد دیگری را نیز کشف کنند. در حالی که یک آدرس آیپی ممکن است به یک سرور مخرب تعلق داشته باشد، اما در مقابل فیلد نام میزبان در بخش درخواست HTTP میتواند به دامنههای متفاوتی اشاره کند. شرکت Cyren این دامنهها را میزبان شبح نام نهاده است. نمونه خاصی که از سوی این شرکت مورد بررسی قرار گرفته بود با دامنههای json.nzlvin.net و events.nzlvin.net در ارتباط بود.
با استفاده از این تکنیک، بدافزارنویسان اطمینان خواهند داشت حتا اگر آدرس آیپی مقصد مسدود شود، باتها بازهم با سرور کنترل و فرماندهی در ارتباط خواهند بود. به واسطه آنکه آدرسهای میزبان هیچگونه مشکلی نداشته و مسدود نخواهند شد. وقتی سرور کنترل و فرماندهی درخواستی مبتنی بر میزبان شبح را دریافت میکند، این توانایی را دارد تا پاسخهای مختلفی را ارسال کرده و به باتها فرمان دهد بدافزار مشخصی را دانلود کنند. پژوهشگران امنیتی میگویند، به طور معمول آدرسهای آیپی متعلق به سرور کنترل و فرماندهی مسدود نمیشوند به واسطه آنکه محتوای مشروع و قانونی را توامان با محتوای مخرب در اختیار دارند. در نتیجه اگر آدرس آیپی مربوط به یک سرور مسدود شود، کاربران این توانایی را نخواهند داشت تا به محتوای عادی دسترسی داشته باشند.
این شرکت گفته است: «ما تنها تعداد محدودی از میزبانهای جعلی را شناسایی کردهایم، اما هکرها از تعداد بسیار زیادی میزبان استفاده میکنند. به عقیده ما تکنیک میزبان شبح یکی از جدیدترین ترفندهایی است که هکرها برای دور زدن مکانیزمهای شناسایی از آن استفاده میکنند.»
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟