روند رو به رشد بدافزارها از طریق جاوا اسکریپت

این نوع بدافزار بدون حتی یک کلیک رایانه شما را آلوده می‌کند!

در ابتدای سال 1398، مجرمان سایبری شروع به کار بر روی سلاح جدیدی از مجموعه سلاح‌­های خود کردند. این سلاح جدید، قطعه نرم­‌افزاری جدیدی بود که می‌­توانست برای انتشار بدافزار، دستکاری و برنامه‌­ریزی شود و هزاران نفر را آلوده نماید.

نام این سلاح: “جاوا اسکریپت بود.”

بهره­‌برداری از جاوا اسکریپت در حملات سایبری اتفاق جدیدی نیست، اما فرکانس رو به رشد بردار این حمله، جدید است. این روند، نظرات بسیاری از محققان امنیتی را تحت تأثیر قرار می‌دهد. بدافزاری که از طریق فایل‌های جاوا اسکریپت منتشر می‌شود، نیازی به تعامل کاربر ندارد. بهتر است بگوییم، کاربری همچون شما یا من، ممکن است حتی با یک مرور ساده اینترنتی آلوده شود.

بنابراین، ما در دپارتمان فراست خود را موظف دانستیم تا به طور ساده بدافزار جاوا اسکریپت را شرح دهیم، تا هر کسی بتواند یاد بگیرد که چگونه از داده­‌های خود در برابر این تهدید محافظت کند.

راهنمای زیر شامل شش قسمت است که کاربران معمولی نیز می‌توانند از آن بهره گیرند:

1. تفاوت‌های بین جاوا و جاوا اسکریپت را بیاموزید
2. بیاموزید که چگونه بدافزار جاوا اسکریپت عمل می‌کند
3. دریابید که چرا مجرمان سایبری روی حملات جاوا اسکریپت تمرکز دارند
4. کشف کنید که چگونه بدافزار جاوا اسکریپت منتشر می‌شود
5. با انواع بدافزارهایی که از جاوا اسکریپت برای انتشار خوداستفاده می‌کنند، آشنا شوید
6. دریابید که چگونه از خود در برابر بدافزارهایی که از جاوا اسکریپت استفاده می‌کنند محافظت نمایید

1.تفاوت‌های بین جاوا و جاوا اسکریپت را بیاموزید.

قبل از همه، مجبوریم از عبارت‌های درست استفاده کنیم. بیشتر کاربران جاوا را با جاوا اسکریپت اشتباه می‌گیرند، زیرا نام‌های مشابهی دارند. این عدم خلاقیت در نام‌گذاری من را نیز گاهی دچار اشتباه می‌کند، حال زمان آن رسیده تا یک بار برای همیشه این نام‌ها  را درست در ذهنمان ذخیره کنیم.

جاوا اسکریپت علاوه بر HTML  و CSS یکی از سه فناوری اساسی مورد استفاده برای  ساخت محتوای وب است.

این زبان توسط بسیاری از وب‌سایت‌ها استفاده شده است و همچنین تمام مرورگرهای جدید بدون پلاگین، آن را پشتیبانی می‌کنند.

به علاوه جاوا اسکریپت را در فایل‌های PDF یا ویجت‌­های دسکتاپ، مانند گجت آب‌وهوا در ویندوز7 می‌توانید بیابید.

در زیر مثالی را مشاهده می‌کنید:

در زیر، شکل فایل‌های جاوا اسکریپت را در رایانه خود، مشاهده می‌کنید(پسوند این فایل‌ها .js است):

جاوا خلاصه شده جاوا اسکریپت نیست و خود زبان/ محیط برنامه‌نویسی کاملاً متفاوتی است.

بنابراین فقط این موضوع را به خاطر داشته باشید که این دو زبان در اصل مسائل متفاوتی را در بردارند و به هیچ وجه به هم ارتباطی ندارند.

2.بدانید بدافزار جاوا اسکریپت چگونه کار می‌کند؟

حال که دانستید جاوا اسکریپت چیست، زمان این است که بدانید مجرمان سایبری چگونه از این زبان برنامه‌نویسی در حملات خود سوءاستفاده می‌کنند.

نکته این جاست که جااواسکریپت به سازندگان وب‌سایت این امکان را می‌دهد، زمانی که کاربری از وب‌سایت آن‌ها بازدید می‌کند، هر کدی را که می‌خواهند به اجرا گذارند.­

در اصل، توسعه دهندگان وب‌سایت ممکن است خوب یا بد باشند. علاوه بر آن، مجرمان سایبری به طور مرتب کدها را در وب‌سایت‌های بی‌شماری تغییر می‌دهند تا عملکرد خرابکارانه خود را به اجرا در آورند.­

البته، جاوا اسکریپت یک زبان برنامه‌نویسی نا امن نیست. مشکل این جاست که اشکالات کدها یا پیاده سازی نامناسب می‌تواند درهای پنهانی ایجاد کنند که مهاجمان می‌توانند از آن‌ها بهره‌برداری کنند.

همه آنچه که اتفاق می‌افتد این است:

زمانی که شما از وب‌سایتی دیدن می­‌کنید، یک سری از فایل‌های جاوا اسکریپت (js.) به طور خودکار بر روی رایانه شما دانلود می‌شوند. این فایل‌ها درون مرورگر شما اجرا می‌شوند، بنابراین می‌توانید:

• محتوای سایتی که در آن هستید را ببینید
• اعمال مختلفی انجام دهید، مانند: فرمی را پر کنید یا فایلی را از وب‌سایت دانلود کنید
• تبلیغات آنلاین (بنرها) روی وب‌سایت و غیره را می‌بینید.

از آنجا که مرور اینترنتی، یکی از بزرگ‌ترین عادت‌هایی است که کاربران دارند، مجرمان اینترنتی دقیقاً این عادت را هدف قرار داده‌اند. مهاجمان آنلاین همواره کاربران را به سمت وب‌سایت‌های آلوده هدایت می‌کنند. این وب‌سایت‌ها، هم می‌توانند ساخته خود مهاجمان باشند و هم اینکه وب‌سایتی قانونی باشند که آن را هک کرده‌اند.

بنا به گفته شرکت امنیتی Sophos تقریبا “82 درصد سایت‌های مخرب، سایت‌های مجاز هک شده‌ می‌باشند!”

آنچه یک وب‌سایت آلوده را معرفی می‌کند:

• مجرمان سایبری، کد جاوا اسکریپت مخرب را به درون وب‌سایت آلوده تزریق کرده‌اند.
• مهاجمان از طریق اجرای کدهای مخرب جاوا اسکریپت در تبلیغات/بنرهای آنلاین نمایش داده شده بر روی وب‌سایت آن را به خطر انداخته‌اند.
• مهاجمان سایبری محتوای خرابکارانه یا نرم‌افزار مخرب را از یک سرور راه دور، بارگذاری می‌کنند.
• در نتیجه درحالی که شما بی‌خبر، از یک وب‌سایت آلوده دیدن می‌کنید، فایل جاوا اسکریپت مخرب روی رایانه شما دانلود می‌شود

به این حمله یک حمله drive-by گفته می‌شود و به طور کلی شامل 9 مرحله است:

1. شما، به عنوان یک کاربر، ناخواسته وب‌سایت آلوده را بازدید می‌کنید.
2. فایل جاوا اسکریپت مخرب روی رایانه شما دانلود می‌شود.
3. آن‌ها در مرورگر شما اجرا شده و آلودگی را ایجاد می‌کنند.
4. فایل‌های جاوا اسکریپت آلوده ترافیک شما را به سمت یک سرور مورد بهره‌برداری هدایت می‌کنند.
5. کیت بهره‌برداری استفاده شده در این حمله ( که بر روی سرور مورد بهره‌برداری قرار داده شده) در سیستم شما به دنبال آسیب‌پذیری‌های نرم‌افزاری می‌گردد.
6. به محض یافتن آسیب‌پذیری، از آن برای دسترسی به عملکرد رایانه شما استفاده می‌کنند.
7. این گونه به کیت بهره‌برداری اجازه داده می‌شود تا کد را اجرا کند و به اختیار مدیر، فایل‌های اضافی دیگری از اینترنت دانلود نماید.
8. در گام بعد، بدافزار بر روی رایانه، دانلود خواهد شد و به اجرا در می‌آید.
9. بدافزار می‌تواند عملیات آسیب‌رسانی به رایانه را آغاز کند. همچنین می‌تواند اطلاعات رایانه آلوده را جمع‌آوری کرده و به سرورهایی ارسال کند که در کنترل مجرمان سایبری هستند.

تنها چند ثانیه زمان می­‌برد تا همه این مراحل به اجرا برسند! و برای تکمیل این چرخه یعنی آلودگی به بدافزار، حتی نیازی به یک کلیک‌ شما هم نیست.

وقتی که برای اولین بار درباره این نوع حملات بدافزاری به آن‌ها می‌گفتم همه دوستان من به سختی مرا باور می‌کردند، اما هنوز هم این نوع حملات مدام اتفاق می‌افتند. بنابراین اگر می‌خواهید باور کنید که حقیقت دارد، این مطلب را دوباره بخوانید. جنبه دیگری که هر کسی را درباره حملات‌ drive-by نگران می‌کند این است که این حملات از دید کاربر پنهان هستند. همه مراحلی که در بالا شرح داده شدند در پس زمینه اتفاق می‌افتند و به شدت سریع!

داستان به همین‌جا ختم نمی‌شود!

3.دریابید که چرا مجرمان سایبری روی حملات جاوا اسکریپت تمرکز دارند؟

همان‌طور که احتمالاً تا اینجا متوجه شده‌اید، مجرمان سایبری دوست دارند تا به دو چیز دسترسی پیدا کنند: پول و داده. هک کردن وب‌سایت‌ها روشی است که مهاجمان می‌توانند، سریع و کم‌هزینه، به اطلاعات میلیون‌ها کاربر حتی بدون اطلاع خود کاربران دست یابند.

آن روزها که مجرمان سایبری تنها به خاطر اینکه مهارت‌هایشان را به رخ بکشند، دست به آلوده ساختن وب‌سایت‌ها می‌زدند به پایان رسیده است. آن‌ها حتی دیگر به تخریب چهره‌های معروف نیز علاقه‌ای ندارند، امروزه هدف مجرمان سایبری تجارت از این راه است.

وب‌سایت‌های آلوده کارایی خود را در بسیاری موقعیت‌ها نشان داده‌اند. جاوا اسکریپت تنها یکی از دستاوردهای بزرگ در جرائم سایبری است.

آمار زیر می‌تواند به درک شما از فرصت­‌های عظیمی که مجرمان آنلاین در اختیار دارند، کمک نماید:

جاوا اسکریپت در 93.6 % تمام وب‌سایت‌ها استفاده شده است.

امروزه، وب به میزان زیادی به جاوا اسکریپت برای نمایش محتوا وابسته است و به کاربران سراسر دنیا کمک می‌کند تا کارهای بیشتری در فضای آنلاین انجام دهند. بدون این زبان برنامه‌نویسی و امکاناتش، استفاده کنونی ما از وب امکان‌پذیر نیست.

احمقانه خواهد بود اگر سازندگان بدافزارها از این فرصت عظیم پول درآوردن، به‌راحتی بگذرند.

دستورالعمل، ساده به نظر می­‌رسد:

مجرمان سایبری وب‌سایت‌های قانونی و پرترافیک را آلوده می‌سازند و از آن‌ها برای منحرف کردن کاربران به سمت صفحات وب مخرب استفاده می‌کنند. قربانیان نمی‌­دانند که چه اتفاقی در حال روی دادن است، بنابراین بدافزار به میلیون‌ها رایانه سرایت می‌کند. آلودگی، اغلب رایانه­‌ها را به‌صورت یک بات‌­نت به هم مرتبط می‌کند، که بعدها در سایر حملات از آن‌ها استفاده می‌شود.

و چرخه همین‌طور ادامه پیدا می‌کند …

علت افزایش علاقه به استفاده از جاوا اسکریپت در حملات بدافزاری‌ اینترنت ‌این است که با استفاده از این فایل‌ها، ساده‌تر می‌توان ترافیک منحرف شده را پنهان کرد. این تمایل رو به رشد به استفاده از جاوا اسکریپت در آلودگی‌های بدافزاری که از سال­‌های پیش آغاز شده تا کنون آسیب­‌های زیادی را باعث شده است.

4.بدافزارهای جاوا اسکریپت چگونه گسترش می­‌یابند؟

در حملات کنونی، 8 راه عمده وجود دارد که در آن‌ها جاوا اسکریپت برای انتشار بدافزار مورد استفاده قرار می‌گیرد:

1. تزریق کد جاوا اسکریپت مخرب؛ در وب‌سایت‌های مجاز‌ برای انحراف کاربران به وب‌سایت‌های مملو از بدافزار استفاده می‌شود و یا برای بهره‌برداری از سرورهایی به کار می‌رود که منجر به آلودگی به بدافزار می‌شود. در اینجا مثال‌های مفیدی دراین باره آورده شده است:

2. آی فریم‌­های پنهان(Hidden iFrames)، ‌که بدافزار جاوا اسکریپت را از سایت‌های آلوده بارگذاری می‌کنند، پس از آن بدافزار تلاش می‌کند، کد را در مرورگر به اجرا در آورد تا منجر به آلودگی رایانه شود.
3. تزریق کد جاوا اسکریپت مخرب در شبکه­‌های تبلیغاتی آنلاین،‌ که در بنرهای تبلیغاتی آنلاین ظاهر می‌شود و همچنین به طور پنهانی کاربران را به وب‌سایت‌های مخرب هدایت می‌کند.
4. درایو-بای-‌دانلودها‌، که از فایل‌های جاوا اسکریپت مخرب برای اجرای آلودگی‌های بدافزاری استفاده می‌کنند.
5. پیوست‌های مخرب جاوا اسکریپت، که درون یک برنامه ویندوز به اجرا در می­‌آیند و می‌توانند آلودگی‌های درون مرورگر را فعال کنند.

6. دانلودهای آلوده از طریق کد­های آلوده جاوا اسکریپت فعال می‌­شوند؛ مانند محصولات قلابی آنتی‌ویروس که یکی از رایج‌­ترین کلاهبرداری‌های اینترنتی است. این آلودگی‌­ها می‌توانند به‌صورت غیر قابل بازگشت باشند.
7. پلاگین­‌ها و افزونه‌­های مرورگر‌؛ یا اینکه می‌توانند آلوده شوند و یا اینکه می‌توانند محتوای خارجی از منابع بیرونی را همراه با بدافزار دانلود کنند.
8. نرم‌افزار جعلی پیام‌­های پاپ‌آپ،‌ که‌ کلاهبرداران سایبری می‌توانند با آن‌ها  به آسانی خود را واقعی و اغواکننده نشان دهند.

از لحاظ آماری، حملات آنلاین، تا کنون بردار شماره یک آلودگی­های بدافزاری بوده‌اند. همان‌طور که مشاهده می‌کنید، مجرمان سایبری برای انجام اقدامات خرابکارانه خود با کمبود راه و روش مواجه نیستند. اما ما نیز در روش‌های حفاظتی با کمبود مواجه نیستیم. بنابراین برای مطالعه بهترین روش‌های حفاظتی در برابر بدافزار جاوا اسکریپت، بقیه مطلب را بخوانید.

5.با انواع بدافزارهایی که از جاوا اسکریپت برای انتشار خود استفاده می‌کنند، آشنا شوید.

همان‌طور که جاوا اسکریپت فراگیر و گسترده است، بدافزارهای بسیاری نیز برای انتشار از طریق آن‌ وجود دارند. مجرمان اینترنتی خیلی خوب خود را با زمان، پیش می‌برند. آن‌ها به‌سرعت اولین باج افزاری را که به طور حتم از طریق جاوا اسکریپت منتشر می‌شود با نام  Ransom32 تولید کردند، نسل جدید Ransom32 یک پیچیدگی دارد:

این باج افزار به طور کامل در جاوا اسکریپت، HTML و CSS توسعه داده شده بود که پس از بسته‌بندی مجدد آن‌ها برای لینوکس و   MacOS X، برای آلودگی­‌های چند محیطی(multi platform) نیز در دسترس است. با استفاده از جااواسکریپت یک قدم به تهدید “یک بار بنویس همه را آلوده کن” ( “write‌ once infect all ”‌threat) نزدیک­تر می‌­شویم، که این همان چیزی است که باید از آن حذر کرد.

بعد از Ransom32، باج افزاری جدیدی به نام RAA ظهور کرد. این باج افزار ویژگی اعجاب‌آوری داشت:

نرم‌افزار دیگری دانلود نمی‌شد، بنابراین وقتی که بدافزار JS/Ransom-DDL وارد شبکه شما می‌شد، قادر بود تا داده­‌های شما را به هم ریخته و یک پیام باج افزاری را به‌صورت پاپ‌آپ ظاهر نماید.

اما باج افزار تنها بدافزاری نیست که از طریق فایل‌های جاوا اسکریپت آلوده می‌تواند منتشر شود. سایر انواع نرم‌افزارهای مخربی که از این راه منتشر می‌شوند عبارتند از بدافزارهای مالی (‌برای مثال Shylock‌) یا بدافزاری که رایانه‌ها را به‌صورت بات‌­نت درمی‌آورد. زمانی که مهاجمان کد را درون یک وب‌سایت تزریق می‌کنند یا کدی را به دلخواه خود دستکاری می‌کنند، می‌توانند هر بدافزاری را که می‌خواهند درون رایانه قربانی جای دهند.­

6. دریابید که چگونه از خود در برابر بدافزارهایی که از جاوا اسکریپت استفاده می‌کنند محافظت نمایید؟

کاربرانی که هر روز از اینترنت استفاده می‌کنند می‌توانند چند قانون ساده را برای در امان ماندن از بدافزار جاوا اسکریپت همانند تهدیدات دیگر به کار گیرند. این قوانین عبارتند از :

• نرم‌افزارهای خود را همیشه به روز نگه دارید(مرورگرها، اپلیکیشن ها، سیستم‌عامل و غیره)
• از یک محصول آنتی‌ویروس قوی با قابلیت‌­های پیشرفته استفاده کنید
• یک فیلترکننده ترافیک به منظور حفاظت پیشگیرانه تأمین کند
• بر روی لینک ایمیل‌های نامعلوم و ناخواسته (‌اسپم‌ها) کلیک نکنید
• هرگز ضمیمه‌های موجود در ایمیل‌های اسپم را باز نکنید
• از وب‌سایت‌های مشکوک بر حذر باشید

و اگر می‌خواهید قدم بزرگ‌تری برای امنیت خود بردارید، تنظیماتی وجود دارند که می‌توانند مرورگر کروم شما را تنظیم نمایند، اگر می‌خواهید برای همه سایت‌ها جاوا اسکریپت خود را خاموش یا روشن کنید:

• روی منوی کروم در گوشه بالا سمت راست مرورگر کلیک کنید
• Settings را انتخاب کنید
• روی گزینه Show advanced settings کلیک کنید
• در بخش Privacy روی دکمه Content settings کلیک نمایید
• در بخش “Javascript” گزینه “Do not allow any site to run JavaScript” یا “Allow all sites to run JavaScript recommended‌” را انتخاب کنید

اگر شما “Do not allow any site to run JavaScript” را انتخاب کنید، قادر خواهید بود تا چند سایت مجاز و مطمئن را جدا کرده و استثنا قائل شوید، و از آن‌ها نهایت استفاده را ببرید.

اگر کاربر فایرفاکس هستید، می‌توانید از اکستنشن NoScript یا NoScript extension استفاده نمایید:

اکستنشن NoScript در فایرفاکس، امنیت بیشتری برای مرورگر فایرفاکس، Seamonkey و مرورگرهای بر پایه موزیلا ایجاد می‌کند. این افزونه رایگان و منبع آزاد، اجازه می‌دهد تا جاوا اسکریپت، جاوا، فلش و سایر پلاگین‌ها به شرط اینکه جزو سایت‌های معتبری باشند که شما انتخاب کرده‌اید، اجرا شوند (مانند سایت بانکی آنلاین شما‌).

نتیجه‌گیری

اگر حملات بدافزاری که در این جا به آن‌ها اشاره شد باعث شوند خود را در برابر این حملات، درمانده حس کنید، باید گفت هیچ دلیلی برای این حس وجود ندارد. فرایند کلی ممکن است برای مجرمان سایبری دشوار شود، اما راه‌های حفاظتی بسیاری در دسترس هستند. نباید در برابر ترسی که از این حملات دارید تسلیم شوید و بگویید هیچ راهی برای مقابله با آن‌ها وجود ندارد.

خود را تحت آموزش قرار دهید، یک سیستم حفاظت چند لایه ایجاد نمایید و با این کار؛ شما از بیشتر کاربران اینترنتی امنیت بیشتری خواهید داشت.

با ما همراه باشید.