کالبد شناسی حملات سایبری

استراتژی ها و ابزارهای مورد استفاده در حملات سایبری و چگونگی مقابله با آن ها

با توجه به اینکه تعداد و شدت جرائم سایبری بشکل پیوسته در حال افزایش است، درک و فهم مراحل رخداد حملات سایبری و بدافزارها و ابزارهای مورد استفاده توسط مهاجمان، می تواند برای جلوگیری از پدیدار شدن چنین حوادثی بسیار قابل توجه باشد.گام های اساسی برای رخداد یک حمله سایبری شامل شناسایی و یافتن آسیب پذیری های سیستم و شبکه؛ نفوذ  و مداخله در شبکه؛ تزریق بدافزارها بصورت پنهان و در نتیجه از بین بردن شواهد و ردپای حمله و رسیدن به اهداف مورد نظر است.
بدافزارها می توانند در فرم ها و شکل های مختلفی ظاهر شوند و شدت عمل و میزان خسارات تعدادی از این بدافزارها بسیار گسترده است. گستره عملکرد بدافزارها می تواند بصورت آزار و اذیت افراد تا آسیب به موجودیت ها و دارایی ها و از بین بردن آن ها باشد. در ادامه مراحلی که برای رخداد حملات سایبری لازم است با جزییات بیان می شود.
1
 
گام اول حمله: شناسایی و بدست آوردن اطلاعات جامعی از شبکه
هدف این گام کشف آسیب پذیری های شبکه و سیستم مورد نظر است که شامل بررسی اعتبار نامه ها (گواهی نامه ها)، نسخه های نرم افزاری، تنظیمات و پیکربندی های سیستم توسط مهاجم است. مهندسی اجتماعی و فریب کاربران از جمله روش هایی است که بمنظور دسترسی به این اطلاعات مورد استفاده قرار می گیرد. همچنین مهاجمان از phishing (ایمیل های جعلی و فریبکارانه)، pharming (وب سایت های جعلی) و تغییر تنظیمات DNS بر روی access point های بی سیم که مورد نفوذ و آسیب قرار گرفته اند برای رسیدن به اهداف خود بهره می برند.
تهیه اطلاعات جامعی از سیستم و یا شبکه موردنظر و اسکن سرویس ها و پورت های شبکه عملی است که در این مرحله انجام می شود.با اسکن سرویس ها، نقاط ضعف نرم افزارها و خطاهای موجود در شبکه شناسایی می شود.اسکن پورت ها شامل استفاده از یک سیستم خودکار بمنظور برقراری ارتباط با شماره تماس های سازمان است که اینکار با هدف دسترسی مستقیم به منابع داخلی سازمان از طریق یک مودم صورت می پذیرد.
 2
گام دوم حمله: نفوذ و مداخله در شبکه
با کشف نقاط ضعف و آسیب پذیری های موجود در شبکه و تشخیص ارتباط بین آن ها، مهاجمان می توانند از این آسیب پذیری ها برای نفوذ به داخل شبکه استفاده کنند. حتی امکان رخداد حملات پیچیده"Zero-day"نیز وجود داردکه در این حملات، مهاجمان از نقاط ضعف و آسیب پذیری های ناشناخته نرم افزارها بمنظور راه اندازی جرائمی ناچیز تا حملاتی سازمان یافته سوء استفاده می کنند.
حملات DoS روش دیگری است که توسط مهاجمان مورد استفاده قرار می گیرد.در این نوع از حملات، با تزریق و ارسال تعداد زیادی از درخواست ها به شبکه، سبب از کار انداختن آن می شوند. حملات DoS شامل حملات smurf attack ،ping flood attack ،ping-of-death attack و SYN flood attackمی شوند.
3 
گام سوم حمله: تزریق بدافزارها
پس از نفوذ به داخل شبکه، مرحله بعدی، تزریق پنهانی بدافزارها بمنظور کنترل و دسترسی به سیستم ها و اجرای کدهای دلخواه در داخل شبکه برای دستیابی به اهداف مشخص است.
تزریق بدافزارها می تواند با هدف ایجاد مزاحمت، ایجاد backdoorها و یا اهدافی مخرب بمنظورآسیب رسانی ها و صدمات گسترده و همچنین ردیابی و پوشش دنباله و هدف یک حمله، مورد استفاده قرار گیرد.
 4
انواع بدافزارها

بدافزارهای مزاحم و آزار دهنده
اصولا این نوع از بدافزارها بسیار مخرب نیستند اما می توانند سبب رنجش و تاثیر بر روی کارایی و بهره وری سیستم ها شوند.نرم افزارهای جاسوسی بمنظور جمع آوری و انتشار اطلاعات مهم مورد استفاده قرار می گیرند.بعلاوه صدمات دیگری را نیز می توانند به بارآورند از جمله تاثیر بر روی مرورگرهای وب و عدم اجرا و کارکرد درست آن ها.
به طور معمول، مهاجمان از نرم افزارهای جاسوسی برای فریب کاربران و مانیتورینگ پنهانی فعالیت های آن ها استفاده می کنند.
ابزارهای تبلیغاتی مزاحم همانطور که از نام آن ها مشخص است، معمولا برای انتشار تبلیغ های مخرب مورد استفاده قرار می گیرند.اینکار منافع و مزایای مالی زیادی برای مهاجمان بهمراه دارد. در اثر بروز آسیب توسط این ابزارهای تبلیغاتی مزاحم، قربانی با pop-upها، toolbarها و گستره ای از انواع تبلیغ ها مواجه می شود.

5 
بدافزارهای کنترل کننده
این بدافزارها بمنظور در دست گرفتن کنترل سیستم ها و اجرای حملات، مورد استفاده قرار می گیرند. تروجان ها که معمولا در ظاهر بصورت برنامه های عادی ومورد توجه کاربر ظاهر می شوند، در باطن دارای کدهای مخربی هستند که در آن ها جاسازی شده است و به گونه ای طراحی می شوند که بصورت ندانسته از سوی یک کاربر اجرا شوند. تروجان های دسترسی از راه دور (remote access trojan-RAT) نیز با ایجاد backdoor هایی در سیستم، امکان کنترل سیستم را توسط مهاجمان و از راه دور، فراهم می کنند.
Rootkitها نرم افزارهای مخربی هستند که می توانند آسیب ها و صدمات بیشتری را بهمراه داشته باشند. آن ها امکان در دست گرفتن کنترل یک سیستم را بصورت کامل و بدون آگاهی و اطلاع کاربر برای مهاجمان فراهم می سازند که در این صورت توانایی تغییر تمامی تنظیمات سیستم برای مهاجم امکان پذیر می شود. حتی در بسیاری از مواقع امکان شناسایی آن ها از طریق نرم افزارهای آنتی ویروس نیز وجود ندارد.
روت‌کیت‌ها برنامه‌هایی هستند که از نظر ساختار کاری بسیار شبیه Trojanهاو Backdoorهاهستند، ولی با این تفاوت که شناسایی روت‌کیت بسیار مشکلتر از Backdoor است زیرا روت‌کیت‌ها جایگزین برنامه‌های اجرایی مهم سیستم عامل شده و در گاهی مواقع جایگزین خود هسته می‌شوند و به هکرها این اجازه را می‌دهند که از طریق Backdoor و پنهان شدن در عمق سیستم عامل به آن نفوذ کنند.
تروجان ها و روت کیت ها بطور معمول در ایجاد zombie systemها مورد استفاده قرار می گیرند و مهاجمان می توانند از آن ها برای استفاده در بات نت ها و راه اندازی حملات  بهره برند.

بدافزارهای مخرب و ویرانگر
عموما با هدف واردآوردن خسارات و تلفات، ویروس ها می توانند سبب آسیب به hard disk و غیر قابل استفاده شدن اطلاعات و داده ها شوند. استفاده از share file ها، web downloader ها و یا پیوست ایمیل ها، روش رایجی است که برای انتشار این بدافزارها استفاده می شود تا ویروس ها بر روی سیستم مورد هدف قرار گیرند. بعد از آغاز فعالیت، آن ها شروع به کپی و انتشار خود در سیستم می کنند. ویروس ها با جستجوی فایل هایی خاص و یا پارتیشن های مشخصی از hard disk به تخریب آن ها می پردازند.
برخلاف ویروس ها، کرم های کامپیوتری خودشان را از طریق شبکه و بدون دخالت و انجام عملی از سوی کاربر منتشر می کنند. زمانی که سیستمی از طریق یک کرم کامپیوتری مورد نفوذ قرار گرفت، سیستم آسیب دیده شروع به اسکن شبکه local و یافتن مکان و موقعیت سایر سیستم ها در شبکه میکند. بعد از یافتن موقعیت آن ها و هدف قرار دادن یک سیستم، کرم کامپیوتری با شناسایی آسیب پذیری های سیستم مورد هدف، کدهای مخرب را به آن تزریق می کنند. کرم های کامپیوتری قابلیت انتشار سایر بدافزارها و تحمیل خسارات و آسیب ها را دارند.
6
گام چهارم حمله: از بین بردن شواهد
گام نهایی در چرخه یک حمله سایبری از بین بردن تمامی شواهد در تحلیل های forensic است. این مرحله سبب می شود که مهاجمان تا آنجا که ممکن است ناشناخته باقی بمانند. برای مثال یک مهاجم با مصادره و در اختیار گرفتن credential های  یک کاربر شبکه، قادر به دسترسی به سیستم ها است بدون اینکه اخطار و خطایی در اثر این امر اعلام شود. در ادامه افزودن فایل های مخرب به سیستم و سرقت اطلاعات از آن ها می تواند صورت پذیرد.
از جمله اهداف در این گام از بین بردن تمامی آثار و ردپای حمله از سیستم است. این کار میتواند با پاک کردن دستی و یا اتوماتیک command line ها و یا event logها، غیر فعال ساختن هشدارها و سیستم های اطلاع رسانی و هشدار دهنده و همچنین بروزرسانی نرم افزارها و استفاده از patch ها بعد از صورت گرفتن حمله توسط مهاجم صورت پذیرد. بعلاوه هکرها و سارقان سایبری بعد از نائل شدن به اهداف خود بمنظور از بین بردن مدارک جرم، کرم های کامپیوتری و ویروس ها را از مالکیت خود خارج می سازند.
  7
نقل و نشر مطالب با ذکر نام سايت بهین راهکار آزاد است.