بررسی حملات Cryptojacking
1404/03/17
حمله سایبری چیست؟
حمله سایبری به هرگونه اقدام مخربی گفته میشود که با هدف دسترسی غیرمجاز، تغییر، تخریب یا سرقت اطلاعات از سیستمهای رایانهای و شبکهها انجام میگیرد. این نوع حملات میتوانند زیرساختهای دیجیتال، دادههای سازمانی یا شخصی و حتی عملکرد کلی شبکهها را مورد هدف قرار دهند. مهاجمان سایبری معمولاً با بهرهگیری از ضعفهای امنیتی در نرمافزارها یا رفتار کاربران، تلاش میکنند تا به منابع ارزشمند دست پیدا کنند یا عملکرد سیستمها را مختل نمایند. با گسترش استفاده از فناوریهای دیجیتال در کسبوکارها و زندگی روزمره، تهدیدات سایبری نیز رو به افزایش است. امروزه حملات سایبری تنها به ویروسها یا بدافزارهای ساده محدود نمیشوند، بلکه به شکلهای پیشرفتهتری گسترش یافتهاند. این حملات اغلب با روشهای پیچیده و هدفمند انجام میشوند و میتوانند خسارات سنگینی برای افراد، سازمانها و حتی زیرساختهای حیاتی یک کشور به همراه داشته باشند. به همین دلیل، آگاهی از انواع این تهدیدات و اتخاذ تدابیر امنیتی مناسب، نقشی کلیدی در حفاظت از اطلاعات و منابع دیجیتال ایفا میکند. در ادامه، به بررسی و معرفی رایجترین انواع حملات سایبری خواهیم پرداخت.
انواع حملات سایبری
حملات Denial-of-Service (DoS) و Distributed Denial-of-Service (DDoS) از رایجترین و در عین حال مخربترین انواع حملات سایبری محسوب میشوند که هدف اصلی آنها ایجاد اختلال در عملکرد طبیعی وبسایتها یا سرویسهای آنلاین است. در این نوع حملات، مهاجمان با ارسال حجم بسیار بالایی از درخواستهای جعلی و غیرواقعی، منابع سرور یا شبکه هدف را به شدت اشغال میکنند تا سرویس مورد نظر، دیگر قادر به پاسخگویی به درخواستهای کاربران نباشد. در حمله DoS، این فشار از جانب یک منبع یا دستگاه واحد به سرور وارد میشود، اما در حملات DDoS، هزاران یا حتی میلیونها دستگاه آلوده که به وسیله مهاجم کنترل میشوند، به طور هم زمان این حجم از ترافیک مخرب را ایجاد میکنند که موجب افزایش قدرت تخریبی و دشواری مقابله با حمله میشود. این دستگاهها که معمولاً به عنوان بات نت شناخته میشوند، میتوانند از کامپیوترهای خانگی، سرورها و دستگاههای اینترنت اشیا تشکیل شده باشند. برخلاف حملاتی که هدف آنها نفوذ به سیستمها و دسترسی به دادههای حساس است، حملات DoS و DDoS معمولاً فقط قصد دارند سرویس را مختل کنند و باعث ایجاد اختلال در دسترسی کاربران به سرویس یا وبسایت شوند. این حملات گاهی به صورت سازمانیافته و به سفارش رقبا یا افراد سودجو انجام میگیرند تا از طریق ایجاد اختلال در عملکرد سرویس رقیب، به منافع مالی یا رقابتی دست یابند. همچنین حملات DoS و DDoS میتوانند به عنوان دروازهای برای سایر حملات سایبری عمل کنند؛ چرا که در زمان بروز این اختلالات، سیستمها در حالت آسیبپذیری بیشتری قرار میگیرند و ممکن است مهاجمان دیگر از این فرصت برای نفوذ یا انجام حملات پیشرفتهتر استفاده کنند.
- بدافزار (Malware)
بدافزار یا Malware نوعی نرمافزار مخرب است که با نیت آسیب رساندن به سیستمهای رایانهای و یا شبکهها طراحی میشود. این نرمافزارها معمولاً توسط عوامل مخرب برای دستیابی به اهدافی مانند سرقت اطلاعات، کنترل سیستمها، ایجاد اختلال در عملکرد شبکه یا حتی اخاذی مورد استفاده قرار میگیرند. روشهای انتشار بدافزار متنوعاند؛ از طریق فایلهای آلوده، لینکهای فیشینگ، نرمافزارهای تقلبی یا سوءاستفاده از ضعفهای امنیتی در سیستم. پس از ورود به سیستم، بدافزار میتواند عملکردهای مختلفی داشته باشد، از جمله:
- مسدود کردن دسترسی کاربران به بخشهای مهم سیستم
- نصب نرمافزارهای مخرب دیگر برای گسترش آسیب
- سرقت اطلاعات محرمانه از طریق جاسوسی و ارسال دادهها به خارج از سیستم
- ایجاد اختلال در عملکرد سیستم و از کار انداختن بخشهایی از آن
در جدول زیر، رایجترین انواع بدافزارها همراه با توضیحی کوتاه درباره هر یک ارائه شده است.
| توضیح | نوع |
|---|---|
| باجافزار نوعی بدافزار است که با رمزگذاری فایلها یا مسدود کردن دسترسی به سیستم، مانع استفاده کاربران یا سازمانها از دادههایشان میشود. در این حمله، مهاجمان سایبری در ازای پرداخت مبلغی به عنوان باج، کلید رمزگشایی را به قربانی ارائه میکنند. | Ransomware |
| Fileless malware نوعی بدافزار است که بدون نیاز به نصب یا ذخیره فایل، با استفاده از ابزارهای داخلی سیستمعامل، فعالیت مخرب انجام میدهد. | Fileless Malware |
| Spyware نرمافزاری است که بهطور پنهانی اطلاعات شخصی کاربر را جمعآوری میکند. | Spyware |
| Adware با ردیابی فعالیت کاربر، تبلیغات هدفمند نمایش میدهد و گاه موجب مزاحمت و کاهش سرعت سیستم میشود. | Adware |
| تروجان نرمافزاری مخرب است که در قالب برنامهای بیضرر پنهان شده و پس از نصب، دسترسی غیرمجاز برای مهاجم فراهم میکند. | Trojan |
| کرمها بدافزارهایی هستند که بدون دخالت کاربر خود را تکثیر و منتشر میکنند و ممکن است باعث حذف یا تخریب فایلها شوند. | Worms |
| Rootkit برای مخفی کردن فعالیتهای غیرمجاز و ایجاد دسترسی پنهانی در سیستم طراحی شده است. | Rootkits |
| Mobile malware مخصوص حمله به گوشیهای هوشمند و تبلتهاست و از طریق آسیبپذیریها یا شبکههای ناامن گسترش مییابد. | Mobile Malware |
| Exploit کدی است که از آسیبپذیریهای نرمافزار یا سیستمعامل سوءاستفاده میکند تا دسترسی غیرمجاز یا حمله انجام دهد. | Exploits |
| Scareware با نمایش هشدارهای جعلی، کاربر را به نصب نرمافزار تقلبی یا پرداخت هزینه برای مشکلی غیرواقعی وادار میکند. | Scareware |
| Keylogger تمامی کلیدهای فشردهشده روی صفحهکلید را ثبت کرده و اطلاعاتی مانند رمز عبور و شماره کارت را سرقت میکند. | Keylogger |
| Botnet شبکهای از دستگاههای آلوده است که به صورت هماهنگ توسط مهاجم کنترل میشوند و برای حملات گسترده استفاده میشوند. | Botnet |
| MALSPAM به ایمیلهایی گفته میشود که حاوی فایل یا لینک آلوده به بدافزار هستند و برای آلوده کردن سیستم ارسال میشوند. | Malspam |
| Wiper Attack حملهای برای حذف دائمی دادهها است، بهگونهای که بازیابی آنها تقریباً غیرممکن باشد. | Wiper Attack |
مهندسی اجتماعی یکی از روشهای متداول در حملات سایبری است که در آن مهاجم با تکیه بر تکنیکهای فریب، نفوذ روانی و سوءاستفاده از اعتماد یا ناآگاهی افراد، سعی میکند اطلاعات حساس یا دسترسیهای مهم به سیستم آنها به دست آورد. در این نوع حمله، به جای بهرهگیری از ضعفهای فنی سیستم، ضعفهای انسانی مورد هدف قرار میگیرند. مهاجم ممکن است خود را به جای یک شخص معتبر مانند کارمند بانک، همکار بخش فناوری اطلاعات یا حتی یک دوست معرفی کند و قربانی را متقاعد کند که اطلاعاتی مانند رمز عبور، کد تأیید یا سایر دادههای مهم را در اختیار او قرار دهد.
در ادامه، با مهمترین انواع حملات مهندسی اجتماعی و روشهای اجرای آنها آشنا میشویم.
Phishing: فیشینگ یکی از رایجترین انواع حملات سایبری است که در آن هکرها با ارسال ایمیلها یا پیامهایی که ظاهراً از منابع معتبر و قابل اعتماد میآیند، تلاش میکنند افراد را فریب دهند تا اطلاعات حساس خود مانند رمز عبور یا شماره حساب را در اختیار آنها قرار دهند. این حملات با استفاده از ترفندهای مهندسی اجتماعی انجام میشوند و هدف آنها دسترسی غیرمجاز به دادهها یا سیستمهای قربانی است. فیشینگ معمولاً با ارسال لینکهای جعلی همراه است که کاربر را به سایتهای فریبنده هدایت میکند یا باعث دانلود نرمافزارهای مخرب میشود.
Whaling: Whaling نوع خاص و پیشرفتهای از حملات فیشینگ است که هدف آن افراد بسیار مهم و با سطح دسترسی بالا در سازمانها، مثل مدیران ارشد یا اعضای هیئت مدیره است. در این حمله، مهاجم به جای ارسال پیامهای عمومی و انبوه، با دقت و تحقیق زیاد، پیامهای شخصی سازی شده و بسیار دقیق آماده میکند تا اعتماد این افراد را جلب کند. در حملات Whaling، مهاجم ابتدا تحقیقات عمیقی درباره هدف خود انجام میدهد؛ مثلاً اطلاعاتی مثل نقش سازمانی، فعالیتهای عمومی، شبکههای اجتماعی و سبک ارتباطی او را بررسی میکند. سپس پیامهایی طراحی میکند که به نظر کاملاً قانونی و معتبر میآیند و معمولاً درباره مسائل حساس مالی یا اداری هستند، مانند درخواست انتقال وجه یا تایید قرارداد مهم.
Baiting: Baiting نوعی حمله مهندسی اجتماعی است که در آن، مهاجم با استفاده از وعدهها و پیشنهادات جذاب و دروغین، افراد را به دام میاندازد. معمولاً این وعدهها شامل مواردی مانند دانلود رایگان بازی، فیلم، موسیقی یا ارتقای گوشی میشود که کاربران را ترغیب میکند اطلاعات شخصی خود را در اختیار مهاجم قرار دهند یا بدافزاری را به صورت ناخواسته روی سیستم خود نصب کنند. علاوه بر روشهای آنلاین، baiting گاهی به شکل فیزیکی نیز انجام میشود. مثلاً مهاجم یک فلش درایو آلوده را در مکانی عمومی یا محل کار رها میکند، به این امید که فرد کنجکاوی آن را به کامپیوتر خود متصل کند.
Smishing / SMS-phishing: Smishing نوعی حمله مهندسی اجتماعی است که از طریق پیامک (SMS) انجام میشود. در این روش، مهاجم پیامکی حاوی لینک مخرب یا درخواست فریبنده برای کاربر ارسال میکند تا او را ترغیب کند روی لینک کلیک کند یا اطلاعات شخصی خود را افشا کند. در کل، smishing همان فیشینگ است که به جای ایمیل یا شبکههای اجتماعی، از طریق پیامک انجام میشود.
حمله Man-in-the-middle (MITM) نوعی حمله سایبری است که در آن مهاجم به صورت مخفیانه وارد مسیر تبادل اطلاعات بین دو سیستم یا کاربر میشود و دادههای رد و بدل شده را شنود، رهگیری یا حتی تغییر میدهد، بدون اینکه طرفین متوجه حضور او شوند. این حمله معمولاً زمانی رخ میدهد که اطلاعات حساس مانند رمز عبور، اطلاعات بانکی یا پیامهای خصوصی در حال انتقال باشند و مهاجم با استفاده از روشهایی مانند جعل گواهیهای امنیتی HTTPS یا تغییر آدرسهای DNS، کنترل مسیر ارتباطی را به دست میگیرد. نتیجه این حمله میتواند سرقت اطلاعات، نفوذ به حسابهای کاربری و دستکاری دادهها باشد که پیامدهای جدی برای کاربران دارد.
در ادامه با رایجترین انواع حملات MitM آشنا میشویم:
- Email hijacking: در این نوع حمله، مجرمان سایبری کنترل حسابهای ایمیل بانکها، مؤسسات مالی یا شرکتهای معتبر را به دست میگیرند. آنها میتوانند تراکنشها و ارتباطات میان بانک و مشتریان را زیر نظر بگیرند. در سناریوهای مخربتر، مهاجم با جعل آدرس ایمیل بانک، پیامهایی برای مشتریان ارسال میکند و از آنها میخواهد اطلاعات ورود خود یا حتی پولی را به حسابی که در اختیار مهاجم است، ارسال کنند.
- Wi-Fi eavesdropping: در این روش، مجرمان سایبری قربانی را به اتصال به یک شبکه بیسیم جعلی با نامی قابل اعتماد ترغیب میکنند. این شبکه ممکن است شبیه به شبکه یک کسبوکار نزدیک یا با نامی عمومی مانند Free Public Wi-Fi Network باشد. پس از اتصال قربانی، مهاجم میتواند فعالیتهای آنلاین او را رصد کرده و اطلاعات حساس او را سرقت کند.
- Session hijacking: در حمله Session Hijacking ، مهاجم تلاش میکند کنترل یک نشست فعال بین کاربر و یک سرویس (مثلاً وبسایت یا اپلیکیشن) را به دست بگیرد. این حمله معمولاً زمانی رخ میدهد که کاربر به یک سرویس (مثل ایمیل یا حساب بانکی) وارد شده و نشست کاربر با استفاده از یک session ID یا cookie مدیریت شود. در این نوع حمله، مهاجم با سرقت session ID، بدون نیاز به وارد کردن نام کاربری و گذرواژه، به حساب کاربر دسترسی پیدا میکند.
- SSL hijacking: در این نوع حمله، مهاجم دادههای در حال تبادل بین کاربر و سرور را رهگیری میکند، حتی اگر ارتباط به ظاهر امن و مبتنی بر HTTPS باشد. این حمله به دلیل آسیبپذیریهای موجود در نسخههای قدیمی پروتکل SSL امکانپذیر است.
- ARP cache poisoning: در این حمله، مهاجم رایانه قربانی را فریب میدهد تا آن را به عنوان Gateway شبکه بشناسد. به این ترتیب، تمام ترافیک شبکه قربانی به جای مسیر اصلی به سمت مهاجم هدایت میشود و مهاجم میتواند دادههای حساس قربانی را استخراج کند.
- Spoofing
Spoofing نوعی حمله سایبری است که در آن مهاجم با جعل هویت افراد یا شرکتهای معتبر، تلاش میکند کاربران را فریب داده و اطلاعات شخصی یا حساس آنها را به دست آورد. هدف اصلی این حملات، گمراه کردن کاربران برای فاش کردن اطلاعات مهم یا ورود به سیستمهای حساس است. در ادامه به بررسی انواع رایج حملات Spoofing میپردازیم.
- IP Spoofing: در این نوع حمله، مهاجم با تغییر بخش header بستههای IP، ترافیک را طوری جعل میکند که انگار از یک میزبان یا آدرس IP معتبر ارسال شده است. این کار باعث میشود تا مهاجم بتواند از سد ابزارهای امنیتی شبکه عبور کند و به سیستم دسترسی پیدا کند. در برخی حملات پیشرفتهتر، مهاجم با تقسیمبندی بستههایIP (Fragmentation) تلاش میکند سیستمهای تشخیص نفوذ را فریب دهد.
- Email Spoofing: در این حمله، مهاجمان با استفاده از آدرسهای ایمیل جعلی یا دستکاری دادههای سرور، آدرس فرستنده را طوری جعل میکنند که شبیه به آدرسهای معتبر و آشنا به نظر برسد.
Caller ID Spoofing: در این روش، مهاجم شماره تماس(Caller ID) را طوری جعل میکند تا به نظر برسد تماس از یک شماره آشنا یا محلی برقرار شده است. این ترفند باعث میشود افراد به تماس اعتماد کنند و دستورات مهاجم را بدون تردید اجرا کنند. این نوع حمله معمولاً با ایجاد فشار زمانی و فوریت در تماس صوتی همراه است. - Website Spoofing: در این نوع حمله، مهاجم طراحی و ساختار یک وبسایت معتبر را کاملاً تقلید میکند یا دامنهای بسیار شبیه به دامنه اصلی، با تفاوتهای کوچک در نوشتار یا پسوند، ثبت میکند. کاربران با ورود به این سایتهای جعلی، لوگوی برند واقعی را مشاهده کرده و بدون شک اطلاعات ورود خود را وارد میکنند که این اطلاعات به سرقت میرود. استفاده از گواهینامههای SSL تقلبی یا ارزان قیمت، باعث افزایش اعتبار ظاهری این سایتها میشود.
- GPS Spoofing: GPS Spoofing یک نوع حمله سایبری است که در آن مهاجم با ارسال سیگنالهای جعلی به دستگاههای گیرنده GPS، موقعیت مکانی واقعی آنها را دستکاری میکند. به عبارت دیگر، دستگاه فکر میکند که در مکان دیگری قرار دارد، در حالی که در واقع موقعیت واقعی تغییر نکرده است. این نوع حمله میتواند روی خودروها، پهپادها، کشتیها و غیره تأثیر بگذارد و باعث ایجاد خطاهای جدی در تعیین موقعیت مکانی شود.
- DNS Spoofing: در این نوع حمله، مهاجم با دستکاری رکوردهای DNS یا مسموم سازی کش DNS (DNS Cache Poisoning)، درخواستهای تفکیک نام دامنه را به سمت یک آدرس IP ساختگی هدایت میکند. بدین ترتیب، قربانی همچنان نام دامنه معتبر را مشاهده میکند اما به جای وبسایت اصلی، به سایتی جعلی منتقل میشود که هدف آن سرقت اطلاعات حساس است.
حملات SQL Injection یکی از رایجترین و خطرناکترین روشهای نفوذ به سیستمهایی هستند که برای عملکرد خود به پایگاه داده متکیاند. این حملات با سوءاستفاده از زبان SQL انجام میشوند و معمولاً زمانی رخ میدهند که مهاجم بتواند دستورات SQL را به صورت غیرمجاز در ورودیهای برنامه وارد کند. در یک حمله SQL Injection، مهاجم از طریق ارسال یک کوئری جعلی به پایگاه داده، دستوراتی را جایگزین ورودیهای رایج و مجاز مانند نام کاربری یا رمز عبور میکند. اگر سیستم به درستی اعتبارسنجی ورودیها را انجام نداده باشد، دستور مخرب به وسیله پایگاه داده اجرا میشود و امکان دسترسی به اطلاعات حساس، تغییر یا حذف دادهها و حتی اجرای عملیات مدیریتی نظیر خاموش کردن سرور را فراهم میسازد.
از مهمترین پیامدهای موفقیت آمیز بودن حمله SQL Injection میتوان به موارد زیر اشاره کرد:
- افشای اطلاعات حساس کاربران
- تغییر یا حذف دادههای کلیدی
- کسب دسترسی مدیریتی به پایگاه داده و ایجاد کنترل کامل
- توقف یا اختلال در سرویس دهی سیستم
Cross-site scripting (XSS) نوعی حمله سایبری است که در آن مهاجم کدی مخرب را به محتوای یک وبسایت معتبر تزریق میکند. سپس، این کد در صفحاتی که به صورت داینامیک برای کاربران ساخته شدهاند ، اجرا میشود. به کمک این روش، مهاجم میتواند اسکریپتهایی به زبانهایی مانند JavaScript، Java و HTML را در مرورگر کاربران اجرا کند. مهاجمان با استفاده از XSS قادرند کوکیهای session کاربران را سرقت کنند و هویت آنها را جعل کنند. همچنین میتوانند بدافزار منتشر کنند، ظاهر سایت را تغییر دهند، اطلاعات حساس کاربران را بدزدند یا اقدامات مخرب دیگری انجام دهند.
در ادامه به معرفی دو نوع اصلی XSS، خواهیم پرداخت.
- Reflected Cross-site Scripting: Reflected Cross-site Scripting یک نوع حمله سایبری است که در آن کد مخرب به صورت موقت و مستقیم در پاسخ یک سرور به درخواست کاربر تزریق میشود. در این حمله، مهاجم کد جاوااسکریپت یا اسکریپتهای دیگر را در URL یا دادههای ورودی مثل فرمها میگنجاند و وقتی کاربر روی لینک آلوده کلیک میکند، این کد در مرورگر کاربر اجرا میشود. ویژگی اصلی Reflected XSS این است که کد مخرب به صورت دائم روی سرور ذخیره نمیشود و تنها در همان درخواست و پاسخ خاص اجرا میشود.
- Persistent Cross-site Scripting: Persistent Cross-site Scripting یا Stored XSS نوعی از حملات XSS است که در آن کد مخرب به طور دائمی روی سرور قربانی ذخیره میشود و هر بار که کاربران به محتوای آلوده دسترسی پیدا میکنند، این کد در مرورگر آنها اجرا میشود. در این روش، مهاجم اسکریپت مخرب خود را از طریق ورودیهای کاربر (مانند فرمهای ارسال نظر، پیامها و یا پروفایلهای کاربری) به سایت تزریق میکند. چون سایت دادهها را بدون اعتبارسنجی و پاکسازی مناسب ذخیره میکند، اسکریپت مهاجم در محتوای صفحه باقی میماند و به تمام کاربرانی که آن صفحه را مشاهده میکنند تحویل داده میشود. وقتی کاربری صفحهای که حاوی دادههای آلوده است (مثلاً پروفایل، نظر یا پست) را باز میکند، مرورگر او اسکریپت مخرب را به عنوان بخشی از محتوای صفحه پردازش و اجرا میکند. این کد میتواند برای سرقت کوکیها، تزریق بدافزار، یا تغییر ظاهر و عملکرد سایت استفاده شود. برخلاف Reflected XSS که کد مخرب تنها در پاسخ به یک درخواست خاص وجود دارد، در Persistent XSS کد در پایگاه داده یا محتوای سایت ذخیره میشود و بارها و بارها برای کاربران مختلف اجرا میشود.
حملات zero-day زمانی رخ میدهند که هکرها از یک ضعف امنیتی در نرمافزار استفاده میکنند که هنوز توسط توسعه دهنده یا سازنده نرمافزار کشف یا رفع نشده است. این آسیبپذیریها معمولاً بلافاصله پس از عرضه نرمافزار یا در زمان کوتاهی پس از آن شناسایی میشوند و توسعه دهنده فرصت کافی برای اصلاح و ارائه به روزرسانی امنیتی برای آن ندارد. در این وضعیت، مهاجم با بهرهبرداری از این ضعف، میتواند به سیستم نفوذ کند و کنترل آن را در دست بگیرد. برای محافظت در برابر این نوع حملات، لازم است نرمافزارها را همواره به روزرسانی کرده و آخرین پچهای امنیتی را نصب کنید. همچنین، استفاده از نرمافزارهای امنیتی مانند آنتیویروس و فایروال در شناسایی و مسدودسازی رفتارهای مشکوک نقش مهمی دارد. این نوع حملات میتواند پیامدهای بسیار خطرناکی برای سازمانها و کاربران به همراه داشته باشد. مهاجمان با سوءاستفاده از این آسیبپذیریها قادرند به سیستمها نفوذ کرده و کنترل کامل آنها را در اختیار بگیرند. در چنین شرایطی، اطلاعات حساس از جمله دادههای مالی، اطلاعات کاربران یا اسرار تجاری در معرض سرقت قرار میگیرد. علاوه بر این، مهاجمان میتوانند بدافزارها، باجافزارها یا ابزارهای نظارتی را روی سیستمهای قربانی نصب کنند تا به اهداف خرابکارانه یا جاسوسی خود دست یابند. از دیگر پیامدهای این حملات میتوان به ایجاد اختلال در عملکرد سیستمها و شبکهها اشاره کرد که ممکن است فعالیتهای عادی سازمان را مختل کرده و خسارات جبرانناپذیری به بار آورد.
- DNS Tunnelling
DNS Tunneling یکی از پیچیدهترین و خطرناکترین روشهای مورد استفاده مهاجمان سایبری برای نفوذ به شبکهها و استخراج دادههای حساس است. در این روش، مهاجم دادهها یا دستورات مخرب خود را درون درخواستهای استاندارد DNS جاسازی میکند تا بتواند از مکانیزمهای امنیتی عبور کند و ارتباطات غیرمجاز خود را به صورت پنهانی برقرار سازد. از آنجایی که ترافیک DNS جزو ترافیکهای حیاتی و مجاز هر شبکهای محسوب میشود و معمولاً توسط فایروالها، سیستمهای تشخیص نفوذ و سایر ابزارهای امنیتی مسدود یا محدود نمیشود، مهاجمان میتوانند با استفاده از DNS Tunneling بدون جلب توجه، دادههای مهم و حساس سازمان را به بیرون منتقل کنند یا دستورات مخرب خود را به سیستمهای آلوده ارسال نمایند. این تکنیک به مهاجم اجازه میدهد تا حتی در شرایطی که سایر کانالهای ارتباطی تحت نظارت شدید هستند، یک تونل مخفی ایجاد کند و از طریق آن به اهداف خود برسد. DNS Tunneling میتواند برای سرقت اطلاعات محرمانه، برقراری ارتباط فرمان و کنترل (C2)، انتقال بدافزارهای پیشرفته و حتی انجام عملیات جاسوسی سایبری مورد استفاده قرار گیرد. همین موضوع باعث میشود این روش به یکی از چالشهای جدی امنیت سایبری برای سازمانها تبدیل شود.
حملات supply chain نوعی حمله سایبری پیچیده هستند که به جای هدف گیری مستقیم سازمان، زیرساختها و شبکههای تامینکنندگان نرمافزار یا سایر شرکای تجاری آن سازمان را هدف قرار میدهند. از آنجا که این تامین کنندگان اغلب به شبکه مشتریان خود متصل هستند، نفوذ به سیستمهای آنها میتواند دروازهای برای دسترسی به چندین سازمان و دادههای حساس آنها باشد. یک نمونه بارز این حملات، نفوذ به شرکت SolarWinds در سال ۲۰۲۰ بود که مهاجمان با آلوده کردن بهروزرسانی نرمافزاری، بدافزاری را به شبکه مشتریان این شرکت منتقل کردند. این بدافزار به هکرها اجازه داد تا به اطلاعات حساس و محرمانه نهادهای مهم دولتی آمریکا مانند وزارت خزانه داری، دادگستری و امور خارجه دسترسی پیدا کنند و خسارات گستردهای وارد سازند.
در ادامه به بررسی انواع مختلف حملات Supply Chain میپردازیم. شناخت دقیق این انواع حملات به سازمانها کمک میکند تا راهکارهای موثرتری برای پیشگیری و مقابله با آنها اتخاذ نمایند.
- Stolen Certificates: اگر مهاجمان گواهی دیجیتال(Digital Certificate) یک شرکت را سرقت کنند، میتوانند کدهای مخرب خود را با استفاده از این گواهی معتبر منتشر کنند. این کار باعث میشود بدافزار با ظاهری قانونی توزیع شود و شناسایی آن دشوارتر گردد.
- Compromised Software Development Tools or Infrastructure: در این نوع حمله، مهاجمان ابزارها یا زیرساختهای توسعه نرمافزار را آلوده میکنند تا از همان ابتدای فرآیند تولید نرمافزار، آسیبپذیریهایی ایجاد شود که بعدها در محصولات نهایی باقی میماند.
- Malware Preinstalled on Devices: مهاجمان بدافزار را به صورت پنهانی روی دستگاههایی مانند گوشیهای هوشمند، حافظههای USB، دوربینها و سایر تجهیزات قابل حمل نصب میکنند. پس از اتصال این دستگاهها به شبکه یا سیستم هدف، کدهای مخرب فعال میشود.
- Code Included in the Firmware of Components: مهاجمان میتوانند کد مخرب را در firmware قطعات سختافزاری قرار دهند. از آنجا که firmware نقش حیاتی در عملکرد سختافزار دارد، این کد میتواند به مهاجمان امکان دسترسی به سیستم یا شبکه هدف را بدهد.
- URL Interpretation
URL Interpretation که گاهی با عنوان URL Poisoning نیز شناخته میشود، یکی از روشهای رایج و خطرناک در حملات مبتنی بر وب است که در آن مهاجم با تحلیل دقیق ساختار و الگوی URLهای یک وبسایت، سعی میکند به بخشهایی دسترسی پیدا کند که معمولاً برای کاربران عادی و عمومی قابل مشاهده یا در دسترس نیستند. در این حمله، مهاجم با بررسی نحوه طراحی و سازماندهی مسیرهای آدرس دهی سایت (URL paths) و بهرهگیری از روشهای آزمون و خطا، به تدریج نقاط ضعف و مسیرهای مخفی را کشف میکند تا بتواند به اطلاعات یا بخشهای حساس سایت دسترسی یابد. در واقع، این تکنیک مبتنی بر سوءاستفاده از ضعفهای مدیریت دسترسی و عدم اعتبارسنجی مناسب در سمت سرور است که اجازه میدهد مهاجم با تغییر پارامترهای URL یا حدس زدن آدرسهای محافظتنشده، کنترل بیشتری روی منابع وبسایت به دست آورد.
اهداف رایج و متداول در حملات URL Interpretation عبارتند از:
- دسترسی غیرمجاز به پنل مدیریت یا بخشهای تنظیمات سایت: مهاجم تلاش میکند تا وارد بخشهای مدیریتی شود که معمولا رمزگذاری شده یا محدود به کاربران خاص است.
سرقت، تغییر یا دستکاری اطلاعات کاربران: از طریق دسترسی به پایگاه داده یا صفحات مدیریت، مهاجم میتواند اطلاعات حساس کاربران را بدزدد یا تغییر دهد. - تزریق کدهای مخرب یا بارگذاری فایلهای آلوده: مهاجم با دسترسی به فرمها یا بخشهای آپلود، کدهای مخرب خود را وارد سیستم میکند تا کنترل سایت را به دست گیرد یا سیستمهای کاربران را آلوده کند.
ایجاد Backdoor برای نفوذ در آینده: با ایجاد backdoor مخفی در سیستم، مهاجم میتواند در مراحل بعدی بدون شناسایی وارد شبکه یا سایت شود. - حذف دادهها یا ایجاد اختلال در عملکرد سامانه: به منظور اخلال در سرویسدهی یا آسیب رساندن به اعتبار سایت، مهاجم ممکن است دادهها را حذف یا سیستم را از کار بیندازد.
حمله Brute Force یکی از روشهای رایج نفوذ به حسابهای کاربری است که در آن مهاجم با آزمون و خطا، سعی میکند رمز عبور یا اطلاعات ورود یک کاربر را حدس بزند. در این روش، مهاجم تمام ترکیبهای ممکن از رمز عبور را یکی یکی امتحان میکند تا بالاخره به رمز صحیح برسد و به سیستم یا حساب مورد نظر دسترسی پیدا کند. این نوع حمله اگرچه در ظاهر ابتدایی و زمانبر به نظر میرسد، اما در عمل با کمک رباتها و ابزارهای خودکاری انجام میشود که قادر هستند در زمان بسیار کوتاهی هزاران یا حتی میلیونها ترکیب رمز عبور را آزمایش کنند. مهاجم فقط کافی است لیستی از رمزهای عبور محتمل تهیه کند، سپس ربات به صورت خودکار آنها را روی حساب هدف آزمایش میکند. به محض اینکه رمز درست وارد شود، مهاجم به سیستم نفوذ میکند.
در ادامه به مهمترین و رایجترین انواع این حملات اشاره میکنیم:
- حملات Simple Brute Force: در این نوع حمله، هکر بدون استفاده از نرمافزارهای خاص و به شکل دستی تلاش میکند تا رمز عبور یک کاربر را حدس بزند. معمولاً این حدسها بر اساس ترکیبهای ساده و رایج انجام میشود، چرا که بسیاری از کاربران هنوز از رمزهای عبور ضعیف مانند password123 یا ۱۲۳۴ استفاده میکنند یا یک رمز را برای چند حساب مختلف به کار میبرند.
- حملات Dictionary: حمله Dictionary نوعی حمله ابتدایی از انواع حملات Brute Force است که در آن، مهاجم با انتخاب هدف، مجموعهای از کلمات (مانند کلمات موجود در دیکشنری) را به عنوان رمز عبور تست میکند. نام این حمله از آنجا آمده که هکرها معمولاً از دیکشنریهای کلمات استفاده میکنند و آنها را با اعداد و کاراکترهای خاص ترکیب میکنند. این نوع حمله زمانبر است و نسبت به روشهای جدیدتر شانس موفقیت کمتری دارد.
- حملات Hybrid Brute Force: این نوع حمله ترکیبی از حملات Dictionary و Simple است. در این روش، هکر ابتدا نام کاربری هدف را میداند و با استفاده از کلمات رایج (Dictionary)، تلاش میکند رمز عبور را پیدا کند. سپس با بهرهگیری از روش Simple Brute Force، ترکیبهای متنوعی از حروف، اعداد و نمادها را امتحان میکند تا رمز عبور دقیق را کشف نماید. معمولاً این حمله با فهرستی از کلمات پرکاربرد آغاز شده و با اضافه کردن کاراکترهای تصادفی مانند سالها یا نمادها ادامه مییابد.
- حملات Reverse Brute Force: در حمله Reverse Brute Force، مهاجم ابتدا یک یا چند رمز عبور شناخته شده (مثلاً رمزهایی که قبلاً از شبکهای نفوذ کردهاند) را انتخاب میکند و سپس آنها را روی میلیونها نام کاربری امتحان میکند تا ببیند کدام حسابها از آن رمز استفاده میکنند. این نوع حمله معمولاً با رمزهای عبور ضعیف و رایج مانند Password123 انجام میشود و میتواند تعداد زیادی حساب آسیبپذیر را شناسایی کند.
- Credential Stuffing :Credential Stuffing حملهای است که از عادات ضعیف کاربران در انتخاب رمز عبور سوءاستفاده میکند. در این روش، مهاجم ترکیبهای نام کاربری و رمز عبوری را که قبلاً به دست آورده است جمعآوری میکند و آنها را در سایتها و سرویسهای مختلف امتحان میکند تا ببیند آیا کاربران از همان ترکیب برای حسابهای متعدد خود استفاده کردهاند یا خیر. موفقیت این حمله زمانی بیشتر است که افراد رمز عبور و نام کاربری مشابهی را در چندین سایت یا شبکه اجتماعی به کار ببرند.
- حملات Drive-by
در حملات Drive-by، هکرها کدهای مخرب را در وبسایتهای ناامن جاسازی میکنند، به گونهای که وقتی کاربر بدون انجام هیچ اقدامی تنها وارد آن سایت میشود، این کد به طور خودکار اجرا شده و دستگاه او آلوده میگردد. نام این حمله از این موضوع نشأت میگیرد که کاربر فقط با عبور یا بازدید از سایت، بدون نیاز به کلیک کردن یا وارد کردن اطلاعات، مورد حمله قرار میگیرد. برای محافظت در برابر این نوع حملات، ضروری است نرمافزارهای سیستم و برنامههای کاربردی مانند Adobe Acrobat و Flash همواره به آخرین نسخه به روزرسانی شوند، زیرا نسخههای قدیمیتر آسیبپذیر هستند. علاوه بر این، استفاده از ابزارهای فیلتر وب میتواند پیش از ورود به سایت، خطرناک بودن آن را شناسایی و از دسترسی به آن جلوگیری کند.
حملات Drive-by معمولاً به چند نوع مختلف تقسیم میشوند که هر کدام شیوهای متفاوت برای نفوذ و آلودهسازی دستگاهها دارند. در ادامه مهمترین انواع این حملات را معرفی میکنیم:
- Drive-by Download: در این نوع حمله، بدافزارها یا کدهای مخرب به صورت خودکار و بدون اطلاع کاربر، هنگام بازدید از یک وبسایت آلوده دانلود و روی سیستم نصب میشوند.
- Drive-by Exploit: در این حالت، مهاجم از آسیبپذیریهای مرورگر یا افزونههای نصب شده مانند Flash، Java یا Silverlight سوء استفاده میکند تا کد مخرب را به صورت خودکار اجرا کند و کنترل دستگاه قربانی را به دست بگیرد.
- Malvertising: در این نوع حمله، تبلیغات آلوده در سایتهای معتبر یا حتی سایتهای معمولی قرار میگیرند. زمانی که کاربر این تبلیغات را مشاهده یا روی آنها کلیک کند، به صورت خودکار بدافزار روی سیستم او اجرا میشود.
- Drive-by Pharming: در این نوع حمله، کاربر با بازدید از سایت مخرب به طور غیرمستقیم به سایتی دیگر که توسط مهاجم کنترل میشود هدایت میشود و این فرایند بدون اطلاع او انجام میگیرد.
