مقابله با حمله‌هاي زئوس

[Fahim 9563]

 

بازگويي عواملي كه زئوس را تبديل به تهديدي خطرناك مي‌نمايد

علي حسيني

 

اشاره: بات‌نت زئوس (Zeus) طي چند سال گذشته به يکي از خطرناک‌ترين بات‌نت‌هاي تاريخ تبديل شده‌ است. گزارش پيش‌رو به بازگويي عواملي مي‌پردازد که زئوس را به چنين تهديد بزرگي تبديل کرده‌است و سپس بهترين راهکارهاي مقابله با آن‌ ذکر مي‌شود (خلاصه‌اي از گزارش نيک لويس از سايت Networkasia).

بات‌نت زئوس به معناي واقعي کلمه يک مجموعه ابزار مجرمانه است که مي‌توان با استفاده از آن با توجه به اهداف مختلف تروجان‌هاي متفاوتي را طراحي کرد و البته شناسايي آن تروجان‌ها نيز دشوار خواهد بود. با توجه به قابليت‌هاي متعددي که مي‌توان در اين تروجان‌ها گنجاند و نيز تغييرات سريعي که مي‌توان در قسمت‌هاي اجرا شونده تروجان‌ها ايجاد کرد، مجرمان اينترنتي توانسته‌اند سيستم‌هاي بسياري را آلوده كرده و زيرساخت‌هاي کنترلي زيادي ايجاد کنند و همچنين به سازماندهي حمله‌هاي فيشينگ متعددي عليه سايت‌هاي مختلف بپردازند. حتي گزارش‌هايي منتشر شده که نشان مي‌دهد، در دنياي جرائم امنيتي، زئوس‌ در قالب «‌نرم‌افزار به عنوان خدمات» (SaaS) نيزبه فروش مي‌رسد و اين کار را براي مجرمان ساده‌تر کرده است.

 

زئوس کيت‌هاي مختلفي دارد که يک ضدويروس جعلي نيز از آن جمله ‌است. با توجه به اين‌که زئوس يک تروجان است، خود به خود تکثير نمي‌شود و از اين‌رو بدافزار ديگري نصب آن‌را برعهده مي‌گيرد. پيش‌تر، از رخنه‌هاي امنيتي موجود در مرورگر اينترنت‌اکسپلورر براي نصب بدافزار روي سيستم‌ها استفاده مي‌شد، اما بعدها ضعف موجود در تابع Launch/ پي‌دي‌اف نيز به عامل فوق افزوده شد.

 

در آغاز زئوس با هدف حمله به مراکز مالي و براي دسترسي به مدارک موجود در وب طراحي شده‌بود، اما امروزه مي‌توان با ايجاد تغييراتي از آن براي حمله به بازارهاي بورس سهام نيز استفاده کرد. به‌طور خلاصه مي‌توان گفت، اين تروجان چنين مدارکي را ربوده و با استفاده از يک شبکه بات‌نتي آن‌ها را به مهاجمان ارسال مي‌کند. مهاجمان سپس وارد حساب‌هاي هک شده مي‌شوند و وجوه مالي را برداشت مي‌کنند. به همين دليل، مراکز تجاري توجه بيشتري را به خود معطوف مي‌کنند، زيرا به‌طور معمول در حساب‌هاي تجاري وجوه نقد بيشتري يافت مي‌شود. بررسي‌ها درباره بات‌نت زئوس نشان مي‌دهد، حمله‌هاي صورت گرفته توسط آن رفته‌رفته موفق‌تر و شناسايي آن دشوارتر مي‌شود. اما با اين‌همه راه‌هايي وجود دارد که با استفاده از آن‌ها مي‌توان از حمله زئوس به سازمان‌هاي مختلف و پديد‌آوردن خسارت‌هاي مالي جلوگيري کرد. براي جلوگيري کامل از چنين خسارت‌هايي بايد سطح عملياتي آن دسته از کامپيوترهايي را که ريسک‌پذيري بيشتري دارند، مانند دستگاه‌هايي که از آن‌ها براي دسترسي به حساب‌‌هاي مالي حساس و داده‌هاي مربوط به حساب‌ها استفاده مي‌شود، محدود کرد.

 

راهبرد بعدي، استفاده از يک کامپيوتر ويژه براي انجام تراکنش‌هاي مالي است. چنين کامپيوتري را مي‌توان در يک شبکه محلي مجازي (vLAN) يا يک شبکه فيزيکي مجهز به فايروال که از شبکه اصلي مجزا شده، فعال کرد. در اين‌صورت، حتي اگر يکي از کلاينت‌هاي موجود در شبکه آلوده شد، اين کامپيوتر ويژه همچنان امن باقي خواهد ماند. توصيه مي‌شود اين کامپيوتر چنان تنظيم شود که تنها بتوان از آن براي اجراي يک مرورگر وب جهت انجام امور بانکي يا دسترسي به سايت‌هاي مالي مشخص استفاده کرد؛ به‌اين‌ترتيب از آلوده‌شدن کامپيوتر از را‌ه‌هاي ديگر جلوگيري مي‌شود.

 

چنين کامپيوتري را حتي مي‌توان در قالب يک دسکتاپ مجازي که روي يک زيرساخت مجازي امن اجرا مي‌‌شود نيز پديد آورد تا در صورت نياز به تراکنش‌هاي مالي بتوان از راه‌دور به‌آن متصل شد. از آنجا که اتخاذ چنين راهبردي در همه مراکز ممکن نيست، مي‌توان از راه‌هاي مؤثر ديگري نيز براي محافظت از کلاينت‌ها در برابر زئوس استفاده کرد. مي‌توان برخي از قابليت‌هاي مرورگر وب را غيرفعال يا محدود کرد، به‌عنوان‌مثال غيرفعال‌کردن افزونه‌ها، غيرفعال‌کردن جاوا اسکريپت و کنترل‌هاي اکتيواکس يا محدود کردن اجراي آن‌ها به چند سايت از پيش تعيين شده. با اين‌که بارها گفته شده، اما باز هم توصيه مي‌شود که از نسخه‌هاي به‌روز شده مرورگر استفاده شود.

 

همچنين بايد آماده بود تا به محض شناسايي حمله زئوس، خسارت‌هاي آن‌را محدود کرده و در برابر آن واکنش نشان داد. يکي از فناوري‌هاي مؤثر براي اين منظور استفاده از تجهيزات ضدبدافزار مبتني بر شبکه يا ديگر سيستم‌هاي امنيتي شبکه براي بلوکه کردن حمله‌ها است. برخي از اين تجهيزات امنيتي به‌طور اخص پروتکل‌هاي ارتباطي command-and-control را هدف مي‌گيرند و باعث مي‌شوند ارتباط تروجان‌ زئوس با بات‌نت قطع شود. با ارتقاي قابليت‌هاي کيت‌هاي مجرمانه زئوس، گستره تهديدهاي بات‌نت اين تروجان نيز افزايش پيدا مي‌کند. نبايد تصور شود که زئوس تنها صنعت بانکداري را هدف مي‌گيرد؛ بلکه طيف گسترده‌تري از سايت‌ها و سازمان‌ها در معرض تهديد آن هستند. باتوجه به درصد موفقيت زئوس و سودآوري آن براي مجرمان اينترنتي چنين به نظر مي‌رسد که اين تروجان به اين زودي‌ از صحنه خارج نخواهد شد، اما راهبرد‌هاي ذکر شده و نيز ترکيب آن‌ها با راهبردهاي پيشرفته احراز هويت مي‌تواند ميزان اثرگذاري زئوس را کاهش دهد.‌