ITanalyze

کمال باستانی - به‌تازگی مهاجم‌های سایبری به‌طور بی‌سابقه‌ای استفاده پوششی از سرویس‌ها، ابزارها و نرم‌افزارهای فناوری اطلاعات را آغاز کرده‌اند تا حضور خود را در شبکه‌های مورد هدف‌شان پنهان نگه دارند. این موضوع موجب دشواری بیش از پیش وظایف محافظت از امنیت اطلاعات شبکه‌های رایانه‌ای شده است. از این‌رو همچون گذشته دیگر نمی‌توان به ابزارهای متداول فناوری اطلاعات اعتماد کرد و مرز بین ابزارها و نرم‌افزارها از لحاظ کاربرد در ایمنی شبکه و در مقاصد نفوذ به شبکه، در حال محو‌شدن است.
گروه‌های سایبری و حملات سایبری

چندی است که در تحقیقات امنیت اطلاعات، موضوع استفاده دو‌جانبه از ابزارها و سرویس‌های محبوب اینترنتی اهمیت بیشتری یافته است. در حملات سایبری رخ‌داده، بررسی‌هایی که انجام می‌شود، حاکی از سوءاستفاده‌های بیشتری از سرویس‌ها و ابزارهای مرسوم طی سال گذشته است. به‌عنوان نمونه، گروه هکری DNSCalc که چندی قبل به پایگاه اینترنتی نیویورک‌تایمز نفوذ کرده بود، طی فرایند نفوذ خود از سرویس اینترنتی محبوب DropBox (سرویس رایگان اشتراک فایل اینترنتی) برای انتشار بدافزار خود استفاده کرده بود. همچنین در این حمله سایبری از ابزار وردپرس (یک سیستم مدیریت محتوا کاملا رایگان و متن‌باز) به‌عنوان زیرساخت اجرای کدهای مخرب و کنترل برای مدیریت سیستم‌های آلوده به بدافزارشان استفاده کردند.

در یک مورد مشابه، محققان امنیتی در آزمایشگاه Blue Coat و آزمایشگاه کسپرسکی کشف کردند که یک گروه سایبری عامل شکل‌گیری حملات گسترده سایبری، از یک نسخه رایگان از سرویس میزبانی CloudMe و یک شبکه خصوصی مجازی برای نفوذ به سیستم‌ها و کنترل آنها از راه دور استفاده کرده بود. نتایج چنین تحقیقاتی نشان می‌دهد که هکرها و مهاجمان سایبری در حال گسترش استفاده از این شیوه حمله سایبری هستند تا اقدامات مخرب آنها و نفوذهایشان را مخفی نگه دارند.
پیش‌بینی‌هایی برای سال 2015

بر اساس چنین تجربیاتی از حملات سایبری با پوشش نرم‌افزارهای مجاز، این نوع حملات سایبری در فهرست پیش‌بینی تهدیدهای امنیت اطلاعات سال 2015 بااهمیت توصیف شده‌اند. انتظار می‌رود در سال جاری میلادی هکرها از ابزارهای نرم‌افزاری برای سرقت رمز عبور و محل داده‌های شبکه‌ها استفاده کنند و از هشدارهای تشخیص ورود غیرمجاز و مشکوک که در شبکه‌ها برای ایمنی مورد استفاده قرار می‌گیرند، مصون بمانند.

در حملات سایبری پیچیده حتی پیش‌بینی می‌شود که ابزارهای یکپارچه امنیتی به‌ظاهر مطمئن ولی آلوده به بدافزار هم توسعه یابد. برای مثال، پیش‌بینی می‌شود از سیستم متمرکز مدیریت وصله‌های امنیتی برای انتشار کدهای آلوده به بدافزار بهره گرفته شود و از ضد ویروس رایانه برای فرایند جست‌وجوی اطلاعات کارت اعتباری استفاده شود. حتی استفاده از ابزارهای اسکن آسیب‌پذیری برای به‌دست آوردن توپولوژی شبکه ممکن خواهد بود. به‌عبارت دیگر، هکرهای پیشرفته درصددند تا ابزارها و نرم‌افزارهایی را که برای امنیت اطلاعات مورد استفاده قرار می‌گیرند، آلوده کرده و برای مقاصد خود مورد سوءاستفاده قرار دهند.
حملات سایبری بی‌سروصدا

هدف حملات سایبری با پوشش نرم‌افزارهای قابل اعتماد، تلفیق رفتارهای سیستمی حمله با رفتارهای سیستمی طبیعی است تا با این ترفند، تا آنجا که ممکن است از تشخیص فرار کنند. بنابر گزارش شرکت امنیت اطلاعات BeyondTrust، یک روند رو به‌رشد از حملات نفوذ با پوشش قرار دادن ابزار موجود سیستم ایجاد شده تا نفوذ به شبکه در نظر مدیران شبکه، یک دسترسی مجاز جلوه کند.

هکرها با هوشمندی به جای صرف توان و انرژی خود روی توسعه و پیاده‌سازی کدهای بدافزاری، شروع به هک ابزارها و نرم‌افزارهای موجود و عملیات سیستم‌عامل کرده‌اند تا به این وسیله به اهداف خود برسند. هکرها فهمیده‌اند که برای به‌دست آوردن نقطه نفوذ اولیه، تنها به ابزارهای موجود سفارشی‌شده نیاز دارند. اما به محض اینکه دسترسی اولیه به شبکه را به‌دست آورند، تلاش‌ها معطوف به پنهان نگه‌داشتن فعالیت‌های هکری در سایه ابزارهای مجاز می‌شود.

موضوع زمانی مهم‌تر جلوه می‌کند که به‌نظر می‌رسد مهاجمان در حال حرکت به سمت حملات سایبری بی‌سر‌و‌صدا هستند و استراتژی آنها در حال تغییر به سمت استخراج داده کم، آهسته است و قطعا خطرناک‌تر خواهد بود. سرقت اطلاعات خدمات پستی ایالات متحده، نمونه‌ای است که در آن هکرها موفق به سرقت مقادیر زیادی از اطلاعات محرمانه طی یک دوره زمانی قابل ملاحظه شدند که این موضوع تاثیر بسیار نامطلوبی بر اعتماد مردم به امنیت اطلاعات شخصی‌شان داشت.

در گذشته تمرکز هکرها بر هک سریع شبکه، برداشتن داده‌ها و خروج در سریع‌ترین زمان ممکن از شبکه‌های قربانی‌شان بود تا رد پای خود را گم کنند. اما اکنون رویکرد هکرها به نفوذ و حضور بی‌سرو‌صدا به شبکه‌ها و حفظ دسترسی خود به شبکه هدف در طولانی‌ترین زمان ممکن تغییر یافته است تا در فرصت مناسب و با حوصله، انواع مقاصد خود را مورد بهره‌برداری قرار دهند. برای این منظور تلاش هکرها معطوف به استفاده از زیرساخت‌هایی همچون سرویس‌های ابری مثل Akamai ‌و سرویس شبکه‌های کشینگ شده تا با آلوده کردن چنین سرویس‌ها و ابزارهایی، اولا بدافزار یا زیرساخت بدافزاری خود را بیشتر انتشار دهند و از سوی دیگر در پوشش این سرویس‌های اینترنتی و شبکه‌ای مخفی بمانند.
ابزار هکرها

یکی از مجموعه ابزارهای شناخته‌شده که اغلب توسط مدیران شبکه برای مقاصد عیب‌یابی و یا برای مدیریت شبکه استفاده می‌شود،Sysinternals است. یکی از ابزارهای این مجموعه اجازه می‌دهد تا هر کسی با اعتبار دسترسی مجاز، فرایندهای روی رایانه را از راه دور راه‌اندازی کند. این امکان هم مورد علاقه هکرها است و هم مدیران شبکه به دلایل واضح به استفاده از آن علاقه‌مندند. این روزها بسیاری از ضد ویروس‌ها و حتی ابزارهای تشخیص بدافزار به‌دلیل استفاده گسترده در حملات سایبری، به یک ابزار هک تبدیل شده‌اند.

ابزار دسترسی به دسک‌تاپ ویندوز از راه دور، یکی دیگر از ابزارهای مدیران شبکه است که پس از دسترسی اولیه هکرها به نقاط ورودی شبکه، بسیار مورد توجه و استفاده مهاجمان سایبری قرار می‌گیرد. ابزارهایی مانند tcpdump و وایرشارک و نرم‌افزارهای مشابه هم به میزان کمتری نسبت به ریموت دسک‌تاپ، با وجود کاربردهای خوبی که برای مدیریت شبکه دارند، مورد توجه هکرها هستند.
چه باید کرد؟

بنابراین مهم‌ترین کاری که برای مقابله با حملات سایبری پیچیده مورد بحث می‌توان انجام داد، بازبینی دایمی از عملکرد ابزارها و نرم‌افزارهای نصب‌شده روی رایانه و پایش دسترسی آنها به منابع مختلف سیستم است. مانیتور کردن ترافیک شبکه برای رصد ارتباطات مشکوک شبکه و رفتار ابزارهای به ظاهر مجاز و مطمئن هم می‌تواند به شناسایی حملات سایبری از این دست کمک کند.(منبع:عصرارتباط)