امنیت
فهرست مطالب
بات نت (Botnet) شبکهای گسترده از کامپیوترها، سرورها، دستگاههای تلفن همراه یا دستگاههای اینترنت اشیا (IoT) است که به بدافزار آلوده شدهاند و تحت کنترل یک مهاجم واحد، که به عنوان باتمستر شناخته میشود، قرار میگیرند. این دستگاههای آلوده که به آنها بات یا زامبی نیز گفته میشود، بدون اطلاع صاحبانشان به عضویت این شبکه درمیآیند و میتوانند به طور هماهنگ برای انجام فعالیتهای مخرب گوناگون مورد استفاده قرار گیرند.
باتمستر با استفاده از یک کانال ارتباطی، دستورات را به تمام باتهای موجود در شبکه ارسال میکند و آنها را وادار به انجام اقداماتی نظیر حملات انکار سرویس توزیعشده (DDoS) برای از کار انداختن وبسایتها و سرورها از طریق ارسال حجم عظیمی از ترافیک مخرب، ارسال انبوه هرزنامه و ایمیلهای فیشینگ به منظور کلاهبرداری یا انتشار بدافزار بیشتر، سرقت اطلاعات حساس مانند گذرواژهها، اطلاعات کارتهای اعتباری و دادههای شخصی، توزیع و گسترش انواع مختلف بدافزار از جمله ویروسها، تروجانها و باجافزارها، انجام حملات جعلکلیک برای کسب درآمد غیرقانونی از طریق تبلیغات آنلاین، و حتی استخراج ارزهای دیجیتال با استفاده از منابع پردازشی دستگاههای آلوده بدون اطلاع کاربر مینماید. ماهیت توزیعشده بات نتها شناسایی و مقابله با آنها را دشوار میسازد، زیرا منبع حملات متعدد و پراکنده است و هر دستگاه آلوده به تنهایی ممکن است فعالیت مخرب قابل توجهی از خود نشان ندهد، اما در مجموع، قدرت تخریبی بسیار بالایی دارند. به همین دلیل، آگاهی از خطرات بات نتها و اتخاذ تدابیر امنیتی مناسب برای محافظت از دستگاهها در برابر آلودگی به بدافزار و پیوستن به این شبکههای مخرب از اهمیت بسزایی برخوردار است.
انواع و طبقهبندی بات نتها
بات نتها را میتوان بر اساس ساختار کنترلی، نوع بدافزار مورد استفاده یا هدف اصلی آنها دستهبندی کرد. بات نتها را میتوان بر اساس ساختار کنترلی به شرح زیر طبقهبندی کرد:
1. بات نتهای متمرکز (Centralized Botnets)
بات نتهای متمرکز، که به عنوان بات نتهای مبتنی بر ساختار کلاینت-سرور نیز شناخته میشوند، از یک یا چند سرور فرماندهی و کنترل (Command and Control Server) به عنوان نقطه مرکزی برای مدیریت و کنترل تمام باتهای موجود در شبکه استفاده میکنند. در این ساختار، دستگاههای آلوده (باتها یا زامبیها) به طور مستقیم با این سرورهای C&C ارتباط برقرار میکنند تا دستورات را دریافت کرده و نتایج فعالیتهای مخرب خود را گزارش دهند. باتمستر، عامل کنترلکننده بات نت، از طریق این سرورهای مرکزی با کل شبکه بات نت تعامل دارد و میتواند به طور همزمان به تمام باتها دستور دهد تا اقدامات هماهنگی نظیر حملات انکار سرویس توزیعشده (DDoS) علیه یک هدف مشخص، ارسال حجم وسیعی از هرزنامه یا ایمیلهای فیشینگ، سرقت اطلاعات حساس از سیستمهای آلوده، یا توزیع و اجرای بدافزار بیشتر را انجام دهند.
این ساختار متمرکز، در حالی که برای باتمستر امکان کنترل و مدیریت آسانتر شبکه را فراهم میکند، یک نقطه ضعف اساسی نیز محسوب میشود؛ زیرا شناسایی و از کار انداختن سرورهای C&C میتواند منجر به اختلال یا حتی نابودی کل بات نت شود. به همین دلیل، مجریان قانون و متخصصان امنیت سایبری تلاش میکنند با شناسایی و مسدودسازی این سرورهای مرکزی، فعالیت بات نتهای متمرکز را متوقف کنند. با وجود این آسیبپذیری، بات نتهای متمرکز به دلیل سادگی نسبی در پیادهسازی و کنترل، در گذشته رایجتر بودهاند و هنوز هم در برخی حملات سایبری مشاهده میشوند، اگرچه بات نتهای غیرمتمرکز و پیچیدهتر به دلیل مقاومت بیشتر در برابر از کار افتادگی، محبوبیت بیشتری پیدا کردهاند.
این ساختار متمرکز، در حالی که برای باتمستر امکان کنترل و مدیریت آسانتر شبکه را فراهم میکند، یک نقطه ضعف اساسی نیز محسوب میشود؛ زیرا شناسایی و از کار انداختن سرورهای C&C میتواند منجر به اختلال یا حتی نابودی کل بات نت شود. به همین دلیل، مجریان قانون و متخصصان امنیت سایبری تلاش میکنند با شناسایی و مسدودسازی این سرورهای مرکزی، فعالیت بات نتهای متمرکز را متوقف کنند. با وجود این آسیبپذیری، بات نتهای متمرکز به دلیل سادگی نسبی در پیادهسازی و کنترل، در گذشته رایجتر بودهاند و هنوز هم در برخی حملات سایبری مشاهده میشوند، اگرچه بات نتهای غیرمتمرکز و پیچیدهتر به دلیل مقاومت بیشتر در برابر از کار افتادگی، محبوبیت بیشتری پیدا کردهاند.
2. بات نتهای غیرمتمرکز (Decentralized یا P2P Botnets)
بات نتهای غیرمتمرکز، که به عنوان بات نتهای همتا به همتا (Peer-to-Peer) نیز شناخته میشوند، ساختاری متفاوت از بات نتهای متمرکز دارند و فاقد یک یا چند سرور فرماندهی و کنترل (C&C) مرکزی هستند. در این نوع معماری، هر دستگاه آلوده (بات) میتواند به عنوان یک گره عمل کند که هم دستورات را از سایر باتها دریافت میکند و هم میتواند دستورات را به سایر باتهای موجود در شبکه ارسال نماید. به عبارت دیگر، هیچ نقطه کنترل واحدی وجود ندارد و ارتباط و کنترل در سراسر شبکه توزیع شده است.
این ساختار غیرمتمرکز، شناسایی و از کار انداختن بات نت را به مراتب دشوارتر میکند، زیرا حذف یک یا چند بات تاثیر چندانی بر عملکرد کلی شبکه نخواهد داشت و باتهای باقیمانده همچنان قادر به برقراری ارتباط و هماهنگی برای انجام فعالیتهای مخرب خواهند بود. باتمستر در این نوع بات نتها معمولاً از طریق انتشار دستورات در میان تعدادی از باتهای اولیه یا “هابها” دستورات خود را به کل شبکه منتقل میکند و این دستورات به تدریج در سراسر شبکه پخش میشوند. این ساختار مقاومت بالایی در برابر تلاشهای امنیتی برای از بین بردن آنها ایجاد میکند، زیرا هیچ نقطه ضعف منفردی وجود ندارد که با از بین بردن آن بتوان کل بات نت را فلج کرد. بات نتهای غیرمتمرکز اغلب از پروتکلهای ارتباطی همتا به همتا موجود یا پروتکلهای سفارشی برای تسهیل ارتباط و هماهنگی بین باتها استفاده میکنند و به دلیل پیچیدگی بیشتر در شناسایی و مقابله، به عنوان یک تهدید جدی در فضای سایبری مطرح هستند و تکامل یافتهترین شکل بات نتها به شمار میروند.
این ساختار متمرکز، در حالی که برای باتمستر امکان کنترل و مدیریت آسانتر شبکه را فراهم میکند، یک نقطه ضعف اساسی نیز محسوب میشود؛ زیرا شناسایی و از کار انداختن سرورهای C&C میتواند منجر به اختلال یا حتی نابودی کل بات نت شود. به همین دلیل، مجریان قانون و متخصصان امنیت سایبری تلاش میکنند با شناسایی و مسدودسازی این سرورهای مرکزی، فعالیت بات نتهای متمرکز را متوقف کنند. با وجود این آسیبپذیری، بات نتهای متمرکز به دلیل سادگی نسبی در پیادهسازی و کنترل، در گذشته رایجتر بودهاند و هنوز هم در برخی حملات سایبری مشاهده میشوند، اگرچه بات نتهای غیرمتمرکز و پیچیدهتر به دلیل مقاومت بیشتر در برابر از کار افتادگی، محبوبیت بیشتری پیدا کردهاند.
3. بات نتهای IRC
نوعی از بات نتهای متمرکز هستند که از پروتکل چت اینترنتی IRC سرنام (Internet Relay Chat) به عنوان کانال اصلی برای فرماندهی و کنترل (C&C) استفاده میکنند. در این ساختار، دستگاههای آلوده (باتها) به یک یا چند سرور IRC خاص متصل میشوند که توسط باتمستر کنترل میشوند و در کانالهای از پیش تعیینشدهای حضور مییابند. باتمستر از طریق ارسال دستورات متنی به این کانالهای IRC با تمام باتهای متصل ارتباط برقرار میکند و آنها را برای انجام فعالیتهای مخرب مختلف هدایت میکند. این دستورات میتوانند شامل اجرای حملات انکار سرویس توزیعشده (DDoS) علیه یک هدف مشخص با ارسال حجم زیادی از ترافیک مخرب، ارسال هرزنامه و ایمیلهای فیشینگ به منظور کلاهبرداری یا انتشار بدافزار، اسکن شبکهها برای یافتن آسیبپذیریهای جدید، یا حتی انجام حملات Brute-Force برای شکستن گذرواژهها باشند.
استفاده از IRC به عنوان زیرساخت C&C برای بات نتها به دلیل سادگی پروتکل، در دسترس بودن سرورهای IRC متعدد (اگرچه بسیاری از آنها توسط باتمسترها ایجاد میشوند)، و سهولت در پیادهسازی و استفاده از اسکریپتهای IRC برای کنترل باتها، در گذشته بسیار رایج بوده است. با وجود ظهور ساختارهای کنترلی پیشرفتهتر و غیرمتمرکزتر، بات نتهای IRC همچنان به عنوان یک تهدید مطرح هستند، زیرا یافتن و مسدود کردن تمام سرورها و کانالهای IRC مورد استفاده توسط یک بات نت میتواند چالشبرانگیز باشد، و باتمسترها میتوانند به سرعت سرورها و کانالهای جدیدی را ایجاد کنند. علاوه بر این، برخی از بات نتهای مدرن ممکن است از IRC به عنوان یک مکانیسم پشتیبان برای کنترل استفاده کنند، در صورتی که کانالهای اصلی ارتباطی آنها مختل شود.
4. بات نت مبتنی بر پروتکل HTTP
بات نتهای مبتنی بر پروتکل HTTP از پروتکل انتقال ابرمتن (Hypertext Transfer Protocol) به عنوان مکانیزم اصلی برای ارتباط بین دستگاههای آلوده (باتها) و سرورهای فرماندهی و کنترل (C&C) استفاده میکنند. در این نوع بات نت، باتها درخواستهای HTTP را به سرورهای C&C ارسال میکنند تا دستورات جدید را دریافت کنند و همچنین پاسخهای HTTP را برای گزارش وضعیت یا نتایج فعالیتهای مخرب خود به سرور ارسال مینمایند. این ارتباط معمولا از طریق درخواستهای HTTP GET یا POST صورت میگیرد و میتواند به گونهای طراحی شود که ترافیک آن شبیه به ترافیک وب معمولی به نظر برسد، که این امر شناسایی فعالیتهای مخرب را برای سیستمهای امنیتی سنتی دشوارتر میکند.
باتمستر میتواند از طریق صفحات وب خاص یا APIهای مبتنی بر HTTP با سرورهای C&C تعامل داشته باشد و دستورات را برای انجام حملات انکار سرویس توزیعشده (DDoS) با ارسال حجم زیادی از درخواستهای HTTP به یک وبسایت یا سرور هدف، ارسال هرزنامه از طریق فرمهای وب یا APIهای ایمیل، سرقت اطلاعات از طریق تزریق کد مخرب به وبسایتها یا رهگیری ترافیک HTTP، یا توزیع بدافزار از طریق هدایت کاربران به صفحات وب آلوده، صادر کند.
استفاده از HTTP به عنوان پروتکل C&C مزایایی از جمله قابلیت عبور از فایروالها و پروکسی سرورهایی که ترافیک وب را مجاز میدانند، و همچنین سهولت در پنهان کردن فعالیتهای مخرب در میان حجم زیاد ترافیک وب را فراهم میکند. علاوه بر این، بات نتهای HTTP میتوانند از تکنیکهایی مانند استفاده از دامنههای تولید شده الگوریتمی (Domain Generation Algorithms) برای تغییر مداوم آدرس سرورهای C&C و جلوگیری از مسدود شدن آنها استفاده کنند، که این امر مقابله با آنها را پیچیدهتر میسازد. به دلیل این ویژگیها، بات نتهای مبتنی بر HTTP به یک تهدید قابل توجه در فضای سایبری تبدیل شدهاند و نیازمند راهکارهای امنیتی پیشرفته برای شناسایی و مقابله با آنها هستند.
روشهای شناسایی و مقابله با بات نتها
شناسایی و مقابله با بات نتها یک فرآیند چندلایه و پیچیده است که نیازمند ترکیبی از رویکردهای فنی و سازمانی است. در سطح شبکه، تحلیل ترافیک میتواند الگوهای غیرعادی مانند حجم بالای ترافیک از یک منبع داخلی به چندین مقصد خارجی، ارتباطات مکرر با آدرسهای آیپی یا دامنههای مشکوک، و استفاده از پروتکلهای غیرمعمول یا پورتهای غیر استاندارد را آشکار کند. سیستمهای تشخیص نفوذ و سیستمهای پیشگیری از نفوذ از طریق بررسی بستههای داده و تطبیق آنها با الگوهای شناخته شده حملات بات نت و بدافزار میتوانند فعالیتهای مشکوک را شناسایی و مسدود کنند. تحلیل رفتاری شبکه (Network Behavior Analysis) با ایجاد یک خط مبنا از رفتار عادی شبکه و شناسایی انحرافات از این الگو، میتواند فعالیتهای بات نت را که ممکن است با الگوهای سنتی مطابقت نداشته باشند، تشخیص دهد.
به طور کلی، شناسایی و مقابله با بات نتها در مقیاس سازمانی مستلزم یک رویکرد جامع و چند لایه است که شامل فناوریهای پیشرفته، فرآیندهای قوی و آگاهی بالای کارکنان میشود. در سطح شبکه سازمانی، استقرار سیستمهای پیشرفته تحلیل ترافیک و امنیت شبکه که قادر به شناسایی الگوهای غیرعادی ارتباطی، حجم بالای ترافیک مشکوک به مقاصد غیرمعمول، و استفاده از پروتکلها یا پورتهای ناشناخته هستند، حیاتی است. راهکارهای تحلیل رفتار شبکه (NBA) با ایجاد پروفایلهای رفتاری برای ترافیک عادی شبکه و هشدار در صورت انحرافات قابل توجه، میتوانند فعالیتهای بات نت پنهان را آشکار سازند. استقرار سیستمهای تشخیص و پیشگیری از نفوذ (IDS/IPS) با قابلیت بازرسی عمیق بستههای داده (DPI) و تطبیق با امضاهای شناخته شده بدافزار و الگوهای حمله بات نت، در کنار فایروالهای پیشرفته با قابلیت کنترل دقیق ترافیک خروجی (برای جلوگیری از ارتباط باتها با سرورهای C&C)، از جمله اقدامات ضروری است.
در سطح Endpoint سازمانی، استقرار و بهروزرسانی مداوم راهکارهای جامع امنیت نقطه پایانی مثل آنتیویروس نسل بعدی، Endpoint Detection and Response و غیره که قادر به شناسایی رفتارهای مشکوک فرآیندها، ارتباطات شبکه، و تغییرات سیستمی هستند، اهمیت دارد. EDR با قابلیت جمعآوری و تحلیل دادههای مربوط به فعالیتهای نقطه پایانی، امکان شناسایی تهدیدات پیشرفته از جمله بات نتها و پاسخ سریع به آنها را فراهم میکند. اجرای سیاستهای سختگیرانه مدیریت دسترسی، اعمال اصل حداقل امتیاز (Principle of Least Privilege)، و بهروزرسانی منظم سیستمعاملها و نرمافزارها برای رفع آسیبپذیریها، از نفوذ بدافزار و پیوستن دستگاهها به بات نتها جلوگیری میکند.
علاوه بر فناوری، فرآیندهای سازمانی نقش کلیدی دارند. ایجاد یک تیم واکنش به حوادث سایبری (CSIRT) با فرآیندهای مشخص برای شناسایی، تحلیل و پاسخ به حوادث امنیتی، از جمله آلودگی به بات نت، ضروری است. انجام تمرینات شبیهسازی حمله و واکنش به حوادث به طور منظم، آمادگی سازمان را افزایش میدهد. اشتراکگذاری اطلاعات تهدید با سایر سازمانها و منابع اطلاعاتی امنیتی، آگاهی از آخرین تهدیدات بات نت و روشهای مقابله با آنها را بهبود میبخشد. آموزش مداوم کارکنان در مورد خطرات فیشینگ، مهندسی اجتماعی و شیوههای امن کار با دستگاهها و شبکههای سازمانی، نقش مهمی در کاهش سطح حمله و جلوگیری از آلودگی اولیه دارد.
در نهایت، یک استراتژی و رویکرد مبتنی بر تهدید (Threat-Driven Approach) که شامل نظارت مستمر بر تهدیدات نوظهور، تحلیل اطلاعات تهدید و تطبیق استراتژیهای دفاعی با این تهدیدات است، برای مقابله موثر با بات نتها در مقیاس سازمانی ضروری است. این فرآیند شامل استفاده از ابزارهای تحلیل تهدید هوشمند (Threat Intelligence Platforms) و همکاری با ارائهدهندگان خدمات امنیتی مدیریتشده (MSSPs) برای بهرهگیری از تخصص و منابع خارجی نیز میتواند مفید باشد.
نویسنده: حمیدرضا تائبی
اشتراکگذاری
مطالب مشابه
