حملات سایبری و گام های نفوذ به سیستم

حملات سایبری به صورت مجازی و در سطوح مختلف، از پروتکل ­ها گرفته تا شبکه و تجهیزات آن، نرم افزارها و برنامه ­های کاربردی اجرا می شوند. هکرها پس از کاوش سامانه ­ها و دستگاه ­ها با پیدا کردن هر­گونه آسیب ­پذیری، آنها را مورد حمله قرار می ­دهند. پیامدهای هر یک از حملات سایبری بسته به نیتی که هکر از خرابکاری دارد، متفاوت بوده و می­ تواند از خیلی کم تا بسیار زیاد باشد.

کاربری که سیستم وی مورد حمله قرار گرفته، ممکن است نتواند به راحتی متوجه آن شود. یکی از مثال­ های مرتبط با این موضوع، حمله به کَش DNS است که در آن، حملات به تعداد دفعات متعدد و بدون ارسال هیچ گونه اخطاری به کاربران انجام شده و در هنگام حمله نیز فرایندهای متفاوتی درگیر می­ شوند.

روش ­های انجام حملات سایبری

هر سیستم رایانه ­ای، به یکی از دو صورت زیر مورد حمله قرار می­ گیرد: سیستم یا به طور خاص، هدف مهاجم است یا با فراهم شدن یک فرصت، مورد بهره ­برداری غیرمجاز قرار می­ گیرد. در حالت اول، هکر یک سیستم یا سازمان را نه به دلیل نرم افزارها و سیستم ­هایی که فرایندها را اجرا می­­ کنند بلکه به خاطر اهدافی همچون سیاسی مورد حمله قرار می­ دهد. یکی از نمونه­ های این مدل از حملات سایبری، حالتی است که در آن هکری در یک کشور، سازمانی را در کشوری دیگر مورد حمله قرار می ­دهد تا اطلاعات حساسی را از آن سازمان جمع­ آوری کند.

نمونه ­ای دیگر از چنین حملاتی می ­تواند حمله «هکتیویستی» باشد که در اثر نقض موارد اخلاقی یا اصولی انجام می ­شود که از نظر هکر، خط قرمز او محسوب می­ شود. یکی دیگر از مثال­ هایی که می ­تواند هدف هکرها را از شروع حمله بیان کند، مربوط به اقدام­ های کلاهبردارانه بعضی از وب سایت­ ها است. به عنوان مثال، هکر با نیت خنثی کردن کلاهبرداری، به سیستم قربانی حمله می ­کند و این در حالی است که وی قبل از حمله هیچ گونه اطلاعاتی از سیستم و نرم افزار مورد استفاده سازمان و قربانی ندارد. این نوع حملات که با عنوان مهندسی اجتماعی از آنها یاد می شود، بسیار متداول هستند که در مطالب مختلفی از فراست نیز به طور مفصل به معرفی آنها پرداخته شده است.

دلیل دوم حمله سایبری به سیستم ­ها را می ­توان فرصتی دانست که در نتیجه آسیب­ پذیری در نرم افزار، سخت افزار یا سیستم قربانی، به وجود آمده و امکان حمله و فعالیت­ های خرابکارانه را برای هکر فراهم می­ کند. در این نوع از حملات، مهاجم سایبری سازمان را هدف قرار نمی ­دهد ولی به جای آن با دانشی که از یک آسیب­ پذیری خاص به دست آورده، به ­دنبال سازمانی است که آن آسیب­ پذیری را داشته باشد تا بتواند از آن بهره ­برداری کند. این بدان معنا نیست که بگوییم در این نوع از حملات، هکر بخشی از صنعت یا … را برای حمله خود انتخاب نخواهد کرد. برای مثال، هکری که به دنبال جمع ­آوری اطلاعات کارت­ های اعتباری است به دنبال تمامی سازمان­ هایی می ­گردد که اطلاعات حساب کاربری و کارت­ های اعتباری را بر روی سیستم­ های خود ذخیره می­ کنند، چرا که او می­ داند چنین سازمان ­هایی آسیب­ پذیرتر هستند و جذابیت حمله به آنها نیز بیشتر است.

حملات هدفمندی که یک سازمان یا بخش خاصی را مورد هدف قرار می­ دهند، بسیار پیچیده ­تر بوده و انجام آنها به تلاش و زمان بیشتری نیاز دارد. این امر، در حالی است که نوع دوم حمله تنها بر اساس آسیب­ پذیری سیستم ­ها و نفوذ به سیستم ­های توزیع شده در اثر وصله نکردن یکی از سیستم­های کارکنان سازمان اجرا می­ شود.

 

مراحل انجام حملات سایبری

هکرها هم مانند سارقان بانکی برای هر حمله­ ای که طراحی می­ کنند، فرایندها و گام ­های برنامه ­ریزی شده ای را در نظر می­ گیرند. گام ­هایی که توسط هکر و در هنگام حمله سایبری پیموده می ­شود، به طور معمول همان­ هایی است که توسط یک مشاور امنیتی و در زمان انجام آزمون نفوذپذیری یک سیستم، انجام شده و از آن به عنوان «آناتومی یک هک» یاد می­ شود. در زیر، به این گام­ ها اشاره کوتاهی خواهیم داشت.

1.1 شناسایی

مهاجمان همواره به روش ­های مختلف و تا آنجا که امکان داشته باشد، تلاش می کنند اطلاعاتی را برای نفوذ جمع­ آوری­ کنند. آنها این کار را با مراجعه به وب سایت سازمان، مشاهده و پایش آخرین پست­ هایی که بر روی گروه ­های خبری انتشار یافته است یا از طریق سایر موارد مشابه انجام می دهند. برای مثال، وب سایت EDGAR شامل اطلاعات زیادی از وب سایت ­های مالی و اعتباری است که می ­تواند برای هکرها در جهت انجام حملات سایبری و به خصوص حملات مهندسی اجتماعی مفید واقع شود. مهاجم سایبری معمولاً در این مرحله، به دنبال اطلاعاتی درباره آدرس اینترنتی (IP)، شماره تلفن، اسامی افراد مهمی که با قربانی در ارتباط هستند و همچنین جزییات شبکه ­ای است که سازمان از ‌آن استفاده می ­کند. مهاجم می ­تواند از اطلاعاتی که وب سایت­ هایی همچون www.whois.net در اختیار وی قرار می ­دهند، استفاده کرده و از این طریق ارتباط میان دامنه، مالک آن و ثبت نام کنندگان دامنه ­ها را کشف کند.

یکی دیگر از ابزارهای مفید برای استفاده هکرها و خرابکارها در مرحله شناسایی، گوگل است. گوگل منبع عالی از اطلاعات است و می­ تواند به هکرها در شناسایی صفحات وب سازمان قربانی، وب سایت­ های FTP و شناسایی دیگر موارد نیاز برای سامان­ دهی حملات یاری رساند.

1.2 اسکن و پیمایش

این مرحله، بخشی از حمله است که می ­توان آن را آغاز بخش فنی حملات سایبری دانست. در این مرحله تعیین می ­شود کدام سیستم از سیستم ­های هدف، فعال و در دسترس است. در بیشتر وقت ­ها این کار با استفاده از یک «جاروب پینگ» یا همان “Ping Sweep” انجام شده و در آن، هکر یک پینگ را به رایانه قربانی ارسال می­ کند. همان­طور که می­ دانید هر پینگ یک درخواست اکو برای پروتکل مدیریت پیام اینترنت است. اگر سیستم قربانی پاسخ پینگ را ارسال کند، هکر می ­فهمد که سیستم مورد نظر در دسترس است و می ­توان حمله را طرح ­ریزی کرد.

قدم بعدی هکر، اسکن پورت ­ها است تا از این طریق بتواند سرویس ­ها و درگاه ­های باز سیستم هدف را شناسایی کند. هکر با این روش می فهمد که چه سرویس­ هایی بر روی سیستم قربانی در حال اجرا هستند. برنامه Nmap، ابزاری کاربردی برای اسکن آدرس ­های اینترنتی و پورت­ ها است. اجرای این برنامه به همراه سوئیچ –sv، اطلاعاتی را در اختیار هکر قرار می­ دهد که از طریق آنها بتواند نسخه نرم افزارهایی که در پشت پورت­ های باز در حال اجرا هستند را مشاهده کند. SuperScan نرم افزار دیگری است که دارای رابط گرافیکی برای سیستم عامل ویندوز بوده و از طریق آدرس الکترونیکی www.foundstone.com/us/resources/proddesc/superscan.htm قابل دسترس است.

پس از آن که هکر فهمید چه سرویس ­هایی بر روی سیستم قربانی فعال است، گام بعدی حمله آغاز می ­شود. هکر در مرحله بعدی باید بفهمد که چه سیستم عامل و برنامه ­هایی بر روی سیستم قربانی در حال اجرا است. در این مرحله هکر می­ تواند از روش ­های متفاوت و متنوعی که می داند، استفاده کرده و با فرستادن بسته ­های داده ­ای مختلف به پورت­ های مختلف سیستم هدف و دریافت پاسخ از آنها به جواب سؤال­ های خود برسد. پاسخی که هکر از سیستم قربانی دریافت می­ کند، نوع سیستم عامل و برنامه­ هایی که بر روی سیستم وی در حال اجرا هستند را مشخص می­ کند.

هکر در انتهای این مرحله، لیستی از سیستم­ های قربانی و اهداف حمله، به همراه سیستم عاملی که روی هر یک از آنها در حال اجرا است و همچنین اطلاعات مشخصی از برنامه­ های کاربردی و سرویس­ های آنها را در اختیار دارد.

1.3 جستجوی آسیب­ پذیری­ ها

پس از آن که هکر، لیستی از نرم افزارهایی که بر روی سیستم قربانی نصب شده ­اند را به دست آورد، شروع به جستجو در اینترنت برای یافتن آسیب­ پذیری های آنها می ­کند. وب سایت ­های بی ­شماری وجود دارد که اطلاعات زیادی را در خصوص آسیب پذیری­ های برنامه ­های کاربردی و نیز سیستم ­عامل ­ها در اختیار نفوذگران قرار می­ دهند. این اطلاعات می ­تواند برای مدیرانی که قصد شناسایی آسیب­ پذیری ­های برنامه ­های کاربردی و جستجوی وصله ­های موجود برای برطرف کردن آنها را دارند نیز مفید واقع شود.

علاوه بر اطلاعاتی که در مورد آسیب­ پذیری­ های خاص وجود دارد، بعضی از وب سایت­ ها ابزارهای مختلفی را به منظور بهره ­برداری از آسیب ­پذیری ­ها توسعه داده ­اند. هکرها می ­توانند در خصوص یک آسیب­ پذیری خاص جستجو کرده، اطلاعات و ابزار شناسایی و کشف آن آسیب­ پذیری را دانلود نموده و سپس این داشته­ ها را بر ضد وب سایت مشخصی به کار گیرند. چنان چه مدیر سیستم مورد نظر از وصله‌های موجود جهت رفع آسیب­ پذیری استفاده نکرده باشد، حمله موفق خواهد بود ولی اگر وصله امنیتی روی سیستم هدف نصب شده باشد، هکر به سراغ آسیب­ پذیری بعدی رفته و شانس خود را در جای دیگری امتحان خواهد کرد.

اگر مدیر سیستم، تمامی وصله‌های امنیتی لازم را روی سیستم خود نصب کرده و راه نفوذ را بر روی خرابکاران سایبری بسته باشد، هکر مجبور است از روش  حمله حدس زدن[1] استفاده کند. در این روش، هکر از تمامی ترکیب­ هایی که از شناسه کاربری و کلمات عبور ساخته می ­شوند، استفاده کرده تا بتواند به سیستم قربانی نفوذ کند. این نوع از حملات، به راحتی قابل پیشگیری هستند ولی در صورت نادیده گرفته شدن می­ توانند موفق واقع شده و سیستم قربانی را از کار بیندازند.

1.4 اجرای حمله

هکر در این مرحله، آماده اجرای حمله به سیستم قربانی می ­شود. حملات می­ توانند باعث از کار افتادن سیستم و سرقت اطلاعات از سیستم ­ها شده یا ظاهر وب سایت[2]را تغییر دهند. هکر، یک درب پشتی را روی سیستم قربانی نصب کرده و حساب کاربری خود را بر روی سیستم هدف ایجاد می­ کند تا دسترسی­ های ویژه ­ای را برای خودش ایجاد کند. در این حالت، حتی با وجود نصب وصله­ های امنیتی سیستم، هکر همچنان می ­تواند دسترسی­ های خود را حفظ نماید.

یک سیستم را می ­توان به روش ­های مختلف، مورد حمله قرار داد. نوع حمله، به نیت مهاجم بستگی دارد. اگر هدف صرفاً تغییر ظاهر آن وب سایت باشد، هکر به همین میزان اکتفا می­ کند ولی اگر نیت وی از حمله، سرقت مالکیت معنوی و جعل هویت باشد، داده ­ها اهمیت پیدا می ­کنند و سارق به سرقت داده ­ها علاقه پیدا کرده و در راستای همین فکر و نیت، حمله را رهبری و سازمان ­دهی می­ کند.

1.5 ایجاد درب پشتی

برای این که هکر در زمان­ های بعد، بدون انجام دوباره فرایند هک بتواند به سیستم قربانی دسترسی داشته باشد، لازم است از یک درب پشتی استفاده کند. ایجاد درب پشتی می­ تواند به‌ آسانی ایجاد شناسه کاربری و رمز عبور یا به سختی نصب یک عامل (Agent) پیچیده بر روی سیستم قربانی جهت شروع ارتباط با سیستم وی باشد. منطقی که پشت این مسأله قرار دارد، بسیار ساده است: آسیب ­پذیری که یک­بار بر روی سیستمی کشف شده ممکن است در آینده برطرف نشده باشد. به همین دلیل برای حفظ دسترسی به سیستم هدف لازم است که هکر، درب پشتی و راه نفوذ مخصوص به خود را بر روی سیستم قربانی ایجاد کند.

1.6 پاک کردن ردپاها

هکرها پس از ساعت ­ها سر و کله زدن با سیستم قربانی، دوست ندارند که از خود اثری بر جای بگذارند. پاک کردن نشانه های حملات، در سال­ های قبل کاری سخت بود و ردپای هکر در حملاتی که انجام می ­داد، باقی می ­ماند. این روزها بیشتر هک ­ها با هدف به دست آوردن پول و سود مالی انجام می­ شود. وقتی هدف از هک به دست آوردن پول باشد، مهم است که رد و اثری از خرابکار نیز به جا نماند. دو روش متداول برای پاک کردن ردپای خرابکاری­ های سایبری، پاک کردن رویدادها و لاگ فایل­ ها و همچنین تغییر مهر زمانی فایل­ ها است.

 

کاهش روش های احتمالی انجام حملات سایبری

کاربران می ­توانند با شناخت گام ­های انجام حملات سایبری، نقاط آسیب ­پذیر و روش ­های برطرف­ سازی آنها، راه­ های نفوذ هکرها به سیستم ­های شان را کاهش دهند. اولین گام در جهت کاهش راه ­های احتمالی نفوذ آن است که از نصب تمام وصله­ های امنیتی نرم افزارها و برنامه ­های کاربردی و همچنین سیستم عامل رایانه خود مطمئن شوید. بسیاری از بدافزارها همچون ویروس ­ها و کرم ها تنها از راه آسیب­ پذیری­ هایی که وصله­ های امنیتی آنها هم وجود دارد، وارد سیستم ­ها شده و پیامدهای ناخوشایند خود را بر جای می­ گذارند. چنین حملاتی فقط به­ دلیل آن که مدیران سیستم، اقدام­ های پیشگیرانه صحیح را در زمان مناسب به کار نگرفته ­اند، بارها بر ضد کاربران و دارایی های اطلاعاتی آنها انجام شده اند.

دومین قدم در جهت کاهش احتمال حملات سایبری این است که سرویس ­های در حال اجرا بر روی سیستم را به کمترین حد ممکن و بر حسب ضرورت کاهش داد. محدود کردن سرویس ­ها به تعداد واقعاً لازم، دو مزیت عمده به همراه دارد. اولین مزیت چنین کاری این است که تعداد راه ­های احتمالی حمله (سرویسی که دارای آسیب­­ پذیری است و به احتمال زیاد مورد جستجو واقع خواهد شد) و نیز تعداد سرویس ­هایی را که مدیر سیستم، در وهله نخست باید نگران نصب وصله ­های امنیتی آنها باشد، کاهش می دهد.

گام سوم نیز محدود کردن دسترسی به اطلاعات خصوصی سازمان و جلوگیری از عمومی شدن آنها و همچنین کنترل دسترسی به سیستم ­های پردازشی است، چرا که هکرها و خرابکاران همواره به دنبال چنین اطلاعاتی بوده و شما نباید دسترسی به اطلاعات ارزشمند سازمانی تان را به راحتی برای آنها فراهم کنید.

 

[1] Brute-force

[2] Defaced

خروج از نسخه موبایل