1. صفحه نخست
  2. اخبار امنیت اطلاعات
  3. شناسایی و متوقف کردن تهدیدهای بدافزار در شبکه‌های ارسال محتوا

وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

شناسایی و متوقف کردن تهدیدهای بدافزار در شبکه‌های ارسال محتوا

در گروهاخبار امنیت اطلاعات، ۱۴۰۰/۳/۱۱

ارائه‌دهندگان CDN و شرکت‌های SaaS با اجزای اشتراک‌گذاری محتوا (مانند دراپ‌باکس، وی‌ترنسفر، شرپوینت و غیره) همینطور بیشتر و بیشتر مورد هجوم بدافزارهای مجرمان سایبری قرار می‌گیرند. کلید کار هم همین راحتی کاربران در آپلود و اشتراک‌گذاری محتواست؛ متأسفانه مجرمان سایبری نیز به همان راحتی می‌توانند محتوای بدافزار پیوست کنند. هزاران مدل مختلف بدافزار هر روز کشف می‌شود و برای همین CDNها و کسب و کارهای اشتراک‌گذاری محتوای SaaS سخت می‌توانند تهدیدها را به صورت در لحظه شناسایی کنند. علاوه بر این، هر آلودگی از پیش شناسایی‌نشده‌ای ناگهان کسب و کارهایشان را با توزیع‌گرهای سرزده‌ی بدافزار مواجه می‌کند. این توزیع‌گرها هر یک می‌توانند موقعی که کشف شدند اعتبار این کسب و کارها را به خطر بیاندازند. ویروس‌ها و بدافزارها می‌توانند ماه‌ها یا حی سال‌ها بدون اینکه ذره‌ای از خود رد و اثر به جا بگذارند فعالیت داشته باشند. همین باعث می‌شود مجرمان سایبری وقت کافی برای نفوذ به کامپیوترها و شبکه‌های اینترنتی مورد هدف را داشته باشند. در این مطلب پیرامون شیوع بدافزارها بین ارائه‌دهندگان CDN و شرکت‌های اشتراک‌گذاری SaaS نوشته‌ایم. همچنین توضیح داده‌ایم چطور شرکت‌ها و کاربران اینترنت می‌توانند از خود در برابر بدافزارها محافظت کرده و هنگام انتخاب راهکار امنیت سایبری خود باید به دنبال چه ویژگی‌هایی باشند. با ما همراه بمانید.

بدافزارهای CDN و تارگت‌هایشان

یکی از انواع شرور بدافزار،  استاندارد downAndExec شناخته شده است. این استاندارد از اسکریپت‌های JS استفاده کرده و دانلود و اجرای بدافزار را ممکن می‌سازد. در برزیل، هزاران کاربر از همه‌جا بی‌خبر قربانی این حمله شدند (سال 2017). هدف این حمله سرقت اطلاعات بانکی بود. اپ آلوده که در اسنیپت JS میزبان‌شده روی زیرساخت یک ارائه‌دهنده CDN مخفی شده بود، پهنای باند وسیعی را برای ارسال پی‌لود و عملیات‌های C&C  ارائه می‌داد. یکی دیگر از پیچیدگی‌های حمله downAndExec (مشابه با سایر حملات بدافزار که CDNها ر مورد هجمه قرار می‌دهند) این است که به سندباکینگ مقاوم است. اسکریپت آلوده قادر است یک سری تست انجام دهد که ببینید آیا کامپیوتر میزبانی که آلوده کرده است ارزش پیاده کردن بدافزار رویش را دارد یا نه. برای مثال این بدافزار برای قربانیان برزیلی اسکن انجام داد تا مطمئن شود کامپیوتر که دستکاری کرده بود از نوع آدرس آی‌پی برزیلی بوده یا خیر و بعد تأیید کرد آیا کامپیوتر به سیستم‌های بانکی دسترسی داشته با خیر. این یعنی بدافزار بی‌صدا و خاموش در بسیاری از کامپیوترهایی که حتی این صلاحیت‌ها را نداشتند نفوذ کرده و همین باعث جلوگیری از سندباکس‌شدگی و عیان شدن اسکریپت آلوده شده بود. تنها بخش سخت در مورد حملات بدافزار مبتنی بر CDN این است که اقدامات مخرب را نمی‌شود بلافاصله اجرا کرد. قابلیت دسترسی، عملکرد اصلی CDNهاست؛ از این رو اگر بدافزار شروری شناسایی شود شاید سخت بشود جلوی کاربران پولی را در دسترسی پیدا کردن به محتوایشان گرفت. متخصصین امنیت سایبری در این بخش همیشه با موانعی روبرو هستند؛ خصوصا وقتی متوجه می‌شوند شاخص‌های دستکاری به این راحتی‌ها قابل‌ارجاع نیستند؛ زیرا محیط‌های آلوده معمولاً چندین سبقه‌ی دسترسی دارند که نرم‌افزارهای مشهور آن‌ها را ساخته‌اند. کابوسی که این سناریو برای ارائه‌دهندگان CDN و SaaS (و مشتریانشان) می‌سازد کافیست تا کسب و کارها متقاعد شوند روی راهکارهای امنیت سایبری -که همان اول چنین رخدادهایی را در نطفه خفه می‌کنند- سرمایه‌گذاری کنند.

استفاده از CDN محتوای کاربری گوگل برای میزبانی بدافزار

حتی غول فناوری -گوگل- نیز از میزبانی بدفزار رو CDNهایش در امان نیست. کاشف بعمل آمده که هکرها کد آلوده‌ای را داخل فیلد ابرداده عکس‌ها -که روی CDN رسمی گوگل میزبانی شده‌اند- مخفی می‌کنند. این پلت‌فرم اغلب برای آن دسته از افرادی استفاده می‌شود که با اجرای وبسایت‌ها یا بلاگ‌ها سر و کار دارند. مهاجین با چونان راحتی می‌توانند فایل‌های خطرناک را حتی در محبوب‌ترین CDNها آپلود کنند که باعث حیرت است. در پی پاندمی ویروس کرونا و دورکار شدن شرکت‌ها، 59 درصد از گزارشات نشان داده است این شرکت‌ها همگی به کارمندان خود اجازه داده‌اند تا با دستگاه‌هی شخصی خود کار کنند. یک کارمند دورکار که تصادفاً بدافزاری را رو دستگاه شخصی نصب کرده است می‌تواند برای کل شرکت خطر بزرگی محسوب شود. هکرها فقط کسب و کارها را ورد هدف قرار نمی‌دهند؛ گزارشی اخیراً توسط سازمان اف‌بی‌آی به دست رسیده مبنی بر اینکه مدارس K-12 به طور فزاینده‌ای قربانی بدافزارها می‌شوند. گزارش بدافزاری که بسیاری از کاربران را مبتلا کرده بود به گوگل کار بسیار سختی بود. گوگل همیشه متودهایی برای مدیریت رخدادهایی چون نقض حق کپی‌رایت دارد اما در خصوص گزارش بدافزار هنوز روش‌های کمی در دست است. منبع بدافزار نیز سخت پیدا می‌شد؛ زیرا بدافزار در تصاویری جاگذاری شده بود که به طور گسترده‌ای به اشتراک گذاشته شده بودند (همچنین این تصاویر یوآرال‌های گمنام و همسانی هم داشتند). این نوع بدافزار (سمج و یک‌دنده) خصوصاً زمانی خطرناک می‌شود که پای کارمندان دورکار در میان باشد. زیرا این بدافزار بالقوه می‌تواند به محض نشستن در دستگاه کارمند دورکار کل شبکه اینترنتی شرکت را تحت‌الشعاع قرار دهد. اکثر میزبان‌های وبی قابلیت‌های محافظتی برای CDNهای خود دارند اما اینکه هر کسی می‌تواند فایلی را در CDN آپلود کند میزان آسیب‌پذیری را بالا می‌برد. یک وب واقعاً امن به SSL امنیت رایگان و سرور با کیفیت ارائه می‌دهد. گرچه بسیاری از میزبان‌های ارزان یا رایگان در دسترسند اما بعید است بتوانند موجبات امنیت سایبری لازم برای افراد و کسب و کارهای جهان مدرن امروز را فراهم آورند.

محافظت از شبکه اینترنتی‌تان در برابر بدافزار

با تهدیدهای جدید و آسیب‌پذیری‌های کشف‌شده در هر روز، مهم است که CDNها بدافزارها و ویروس‌ها را به طور خودکار اسکن کنند تا تهدیدهای احتمالی برای تحقیقات بعدی شناسایی شوند. این نیازمد پیاده‌سازی راهکار امنیتی چند لایه است که بتواند تهدیدهای ورودی را در شبکه و نیز ماشین‌های کاربر شناسایی کند. برای مثال حملات DownAndExec به دو اجزا برای حضورشان روی دو دستگاه مختلف وابسته هستند: محتوای قابل دانلود روی CDN و اسکریپت/ فایل قابل‌اجرا روی میزبان قربانی. از این جهت، تقریباً محال است بشود مشخص کرد آیا فایلی از طریق استگانوگرافی[1] -که حاوی پی‌لود آلوده باشد-  تغییر داده شده است یا خیر. با این حال این امکان وجود دارد که بشود اجزاهای مختلف یک حمله واحد از قطعات موجود را به همدیگر ربط داد: محتوای گزارش‌شده توسط کاربر و فایل‌های ذخیره‌شده روی شبکه CDN. Bitdefender Antimalware SDK (کیت توسعه نرم‌افزار) به توسعه‌دهندگان نرم‌افزار اجازه می‌دهد تا اپ‌هایی بسازند که قادرند طیف وسیعی از بدافزارها را شناسایی کنند. Antimalware SDK فناوری اصلی شناسایی در محصولات بیت‌دیفندر است که تهدید را به طور اعلی کاهش می‌دهد؛ جوایز بی‌شمار دریافت‌شده در این راست خود سند حقانیت این ادعاست. علاوه بر قابلیت‌های شناسایی‌اش، Antimalware SDK می‌تواند برای اثر بهتر به سرویس‌های کلود بت‌دیفندر نفوذ کند. این قابلیت شناسایی خط و ربط اجزای حملات را ممکن می‌سازد. سرویس‌های امنیتی مبتنی بر کلود بیت‌دیفندر مجموعه گسترده‌ای از متودها و روتین‌های شناسایی بدافزار را تأمین می‌کنند. یک راهکار امنیتی مبتنی بر CDN که از Antimalware SDK استفاده می‌کند بنابراین می‌تواند به این پایگاه اطلاعاتی غنی نفوذ کرده و در برابر حملات سایبری اقدامات پیشرفته محافظتی انجام دهد. می‌شود اینطور گفت که بکارگیری Antimalware SDK به عنوان بخشی از راهکار امنیت مجازی بزرگ مساویست با دید همه‌جانبه روی کل دستگاه‌های کاربران و فایل‌های CDN و سیستم‌هایش. از نقطه‌نظر فنی، Antimalware SDK هر فایل یا بافر تأمین‌شده توسط سطوح بالاتری از نرم‌افزار را اسکن می‌کند. در واقع از یک معماری ماژولار برخوردار است که سفارشی‌سازی بیشینه را برای انواع مختلفی از محیط‌ها و نیازها میسر می‌سازد. هر یک از ماژول‌ها کارشان مدیریت فرمت‌های خاص فایل است؛ از جمله فایل‌های باینری قابل‌اجرا، اسکریپت‌ها، فایل‌های عکس، آرشیوها و غیره. برخی ماژول‌ها با هم کار می‌کنند و اطلاعات را به منظور ساخت زمینه اسکن که بدان توانایی رویارویی با تهدیدهای پیچیده را بدهد با هم به اشتراک می‌گذارند. بکارگیری‌های Antimalware SDK در انواع مختلف ارائه می‌شوند: فرم سرور کلاینت جداگانه یا با همکاری سرویس‌های امنیتی مبتنی بر کلود یا میزبان.

نتیجه‌گیری

بخواهیم نخواهیم کسب و کارها و کاربران اینترنتی باید بپذیرند در آینده هم مشکلات با بدافزارها وجود خواهد داشت. مردم بیش از پیش دارند به دورکاری روی می‌آورند و برخی از آن‌ها حتی با دستگاه‌های شخصی خود این کار را انجام می‌دهند (دیگر نگوییم که برخی حتی به سمت وای‌فای عمومی هم می‌روند!). پس پر واضح است راهکارهای امنیتی فعال و جدید از هر چیزی مهم‌تر است. متأسفانه بیشتر شرکت‌ها بعد از اینکه قربانی حمله‌ای مخرب شدند یادشان می‌افتد از راهکار امنیتی استفاده کنند. جهان دیجیتال به طور فزاینده‌ای رو به رشد است و بسیار مهم است کسب و کارها و کاربران اینترنتی برای محافظت از کسب و کار و دارایی‌های دیجیتال خود به فکر موضع‌گیری امنی باشند.  

[1]هنر و علم برقراری ارتباط پنهانی است و هدف آن پنهان کردن ارتباط به وسیله قرار دادن پیام در یک رسانه پوششی است به گونه‌ای که کمترین تغییر قابل کشف را در آن ایجاد نماید و نتوان موجودیت پیام پنهان در رسانه را حتی به صورت احتمالی آشکار ساخت. پنهان‌نگاری شاخه‌ای از دانشی به نام اختفاء اطلاعات Data Hiding  است.