چگونه می‌توانیم تشخیص دهیم که ماشینی واقعا تسخیر(Hack) شده است؟

برای پیش‌زمینه، به طور خلاصه، برخی فعالیتهای نفوذگران روی سامانه های تسخیر شده را بررسی می‌کنیم. البته واضح است که این فعالیتها مربوط به نفوذگران بیرونی است، نه نفوذگران درون سازمان.

چگونه می‌توانیم تشخیص دهیم که ماشینی واقعا تسخیر(Hack) شده است؟

پاسخ این سؤال تا حد زیادی به این بستگی دارد که چه اطلاعات و ابزارهایی با توجه به موقعیت کاربر در دسترس است. اینکه فقط با اطلاعات مربوط به فایروال بخواهیم ماشین تسخیر شده را تشخیص دهیم، یک چیز است و اینکه دسترس کامل به سخت‌افزار و سامانه ‌عامل و برنامه‌های کاربردی ماشین داشته باشیم مسئله ای کاملا متفاوت است.
بدیهی است که تحقق بخشیدن به این اهداف به داشتن افراد متخصص با مهارت computer forensics در سازمان و صرف زمان کافی نیازمند است.
برای پیش‌زمینه، به طور خلاصه، برخی فعالیتهای نفوذگران روی سامانه های تسخیر شده را بررسی می‌کنیم. البته واضح است که این فعالیتها مربوط به نفوذگران بیرونی است، نه نفوذگران درون سازمان.
۱) یک daemon درپشتی برای نفوذگر روی درگاهی با شماره بالا به کار گرفته می‌شود یا daemon موجود به تروجان آلوده می‌شود. این مورد در اغلب حالتهای تسخیر شده مشاهده می‌شود.
۲) یکی از انتخابهای مرسوم بین نفوذگران نصب IRC bot یا bouncer است. چندین کانال IRC توسط گروه خاصی برای ارتباط با سرور تسخیر شده اختصاص می‌یابد. این مورد نیز در خیلی از حالتها مشاهده می‌شود.
۳) در حال حاضر، برای انجام دادن حملات DDoS و DoS، معمولا از تعداد زیادی ماشین تسخیر شده برای ضربه زدن به مقصد استفاده می شود.
۴) بسیاری از نفوذگران از ماشینهای تسخیر شده برای پویش آسیب‌ پذیری‌ های دیگر سامانه ها به طور گسترده استفاده می‌کنند. پویشگرهای استفاده شده به کشف آسیب پذیری ها و نفوذ به تعداد زیادی سامانه در زمان کوتاهی قادرند.
۵) استفاده از ماشینی تسخیر شده برای یافتن ابزار یا نرم‌افزاری غیر مجاز، فیلم، ... خیلی معمول است. روی سرورهای با پهنای باند بالا، افراد قادرند در هر زمانی با سرعتی در حد گیگابایت download و upload کنند. شایان توجه اینکه اغلب لازم نیست کسی برای ذخیره داده‌ها سروری را exploit کند؛ زیرا به اندازه کافی سرورهایی وجود دارد که به علت نداشتن پیکربندی صحیح اجازه دسترس کامل را می‌دهد.
۶) به‌دست‌آوردن مقدار زیادی پول با دزدیدن اطلاعات از کارتهای اعتباری یکی دیگر از فعالیتهایی است که نفوذگران انجام می‌دهند و در سالهای اخیر رشد فزاینده ای داشته است.
۷) یکی دیگر از فعالیتهای پولساز فرستادن هرزنامه یا واگذارکردن ماشینهای تسخیرشده به ارسال کنندگان هرزنامه ها در ازای دریافت پول است.
۸) یکی دیگر از این نوع فعالیتها استفاده از ماشین تسخیر شده برای حملات phishing است. نفوذگر سایت بانک جعلی (مشابه سایت اصلی) می‌سازد و - با فرستادن ایمیلی که بظاهر از طرف بانک فرستاده شده است - کاربر را به وارد کردن اطلاعات دلخواه خود وادار می کند. حتی اگر اعلام شود که سامانه شما کدهای مخرب دارد، ممکن است همه چیز سر جایش باشد و واقعا هیچ خطری وجود نداشته باشد. علت آن خیلی ساده است: هشدارهای نادرست (و به طور خاص، نوع مشهورتر آن؛ یعنی false positiveها).
توجه داشته باشید که حتی آنتی ویروس هم ممکن است هشدارهای false positive داشته باشد. بنابر این، حتی اگر آنتی ویروس هشدار داد که سامانه شما دارای درپشتی یا تروجان است، ممکن است هشداری نادرست باشد.
دقت کنید که بسیاری از موارد یاد شده با ارتباط دادن داده های NIDS با داده های دیگر (مثل داده های دیواره آتش، داده های میزبان، یا داده های یک NIDS دیگر) تسهیل می شود و از طریق خودکار کردن بر مبنای rule این ارتباط می توان نتیجه گرفت که ماشین مورد نظر تسخیر شده است. همچنین، فناوری ارتباط ممکن است با در نظر گرفتن دیگر فعالیتهای مرتبط که در زمان حمله رخ می دهد فرایند تحقیق و بررسی را خودکار کند. در نتیجه، با این روش می توان با کارایی اطمینان بیشتری سامانه های تسخیر شده را تشخیص دهیم. در مقایسه با زمانی که فقط از داده های NIDS استفاده می کنیم، حتی اگر یک موتور ارتباط خوب وجود نداشته باشد، هنوز هم تحلیلگر می تواند این مراحل را به طور دستی انجام دهد؛ هرچند این کار بیدرنگ نباشد.
● چگونه روشهای امنیتی را در محیط عملیاتی به کار گیریم؟
حال به این مسئله می پردازیم که چگونه روشهای یاد شده را در محیط عملیاتی به کار گیریم. روش آرمانی برای به کارگرفتن راهنماییهای یاد شده به طور خودکار استفاده از رخدادها و هشدارها و logهای ابزارهای امنیتی مختلف نصب شده و سپس اعمال قوانین مشخص به این داده هاست (شامل داده هایی که از قبل روی سامانه ذخیره شده است، و داده های بیدرنگ).

  
نویسنده : ali gooliof ; ساعت ۱:٢۱ ‎ق.ظ روز ۱۳۸٧/٢/۱۱
تگ ها :