وقتی صحبت از Cryptomalware می شود ، ابتدا دو کلمه را در کنار هم بخوانید Cryptography Malware که به ترتیب کلمات بدافزار رمزنگاری ترجمه می شود و به خوبی مفهوم را می رساند. قبلا در توسینسو در خصوص مفهومی به نام Cryptovirology صحبت کرده ایم که در واقع بدافزارهایی که در حوزه رمزنگاری کار می کنند زیر مجموعه این نوع علم بدافزاری هستند. بصورت کلی هر بدافزاری که با استفاده از رمزنگاری اطلاعات اقدام به سوء استفاده از افراد بکند به عنوان Cryptomalware یا بدافزار رمزنگاری ( ترجمه بهتر پیدا کردید Comment بزارید ) شناخته می شود.
Cryptomalware نوعی باجافزار (Ransomware) است که فایلهای قربانی را با استفاده از الگوریتمهای رمزنگاری قفل کرده و برای باز کردن آنها درخواست باج میکند. این بدافزار معمولاً از طریق ایمیلهای مخرب، لینکهای آلوده یا دانلودهای ناامن وارد سیستم میشود. در آموزش هک، روشهای شناسایی و مقابله با باجافزار، مانند استفاده از آنتیویروس، بهروزرسانی مداوم سیستم و تهیه نسخه پشتیبان از اطلاعات بررسی میشود. برای جلوگیری از این حملات، کاربران باید از باز کردن فایلهای مشکوک خودداری کرده و امنیت سایبری خود را تقویت کنند.
معروف ترین نوع بدافزار رمزنگاری که در دنیا وجود دارد به عنوان باج افزار یا Ransomware شناخته می شود. مکانیزم کاری این نوع بدافزارها به نسبت ساده است ! آنها به سیستم قربانی نفوذ می کنند یا منتقل می شوند ، سپس اطلاعات یا فایل ها با پسوند های مشخصی مثل پسوند مستندات اداری ، عکس ها ، ویدیوها ، فایلهای بکاپ و ... را شناسایی می کنند و آنها را رمزنگاری می کنند و سپس پیامی روی تصویر قربانی درج می کنند که در صورت عدم پرداخت باج به این حساب های کاربری کلیه اطلاعات شما از بین خواهد رفت و بسیاری از کاربران قربانی مجبور به پرداخت این باج هستند تا کلید رمزگشایی را مهاجم در اختیار قربانی قرار بدهد.
اینجا یک مرکز پزشکی و درمانگاهی مهم در کشور است که به باج افزار آلوده شده است . فرض کنید که مدیر یک شبکه هستید و صبح اول وقت وقتی پای سیستم می نشینید با چنین صحنه ای مواجه شوید که کلیه فایل های شما شبیه چرخدنده و اجرایی شده اند و با کلیک کردن روی آنها پیامی مشابه تصویر بالا دریافت می کنید . این یعنی شما به باج افزار آلوده شده اید . محتوای پیام کاملا مشخص است .در پیامی که باج گیرنده در سیستم شما نمایش می دهد قطعا یک آدرس ایمیل موقتی وجود دارد که برای شما ایجاد شده است و البته یک شناسه منحصر به فرد برای کامپیوتر و یا شبکه شما که توسط آن کلید رمزگشایی توسط مهاجم طراحی شده است نیز در اختیار شما قرار می گیرد.
اگر می خواهید باج بدهید باید این ID را برای آن ایمیل ارسال کنید ، یک نمونه فایل برای رمزگشایی برای مهاجم ارسال کنید و فایل اصلی را دریافت کنید تا متوجه شوید که با هویت درستی برای باج دادن مواجه هستید . این روند کلی باجگیری اینترنتی در دنیاست . جالب است بدانید که در دنیا بیشتر از صدها میلیون دلار در سال از این طریق باجگیری می شود و با توجه به استفاده از مکانیزم های پرداخت بصورت رمزارز ( Cryptocurrency ) امکان پیگیری آنها تا حدی غیر ممکن است .
به تصویر بالا دقت کنید ، این تصویر را شاید بتوانیم تاریخچه باج افزاری در ایران بدانیم . این تجربه من در یکی از سازمان های حیاتی در ایران در سال 1387 بود که آلوده به نوعی باج افزار ایرانی شده بودند که بصورت هدفمند این سازمان را مورد هدف قرار داده بودند و قصد اخاذی و باجگیری داشتند که خوشبختانه ما موفق شدیم این مشکل را حل کنیم . تصویر بالا در حال حاضر فاقد هرگونه ارزش امنیتی بوده و با توجه به گذشت 12 سال از این موضوع دیگر انتشار آن نیز اهمیتی ندارد و برای اولین بار در ایران این تصویر توسط بنده در اینترنت منتشر می شود .در دوره آموزشی سکیوریتی پلاس (+Security) قسمت 4 : بدافزارها Malwaresبصورت کامل توضیح داده شده است لازم به ذکر است پیش نیاز دوره سکیوریتی پلاس دوره آموزشی نتورک پلاس است.
یکی از معروف ترین انواع بدافزار یا Malware به نام کرم یا Worm شناخته می شود. هر چند که اکثرا در مورد Worm ها بحثی شبیه به ویروس داریم اما اساسا این دو نوع بدافزار ، دو چیز کاملا متفاوت با ماهیتی متفاوت هستند. تنها وجه اشتراک بین Worm ها و Virus ها در بحث بدافزاری ، تلاش برای تکثیر شدن آنها در سیستم های مختلف است . اما تفاوت اصلی با ویروس در اینجاست که ویروس های کامپیوتری برای اینکه تکثیر شوند نیاز به انجام یک عملیات توسط کاربر دارند ، برای مثال اگر یک کاربر بر روی فایلی کلیک نکند یا DVD یا Flash ای را به سیستم خود نزند ممکن است به ویروس آلوده نشود اما در Worm ها به این شکل نیست و Worm در اصطلاح خودتکثیر یا Self-Replica است و نیازی به انجام کاری توسط کاربر برای تکثیر شدن ندارد .
Worm یا کرم یک نوع بدافزار است که به صورت مستقل میتواند خود را در شبکهها و سیستمها تکثیر کرده و پخش کند، بدون نیاز به فایلهای آلوده یا تعامل کاربر. برخلاف ویروسها که برای تکثیر نیاز به فایلهای دیگر دارند، کرمها از آسیبپذیریهای سیستمها و شبکهها برای گسترش خود استفاده میکنند. کرمها معمولاً باعث بیشبار شدن شبکه و کندی سیستمها میشوند. از این رو، ویروسها بهطور معمول به فایلهای دیگر متصل میشوند، اما کرمها مستقل عمل میکنند. در آموزش هک، شناخت تفاوت بین ویروس و کرم به درک بهتر حملات و روشهای مقابله با آنها کمک میکند.
برخلاف ویروس ها که بصورت خودکار روی یک سیستم تا می توانند تکثیر می شوند ( روی یک سیستم یک ویروس مثلا 100 بار تکثیر میشه ) ، Worm ها فقط یک نسخه از خودشان را بر روی یک سیستم تکثیر می کنند و به سراغ آلوده کردن سیستم بعدی می روند. به این حالت Worm در اصطلاح امنیت Standalone بودن بدافزار می گویند. ویروس ها معمولا از بیرون سیستم کنترل نمی شوند و یک سری وظیفه از قبل تعریف شده دارند اما Worm ها این قابلیت را دارند که توسط مهاجم از راه دور کنترل شوند یا در اصطلاح Remote Controlled شوند.
نکته دیگر در خصوص تفاوت ویروس و Worm در نحوه تکثیر است . ویروس ها توسط رسانه ها یا Media هایی مثل Flash و DVD و ... منتقل می شوند یا پیوست ایمیل اما Worm ها توسط آسیب پذیری های موجود در نرم افزارها و سیستم عامل ها تکثیر می شوند و در شبکه تکثیر می شوند نه سیستم . Worm دارای ساختار پیچیده تری به نسب Virus است با توجه به اینکه یک آسیب پذیری را باید در سیستم عامل در شبکه شناسایی و به آن عملا نفوذ کند و به همین دلیل ترافیک و پهنای باند شبکه را در زمان آلودگی افزایش می دهد. Worm ها می توانند در نقش بدافزارهای دیگری مثل جاسوس افزارها ( Spyware ) ، بات ها و حتی تروجان و ... هم فعالیت کنند.
در دوره آموزشی سکیوریتی پلاس (+Security) قسمت 4 : بدافزارها Malwaresبصورت کامل این مبحث توضیح داده شده است لازم به ذکر است پیش نیاز دوره سکیوریتی پلاس دوره آموزشی نتورک پلاس است.
تروجان یا Trojan یکی از انواع بدافزارهاست که با هدف مخفی ماندن در دنیای اینترنت منتشر می شود تا به اهداف متنوعی که می تواند انجام بدهد برسد. اگر کمی علاقه مند به داستان های تاریخی باشید بد نیست بدانید که ریشه کلمه Trojan Horse یا اسب تروا از یک افسانه یا شاید یک روایت تاریخی قدیمی باشد که در آن شهری به نام تروا که نفوذ ناپذیر به نظر می رسید بعد از سالها محاصره تسلیم نشد و دشمنان دست از پا درازتر تصمیم گرفتند به محاصره پایان بدهند. شهر تروا آنقدر دیوارهای بلندی داشت که عملا نفوذ به آن را برای دشمنان غیرممکن می کرد . بعد از اینکه ساکنین تروا متوجه شدند که دشمان در حال لغو کردن محاصره و خالی کردن میدان هستند خوشحال شدند.
تروجان (Trojan) یک نوع بدافزار است که به ظاهر یک نرمافزار مفید به نظر میرسد اما در پسزمینه، فعالیتهای مخرب انجام میدهد.برخلاف ویروس که خود را تکثیر کرده و به فایلهای دیگر متصل میشود، تروجان به تنهایی گسترش نمییابد و معمولاً کاربر را فریب میدهد تا آن را اجرا کند.تروجانها میتوانند برای سرقت اطلاعات، ایجاد دسترسی غیرمجاز یا کنترل سیستم قربانی استفاده شوند.ویروس معمولاً باعث تخریب فایلها میشود، در حالی که تروجان بیشتر برای دسترسی مخفیانه و جاسوسی طراحی شده است.در آموزش هک، شناخت تفاوت تروجان و ویروس برای افزایش امنیت سیستمها و جلوگیری از آلودگیهای سایبری ضروری است.
زمانیکه دشمنان از ساحل تروا خارج می شدند یک مجسمه اسب بسیار بزرگ درست کردند و به یادگاری در ساحل جزیره قرار دادند . ساکنین تروا که این اسب را تحفه دشمن برای شکست در جنگ دانسته بودند با خوشحالی مجسمه را به داخل شهر تروا بردند و شروع به خوشحالی و جشن و پایکوبی تا حد مستی بسیار زدند غافل از اینکه دشمن برای همین موضوع برنامه ریزی کرده بود . زمانیکه همه جشن و پایکوبی را تمام کردند و بیهوش شدند از درون مجسمه چوبی سربازان نفوذی که دشمن در مجسمه جاساز کرده بودند از آن بیرون آمدند و شبانه درب های ورودی شهر تروا را برای دشمنان باز کردند و دشمن که با فاصله از ساحل دریا قرار گرفته بود تا نمایش فرار داشته باشد به ساحل برگشتند و در نهایت تروا به دست دشمن افتاد .
اما این ماجرا چه ربطی به بدافزاری به نام اسب تروا دارد ؟ خوب واضح است ، معنی و مفهوم کاری که تروجان انجام می دهد دقیقا همین است ! تروجان ها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی به کاربر قالب می کنند و کاربر بر همین اساس آنها را دانلود و نصب می کند و آلوده می شود بدون اینکه خودش متوجه شود که یک بدافزار نصب کرده است ! Trojan Horse در واقع برنامه مخربی است که خودش را به جای برنامه های کاربردی می دهد ، برای مثال شما یک برنامه آنتی ویروس کرک شده نصب می کنید که کرک آن در واقع تروجانی است که شما بدون اطلاع نصب می کنید.
معمولا این نوع بدافزار بصورت پیوست به فایل های اجرایی نصب برنامه ها می چسبد که قبلا در خصوص مبحث Wrapping مفصل در این مورد صحبت کرده ایم . تروجان ها معمولا در سیستم قربانی یک Backdoor برای دسترسی از راه دور به سیستم قربانی ایجاد می کنند . برخی از انواع تروجان ها هیچکاری الزاما بر روی سیستم قربانی انجام نمی دهند و فقط آماده به کار یا Standby هستند و شاید ماه ها و چه بسا سالها بر روی یک سیستم بدون اینکه شناسایی شوند وجود داشته باشند .
برای درک بهتر این مفاهیم در دوره آموزشی سکیوریتی پلاس (+Security) قسمت 4 : بدافزارها Malwaresبصورت کامل این مبحث توضیح داده شده است لازم به ذکر است پیش نیاز دوره سکیوریتی پلاس دوره آموزشی نتورک پلاس است.
اما آیا تروجان یک ویروس است یا خیر ؟ در واقع تنها تشابهی که بین ویروس کامپیوتری و تروجان می توان پیدا کرد این است که هر دو در دسته بندی بدافزارها قرار می گیرند و تمام ! ویروس ها ماهیتی عیان دارند و آلوده سازی سیستم را بصورت مشهودی انجام می دهد و روی یک سیستم بارها تکثیر می شوند در حالیکه تروجان ها هدفشان مخفی بودن است و تنها یک نسخه بر روی سیستم نصب می شود ، در عین حال ویروس ها ممکن است صرفا هدف تخریب داشته باشند اما تروجان ها اهداف مشخص و از قبل تعریف شده دارند. بیشتر ابزارهایی که به عنوان Keygen برای درست کردن سریال نرم افزارهای کرک شده استفاده می شوند در واقع همان تروجان هستند . معمولا تروجان ها بصورت پیوست هایی با پسوند exe و com و bat و hlp و scr در پیوست های ایمیل منتقل می شوند.
ابزارهای اسکنر امنیتی ( Security Scanner ) و اسکنر آسیب پذیری ( Vulnerability Scan ) بسیاری در دنیا وجود دارند که ماهیت آنها انجام اسکن های امنیتی سیستم عامل ها ، تجهیزات ، وب سایت ها و ... و پیدا کردن نقاط آسیب پذیر آنهاست. شما با استفاده از خروجی گزارش این نرم افزارهای اسکنر امنیتی می توانید آسیب پذیری های موجود در شبکه ، سیستم عامل ها ، وب سایت ها و ... خود را پیدا کنید:برای دسترسی به لینک دوره ها به منبع مقاله مراجعه کنید.
Core Impact | Penetration Testing | Core Security
Nexpose Vulnerability Scanner and Software
GFI Languard Network Security Scanner and Patch Management
Retina Network Security Scanner (RNSS)
Acunetix Web Vulnerability Scanner
WebInspect
SAINT Security Suite - Carson-SAINT Cyber Security
Safety Lab Shadow Security Scanner
Qualys Cloud Platform
IBM® Security AppScan® Standard
NsAuditor Network Security Auditor
Nessus Vulnerability Scanner
OpenVAS - Open Vulnerability Assessment Scanner
نرم افزارها و ابزارهای اسکنر یا پویشگر امنیتی بسیار زیادی در دنیا وجود دارند و قطعا قرار نیست این 13 مورد کاملترین و جامعرین لیست باشد ، این لیست با توجه به تجربه و تحقیقات نویسنده نوشته شده است و شما می توانید اسکنری که از لحاظ خاصی بهتر می دانید را در ادامه همین مطلب Comment قرار بدهید تا دیگران هم در خصوص آنها اطلاعات داشته باشند.برای درک ویادگیری بیشتر مفاهیم به دوره های آموزش هک و تست نفوذ مراجعه کنید.
در این پست با یکی از حملات لایه دوم ، تحت عنوان MAC Address Spoofing یا جعل MAC Address آشنا شده و روش مقابله با آن را یاد خواهیم گرفت. در این حمله مهاجم با تغییر MAC آدرس خود سعی می کند عملیات مورد نظرش را انجام دهد.به طور مثال به عکس زیر توجه کنید:
همانطور که در تصویر می بینید سوئیچ براساس جدول MAC خود می داند که از طریق پورت 1 خود به سرور متصل است. در این زمان مهاجم ، MAC آدرس خود را برابر سرور موجود در شبکه قرار می دهد و به سمت سوئیچ ترافیک ارسال می کند. سوئیچ با دریافت این ترافیک و بررسی MAC آدرس مبدا بسته ، فکر می کند که پورت متصل به سرور تغییر کرده در نتیجه جدول MAC خود را تغییر می دهد و از این پس ترافیکی که مقصد آن سرور است را روی پورت 2 ارسال می کند و این ترافیک تحویل مهاجم می شود و به این صورت مهاجم به اطلاعات ارسالی دیگر سیستم ها دسترسی پیدا می کند.جهت جلوگیری از این حمله می توانیم از Port Security استفاده کنیم.شما میتوانید برای مطالعه ویادگیری بیشتربه دوره ی آموزش نسوش و آموزش هک مراجعه کنید .