ITanalyze

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مقدمه- گرچه نحوه‌ی استفاده از محتوای تلویزیونی دارد به سرعت تغییر می‌کند اما همچنان برای خودِ محتوا تقاضا بسیار است؛ کاربران دست آخر هر کاری می‌کنند تا به این محتواها برسند (حالا چه به روش‌های قانونی و چه غیرقانونی). دنیا دارد رو به فروش برنامه‌های پولی می‌رود... نمونه‌اش هم نتفلیکس یا اپل‌موزیک. با این حال بسیاری از کشورها هنوز هم بر سر توزیع و انتشار غیرقانونی محتوا جنگ دارند. دسامبر 2018، دادگاه فدرال استرالیا طی دستور کاری اعلام کرد همه‌ی ارائه‌دهندگان داخلی اینترنت باید 181 دامنه‌ی غیرقانونی را مسدود کنند. این دامنه‌ها در واقع به 78 وبسایت لینک می‌شدند که پر بودند از فایل‌های ناقض قوانین کپی‌رایت. اوایل سال 2019، وزارت دادگستری برزیل با همکاری پلیس فدرال این کشور اقدام به آغاز عملیاتی جهت مبارزه با نقض قانون کپی کردند. هدف این عملیات مبارزه با توزیع غیرقانونی موسیقی، فیلم و نمایش‌های تلویزیونی بود.  این فقط دو مورد از چند اقداماتی است که  دولت‌ها و بخش‌های خصوصی در سراسر جهان برای مقابله با این مشکل انجام داده‌اند. اما با وجود چنین اقداماتی هنوز هم شاهد نقض قانون کپی‌رایت هستیم. بر اساس آخرین گزارش سالانه‌ی دزدی[1] توسط موسو -شرکت فناوری که کارش ارائه‌ی راه‌حل‌های ضد دزدی، تحلیل بازار و ارتباط با مخاطب است- تعداد محتواهای دزدی‌ رو به افزایش است.

این شرکت در سال 2017 بیش از 300 میلیارد بازدید از وب‌سایت‌های دزدی ثبت کرد.  افزایش 1.6 درصدی از سال 2016 و روند بین‌المللی: ایالات متحده بیشترین تعداد بازدید از وب سایت‌های دزدی را داشته است (27.9 میلیارد بازدیدکننده در سال)، به دنبال آن روسیه را داریم با 20.6 میلیارد بازدید (افزایش 46درصدی نسبت به سال 2016) و هند که ساکنانش 17 میلیارد بار به وب‌سایت‌‌های دزدی سر زدند. هنوز هم بخش اعظم محتوای دزدی مختص فایل‌های قابل دانلود است: گزارش WebKontrol 2019 ادعا می‌کند وب‌سایت‌های تورنت هنوز از نظر حجم محتوای دزدی به سرقت رفته در روسیه حرف اول را می‌زنند و بعد از آن شاهد میزبانی وب و سرویس‌های پخش هستیم. علاوه بر این، سهم لینک‌هایی که در وبسایت‌های تورنت به محتواهای غیرقانونی هدایت می‌شوند  از سال 2018 رشد 14 درصدی داشته است (از 24 درصد به 38 درصد رسیده است) و دارد گوی سبقت را از وبسایت‌های پخش برنامه نیز می‌رباید.

تورنت‌ها به عنوان منبعی سودآور همچنین روش محبوبی برای توزیع کد مخرب هستند. تا به حال مطالعات زیادی در مورد اینکه مجرمان سایبری چگونه از این فرصت سوء استفاده می‌کنند انجام شده است. بر اساس نتایجِ تحقیقی مشابه در سال 2015، 35 درصد محتواهای دزدی نشان از فایل‌هایی دارد که از طریق BitTorrent به اشتراک گذاشته بودند. بیش از 99 درصد این فایل‌های تقلبی تحلیل‌شده یا به وبسایت‌های مخرب و یا اسکم لینک می‌شدند. یافته‌های اخیر آزمایشگاه کسپرسکی و محققین مستقل این روند را تایید کرده‌اند.

اما چه محتوایی مورد هدف قرار می‌گیرد؟ ردیاب‌های تورنت در اصل جولانگاهِ آن‌هایی بودند که به دنبال نسخه‌های دزدیِ بازی‌ها و سایر نرم‌افزار‌ها و همچنین بلاک‌باسترهای هالیوود[2] می‌گشتند. با این حال، در سال‌های اخیر، نمایش‌های تلویزیونی از نظر محتوا در میان بینندگان سراسر جهان، به محبوب‌ترین نوع محتوا تبدیل شده‌اند - گاهی اوقات حتی محبوب‌تر از فیلم‌های هالیوود. طبق گزارش موسو، یک‌سوم کل کاربرانی که از محتوای دزدی استفاده می‌کنند به محتوای تلویزیونی علاقه نشان می‌دهند:  نمایش‌های تلویزیونی همچنان بین کاربران، محبوب‌ترین محصولند (سال گذشته 106.9 میلیارد بازدید داشتند). بعد از آن به محتوای موزیک می‌رسیم (با 73.9 میلیارد بازدید) و در نهایت محتوای فیلم را داریم (53.2 میلیارد بازدید).

چنین محبوبیتی محال است نظر مجرمان سایبری را به خود جلب نکند. برای اینکه بدانید آن‌ها چطور از چنین آب گل‌آلودی ماهی می‌گیرند روی چشم‌انداز تهدیدات بدافزار تحقیقاتی انجام دادیم؛ تهدیداتی که خود را به شکل اپیزودهای جدید نمایش‌های محبوب تلویزیونی توزیع‌شده توسط وبسایت‌های تورنت درآورده بودند. هدف ما این است که ببینیم کدامیک از سریال‌های تلویزیونی بیشتر از همه جولانگاه بدافزارهاست. همچنین می‌خواهیم بدانیم کدام تهدیدها از این طریق توزیع می‌شوند.

متودولوژی و یافته‌های کلیدی

برای اینکه مطمئن شویم سریال‌های تلویزیونی‌ای که رویشان تمرکز کرده‌ایم به حد کافی محبوب بودند یا نه، فهرستی از جذاب‌ترین نمایش‌های تلویزیونی 2018 را با استفاده از منابع عمومی مختلف از جمله IMDB، Rotten Tomatoes و سایر منابع رتبه‌بندی آنلاین تهیه کردیم. همچنین سریال‌هایی که از همه بیشتر قربانی بدافزارها شده بودند را نیز پیدا کردیم. در مجموع به 45 عنوان رسیدیم اما از آنجا که برخی از محبوب‌ترین نمایش‌ها همزمان در چند رتبه‌بندی ظاهر شدند کمی اصلاحات روی آن انجام دادیم و بعد به فهرست 31 تاییِ نمایش‌های تلویزیونی رسیدیم (بر طبق رتبه‌بندی‌های عمومی مختلف مانند IMDB، Rotten Tomatoes و غیره عناوین بر اساس حروف الفبا فهرست شده‌اند):

• Altered Carbon
• American Horror Story
• Arrow
• Better Call Saul
• Daredevil
• DC’s Legends of Tomorrow
• Doctor Who
• Game of Thrones
• Grey’s Anatomy
• Homeland
• House of Cards
• Killing Eve
• Legends of Tomorrow
• Modern Family
• Roseanna
• Sharp Objects
• Stranger Things
• Suits
• Supernatural
• The Big Bang Theory
• The Flash
• The Good Doctor
• The Good Place
• The Handmaid’s Tale
• The Haunting of Hill House
• The Walking Dead
• The X-files
• This Is Us
• Vikings
• Westworld
• Young Sheldon

سپس هر عنوان را با استفاده از پایگاه اطلاعات خطر خود سنجیدیم. با استفاده از آمار خطر جمع‌شده از طریق زیرساختارمان به نام KSN (شبکه امنیت کسپرسکی[3])  -که کارش پردازش اطلاعات مرتبط با امنیت سایبری است- چک کردیم ببینیم آیا کاربرانی که قبول کردند آمار خطر را با KSN به اشتراک بگذارند تا به حال حین دست وپنجه نرم کردن با سریال‌های تلویزیونی به بدافزاری برخوردند یا نه.

سپس بررسی کردیم ببینیم آیا هیچ ارتباطی بین تعداد و ترتیب اپیزودهای هر فصل و علاقه‌ی عامل بدافزار در آن‌ها وجود دارد یا نه. علاوه بر این، میزان تأثیرِ هر بدافزار را نیز تخمین زدیم و اینکه هر شویی تا چه میزان توانسته برای مهاجمین طعمه‌ی خوبی باشد. برای انجام این کار تعداد کل کاربرانی را که مورد حمله واقع شدن بودند به تعداد فایل‌های مخرب تقسیم‌بندی کردیم و همین کار را نیز روی هر سریال تلویزیونی نیز انجام دادیم. بدین‌ترتیب دستمان آمد که میانگین کاربران دست کم یک فایل مخرب شوی تلویزیونی چقدر است (البته تا حدودی). این کار خیلی به ما کمک کرد تا بتوانیم بفهمیم کدام شو از همه بیشتر در دام بدافزارها افتاده است.

در آخر نگاهی داشتیم به انواع تهدیدهایی که با پوشش سریال‌های محبوب، بیشتر از همه کاربران را مورد هدف خود قرار می‌دهند.

و حالا یافته‌های بدست‌آمده:

• تعداد کل کاربران سراسر جهان که در سال 2018 با بدافزارهای مرتبط با شوهای تلویزیونی مواجه شدند 126,340 بود؛ در حقیقت یک‌سوم کمتر از تعدادی که در سال 2017 تخمین زده شد. دیده شده است که تعداد حملات توسط چنین بدافزارهایی کاهش 22 درصدی داشته است (ثبت 451,636 اقدام).
• سه تا از برترین شوهای تلویزیونی که به عنوان تله استفاده شدند و قربانی زیادی گرفتند: Game of Thrones، The Walking Dead و Arrow.
• 17 درصد کل محتوای دزدی آلوده در سال 2018 به Game of Thrones تعلق می‌گیرد (به 20,934 کاربر حمله شد) تازه جالب است بدانید در این سال اپیزود جدیدی هم از آن بیرون نیامده بود.
• طبق تحلیل‌های ما اولین و آخرین اپیزودهای هر فصل  Game of Thrones خطرناک‌ترین‌ها بوده‌اند. در مجموعه لابراتوار کسپرسکی اولین و آخرین اپیزودهای هر فصل از این شو بیشترین تعداد فایل‌های مخرب را داشته‌اند و همچنین کاربران هم بیشتر از هر زمان دیگری آلوده شدند.
• Winter Is Coming -اولین اپیزود شو- از همه بیشتر مجرمان سایبری را به خود مشغول کرد.
• ظرف دوسال 33 نوع و 505 خانواده‌ی مختلف تهدید پشت شوی Game of Thrones شناسایی کردیم.
• به طور متوسط 2.23 کاربر در هر فایل بدافزار (در قالب شوی تلویزیونی) هفت بار مورد حمله قرار گرفتند.
• American Horror Story هم ثابت کرد که مؤثرترین کاور برای اقدامات بدافزار به حساب می‌آید- هر فایل مخرب مخفی‌شده پشت این عنوان به متوسط سه کاربر رسیده است.
• Not-a-virus:Downloader و Not-a-virus:AdWare دو تا از محبوب‌ترین تهدیدهایی بودند که از طریق محتوای شوی تلویزیونی انتقال داده شدند. خطرناک‌ترین نوع بدافزار هم همان تروجان است که دیگر همه با نام آن آشناییم.

نگاه کلی: بدافزار در راه است 

تحلیل پی‌لودهای مخرب در قالب عنوان سریال‌های محبوب تلویزیونی و مقایسه‌ی نتایج دو سال 2017 و 2018 نشان داد تعداد چنین فایل‌های مخرب، حملات و کاربران قربانی تقلیل یافته است. به طور کلی 126,340 کاربر مورد حمله واقع شدند- این یعنی یک‌سوم تعدادی که در سال 2017 تخمین زده شد (188,769). این کاهش را در کمتر جایی می‌توان شاهد بود. برای مثال گزارشات اخیر نشان می‌دهد تعداد کاربرانی که از طریق محتوای مستحجن به دام این بدافزار افتادند سال 2018 تنها 45 درصد کاهش یافت. درست مانند تعداد کاربران، تعداد بدافزارها هم همچنین کم شده است: در سال 2017 که سال بسیار خوبی برای بدافزارها بود  82,091 نمونه به پایگاه اطلاعاتی خود اضافه کردیم، این درحالیست که در سال 2018 این رقم طی کاهشی 30 درصدی به 57,133 رسید.

تعداد کل حملات شناسایی‌شده توسط راه‌حل‌های امنیتی ما نیز کم شده است اما تنها 22 درصد (451,636).

شاید دلیل چنین کاهشی را بتوان با رخدادهای امسال مربوط دانست که روی تعداد دانلودهای فایل تورنت هم تأثیر گذاشت. اول اینکه در سال 2018 گوگل بیش از 65 هزار وبسایت تورنت -توزیع‌دهندگان اصلی نمایش‌های تلویزیونی دزدی- را در رتبه‌بندی پایینی قرار داد و همین باعث شد بسیاری از کاربران نتوانند حین جست‌وجوی دانلود سریال‌ها آن‌ها را پیدا کنند. اقدامات فعالانه‌ای برای بستن وبسایت‌های تورنت صورت گرفت و همین باعث شد هر روز بیشتر و بیشتر آن‌ها را بلوکه کرده و یا به دردسر بیاندازند. برای مثال، دو ردیاب تورنت اصلی (Pirate Bay و Demonoid) اخیراً به شدت دچار افت کارکرد شده‌اند. یکی از مهم‌ترین آن‌ها Leechers Paradise که برای همیشه بسته شد.

در پاسخ، وبسایت‌هایی که کارشان پخش کپی‌های دزدیی فیلم‌ها و سریال‌هاست دارند روز به روز محبوب‌تر می‌شوند و دارند یک‌جورهایی کار و کاسبی تورنت‌ها را کساد می‌کنند. با این حال، تورنت‌ها همچنان در رأس امورند و در تلاشند کاربران بیشتری را مورد هدف خود قرار دهند. به منظور بررسی میزان تأثیر چنین بدافزارهایی تعداد کل کاربران قربانی را با تعداد کل فایل‌های آلوده‌ی شناسایی‌شده مقایسه کردیم. با تقسیم تعداد کاربران به تعداد فایل‌ها به این مسئله پی بردیم که  هر بدافزار شوی تلویزیونی متوسط 2.23 کاربر را در سال 2018 آلوده کرده است.

علاوه بر این، فهرستی از محبوب‌ترین تورنت‌های 2018 را با فهرستی از آلوده‌ترین سریال‌های تلویزیونی قیاس کردیم:

محبوب‌ترین تورنت 2018 گزارش‌شده توسط TorrentFreak در مقایسه با محبوب‌ترین سریال‌های تلویزیونی اما در باطن بدافزار

همانطور که در جدول بالا مشاهده می‌کنید، از این 10 سریال 6 سریال در هر دو ستون قرار دارند: پس هرقدر شوی تلویزیونی‌ای بیشتر محبوب باشد بیشتر هم به چشم مجرمان سایبری خواهد آمد. در عین حال، چندین نمایش تلویزیونی که سازندگانشان حسابی آن‌ها را تبلیغ کردند و قرار بود خیلی محبوبیت بدست آورند (Westworld، DC’s Legends of Tomorrow و چندتای دیگر) نتوانستند خیلی در بخش انتقال آلودگی‌‌ها موفق عمل کنند.

فایل‌های بدافزار: سریال‌هایی که اغلب اوقات آلوده می‌شوند

مجرمان سایبری به یک سری از شوهای تلویزیونی علاقه بیشتری نشان می‌دهند و این حقیقت ثابت شده است (آمار این را نشان می‌دهد). برای اینکه بدانیم کدامیک از آن‌ها بیشتر از بقیه عاملین تهدید را بیشتر به خود جذب می‌کنند شروع کردیم به بررسی و تحلیل تعداد فایل‌های بدافزار پنهان‌شده در پس عناوین تلویزیونی، اینکه چند بار به کاربران حمله کرده‌اند و طی چنین حملاتی چند کاربر قربانی شده است.

فایل‌های مخرب نشان دهنده‌ی تعداد نمونه‌های بدافزارهایی است که کاربران ما با آن‌ها مواجه شدند. منظور از Attacks تعداد دفعاتی است که راه‌حل‌های امنیتی ما گزارش شناسایی دادند و منظور از Users attacked کاربرانی هستند که (دست کم یک بار) توسط بدافزارهای مرتبط با سریال‌های تلویزیونی مورد حمله قرار گرفته‌اند.

بین همه سریال‌ها Game of Thrones بیشترین قربانی را گرفته است (توسط بدافزاری به همین نام). تعداد: 20,934. این بدافزار 129,819  بار تلاش داشت تا کاربران را آلوده کند و تعداد کل فایل‌های بدافزار با تم بازی تاج و تخت در مجموعه تهدید ما به 9,986 می‌رسد.

دومین جایگاه هم در 2017 و هم 2018 به Walking Dead اختصاص دارد: به 18,794 کاربر حمله شده است. سومین جایگاه نیز برای Arrow است (12,163 کاربر).

همچنین نگاهی دقیق داشتیم به اپیزودهای نمونه از دو تا از آخرین فصل‌های Games of Thrones (6 و 7) و فصل اول و اوریجینال آن. نتایج نشان داد تعداد فایل‌های آلوده که فناوری‌های حفاظتی ما شناسایی کردند به طور قابل‌ملاحظه‌ای از هر اپیزود به اپیزودِ دیگر متغیر بود.

برای چنین تحلیلی هم منابع لازم است و هم زمان زیادی. به همین دلیل تمرکز خود را منحصراً روی بازی تاج و تخت گذاشتیم. ما روی سه فصل مختلف GoT بررسی‌هایی انجام دادیم که البته مطمئن نیستیم همین حملات را روی فصل‌های دیگر نیز به همین روش انجام داده باشند. همانطور که قبلاً گفتیم فایل‌های بدافزار خود را شبیه شوهای تلویزیونی می‌کنند که از بین اینها Game of Thrones بیشترین تعداد قربانی را گرفت.

از شماره ده که پایین بیاییم به Walking Dead می‌رسیم. این سریال بعد از بازی تاج و تخت بیشترین موفقیت را برای فایل‌های بدافزار داشته است (2.69 کاربر به طور متوسط) سپس به ترتیب Grey’s Anatomy (2.65) و بعد Supernatural (2.34).

آناتومی تهدید: بخش‌های تهدید و انواع تهدیدها 

برای بخش‌های تهدید و انواع تهدیدها  نمونه‌هایی از محبوب‌ترین شوهای تلویزیونی 2017 و 2018 را خارج کردیم و انواع و خانواده‌های مختلف تهدیدها را شمردیم. نتیجه: شناسایی 33 نوع تهدید و 505 خانواده مختلف در پس سریال بازی تاج و تخت.

تهدید فراگیر: تروجان‌ها

بر اساس آمار، رایج‌ترین نوع تهدید، تروجان‌ها هستند. در 17 درصد همه‌ی موارد مربوط به دزدی از شوهای تلویزیونی تروجان‌ها یک پای قضیه بوده‌اند. خانواده‌ی WinLNK.Agent. یک تروجان نوع خطرناکی است از بدافزار که می تواند آسیب زیادی وارد کند (از سرقت اطلاعات گرفته تا کنترل و نظارت بر سیستم آلوده).

سناریوی معمول: کاربر یک فایل تورنت دانلود می‌کند و یا آرشیوی با میانبر به یک ایمیل دریافت می‌نماید. ابتدا فکر می‌کند کپی اپیزودی است که مدت‌ها منتظرش بوده. حال، جدا از این میانبر، آرشیو مذکور همچنین حاوی فولدری با ویژگی system خواهد بود... همین قابلیت است که آن را نامحسوس می‌کند؛ بطوریکه حتی اگرWindows Explorer هم جوری تنظیم شود که فایل‌های پنهان را نمایش دهد باز خود را نشان نمی‌دهد.

کاربر با کلیک کردن روی میانبر با امید اینکه بتواند ویدیو را تماشا کند اسکریپت AutoIt را که در فولدر مخفی جا خشک کرده است باز می‌کند.

خانواده Not-a-virus

دومین نوع تهدیدها که جزو سه تهدید محبوبند، خانواده not-a-virus است که بیشتر در قابل آگهی‌افزارها یا دانلودرها خودشان را نشان می‌دهند. not-a-virus:AdWare.Win32.FileTour. نوعی آگهی‌افزار است که شاید به لحاظ فنی نرم‌افزاری قانونی باشد اما در بسیاری از موارد کاربر مجبور است با برنامه‌ی طرف‌سومی کار کند که همان‌ها در نهایت این آگهی‌افزارها را آلوده می‌کنند.

جایگاه سوم هم متعلق است به خانواده not-a-virus اما از نوع تهدید دانلودرش. این تهدید در عین حال که بی‌گناه است اما یک‌جورهایی آزاردهنده هم هست زیرا مدام در تلاش است دانلود کند. نقشه ساده است: کاربر به دنبال شویی تلویزیونی یا سایر رسانه‌ها  وبسایتی را سر می‌زند و کلی دکمه دانلود می‌بیند.

چطور ایمن بمانیم؟

• دقت کنید ببینید وبسایت معتبر است یا نه. هیچوقت از چنین وبسایت‌هایی دیدن نکنید مگر آنکه از قانونی بودن آن‌ها مطمئن شده باشید.
• همیشه مطمئن شوید وبسایت اصل است. این کار را (قبل از دانلود) با چک کردن فرمت یو‌آر ال و یا املای نام شرکت انجام دهید. وبسایت‌های تقلبی ممکن است خیلی شبیه نسخه‌های واقعی‌شان باشند اما همیشه یک جاهایی از آن‌ها ایراد دارد که اگر کمی دقت به خرج دهید می‌توانید تفاوت آن‌ها را با نسخه‌های اوریجینال تشخیص دهید.
• به افزونه‌ی فایل دانلودشده توجه بسیاری کنید. اگر دارید اپیزودهای سریال‌های تلویزیونی دانلود می‌کنید یادتان باشد که نباید با پسوند .exe تمام شود.
• حواستان به تورنت‌هایی که استفاده می‌کنید باشد و همیشه کامنت‌هایی را که در مورد فایل‌های قابل‌دانلود می‌گذارند بخوانید. اگر کامنت‌ها بی‌ربط باشند پس احتمالاً با یک بدافزار مواجه هستید.
• روی لینک‌های مشکوک که وعده‌های رنگین می‌دهند کلیک نکنید. همیشه سعی کنید جدول زمان‌بندی خود سریال تلویزیونی را دنبال کنید.
• از راه‌حل‌های قابل‌اطمینان برای حفاظت همه‌جانبه از طیف وسیعی از تهدیدها استفاده کنید. از جمله Kaspersky Internet Security.

[1] Annual Piracy Report

[2] Hollywood blockbuster

[3] Kaspersky Security Network   

منبع: کسپرسکی آنلاین