سرویس فوق به شرکتها و سازمانها اجازه میدهد کانال ارتباطی میان بدافزارها و سرورهای کنترل و فرماندهی را مسدود کنند. شرکت Recorded Future که در زمینه شناسایی تهدیدات امنیتی از طریق الگوریتمهای یادگیری ماشینی به فعالیت اشتغال دارد، با همکاری موتور جستوجوگر شادون موفق شده است این سرویس آنلاین را طراحی کند. سرویس فوق بهطور مستمر در سطح اینترنت به جستوجو پرداخته تا پانلهای کنترلی متعلق به دهها برنامه RAT (سرنام Remote Access Trojan) را شناسایی کند.
پانلهایی که با تروجانهای معروفی همچون Gh0st RAT، DarkComet، njRAT، ZeroAccess و XtremeRAT در ارتباط هستند. بدافزارهایی که به آنها اشاره شد، جزء بدافزارهای تجاری هستند و در انجمنهای دارک وب خرید و فروش میشوند. هکرها از طریق این بدافزارها و تعامل آنها با پانلهای مربوط قادر هستند دستگاههای آلوده را کنترل و دستورات مربوط را برای آنها ارسال کنند. سرویس فوق برای آنکه بتواند سرورهای کنترل و فرماندهی (C&C) (سرنام Command-and- Control) را شناسایی کند، به نشانیهای IP عمومی متصل میشود و در ادامه ترافیکی را بهسمت این نشانیها هدایت میکند.
مطلب پیشنهادی
ترافیکی که ممکن است تروجانها آن را دریافت و بهسمت پانل کنترلی خود ارسال کنند. اگر دستگاههایی که این ترافیک بهسمت آنها ارسال شده پاسخی برای سرویس Malware Hunter ارسال کنند، نشان میدهند که یک سرور کنترل و فرماندهی هستند. سرویس فوق تا به امروز موفق شده است بیش از 5700 سرور کنترل و فرماندهی را شناسایی کند. جالب آنکه بیش از چهار هزار مورد از این سرورها در کشور ایالات متحده قرار داشتهاند. بخش اعظمی از پانلهای کنترلی شناسایی شده در ارتباط با تروجان Gh0st بودند. بدافزار فوق اولین بار در سال 2009 میلادی شناسایی شد. بدافزاری که منشأ آن یکی از کشورهای آسیایی بوده و تا به امروز در طیف گستردهای از حملات سایبری مورد استفاده قرار گرفته است. الگویی که سرویس شکارچی بدافزارها بهمنظور شناسایی سرورهای کنترل و فرماندهی RAT از آن استفاده میکند، منطبق بر پژوهشی است که در گذشته شرکت Research Future انجام داده است. شرکت یاد شده در گذشته از طریق همین تکنیک سرورهای مخرب را شناسایی میکرد، اما این کار را در مقیاس کوچکتری انجام میداد. توسعهدهندگان سرویس شکارچی بدافزار ساز و کاری را ترتیب دادهاند که به شرکتهای امنیتی و همچنین پژوهشگران امنیتی اجازه میدهد فهرستی از این سرورهای کنترل و فرماندهی را مشاهده کرده و قواعد مربوط به دیوار آتش خود را منطبق با این فهرست بهروزرسانی کنند. فهرست یاد شده بهطور مرتب بهروزرسانی شده تا همواره جدیدترین اطلاعات را در اختیار شرکتهای امنیتی قرار دهد.
زمانی که ارتباط بدافزار با سرور کنترل و فرماندهی قطع و این کار در سطح لایه شبکه انجام شود، هکرها دیگر این توانایی را نخواهند داشت تا حمله خود را بهطور کامل اجرا و اطلاعات موجود روی سامانههای قربانی را استخراج کنند.
رویکرد ارائه شده از سوی این سرویس در عمل کارایی بالایی دارد، زیرا در حالت عادی باید منتظر باشیم تا شرکتهای امنیتی نمونههایی از یک بدافزار را به دست آورده، آنها را تحلیل کرده، در ادامه الگوی مورد استفاده از سوی یک بدافزار در ارتباط با مرکز کنترل و فرماندهی را کشف کرده و در ادامه گزارش آن را منتشر کنند تا سازمانها از کم و کیف موضوع اطلاع پیدا کنند. همان گونه که مشاهده میکنید، این پروسه به زمان نسبتاً زیادی نیاز دارد، در حالی که سرویس شکارچی بدافزارها این کار را در سریعترین زمان ممکن انجام میدهد. با توجه به آنکه در چند سال اخیر سامانههای امنیتی در ارتباط با ترافیک وارد شونده به یک شبکه در بعضی موارد هشدارهای مثبت کاذبی را صادر کردهاند و پس از بررسی مشخص شده هیچ گونه فعالیت مشکوکی شکل نگرفته است، در نتیجه این احتمال وجود دارد که سرویس فوق بتواند در این زمینه راهگشا باشد.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟