تشخيص ماشين هاي تسخير شده

شما مدير شبكه يك سازمان هستيد و با خيال راحت پشت سيستم خودتان نشسته و مشغول وب گردي (!!!) هستيد، در همين حال نفوذگران از طريق درپشتي، كانال هاي مخفي و ... در حال رفت و آمد به شبكه شما هستند بدون اين كه روح شما از اين موضوع خبردار باشد يا حتي به اين موضوع شك كنيد.

يكي از مهم ترين نكاتي كه شما به عنوان مدير شبكه يك سازمان بايد مدنظر داشته باشيد اين است كه چگونه مي توان فهميد ماشيني مورد نفوذ قرار گرفته است.

روش هاي زيادي براي تشخيص اين كه ماشيني مورد نفوذ قرار گرفته است وجود دارد ولي متاسفانه فقط تعداد كمي از اين روش ها داراي قابليت اطمينان در حد قابل قبول مي باشند.

در اين نوشتار قصد داريم نگاهي به قابليت اطمينان روش هاي كشف ماشين هاي تسخير شده در سازمان بيندازيم. در واقع نكته كليدي و مهم در اين جا قابليت اطمينان است.

ابتدا ببينيم به چه ماشيني تسخير شده مي گويند. يك ماشين، تسخير شده گفته مي شود اگر:

1- به طور موفقيت آميز توسط نفوذگر و با استفاده از كدهاي مخرب تحت كنترل درآمده و مورد استفاده قرار گيرد.
2- يك درپشتي يا ديگر ابزارهاي مخرب بدون اطلاع صاحب ماشين، بر روي آن اجرا شود.
3- ماشين بدون اطلاع صاحب آن به گونه اي پيكربندي شود كه به افراد غيرمجاز اجازه دسترسي بدهد.


برخي از مواردي كه ممكن است در دنياي واقعي رخ دهد به شرح زير است:

1- يك سيستم كه توسط يك كرم (worm) آلوده شده و سپس شروع به ارسال مقادير زيادي ترافيك مخرب به بيرون مي كند و سعي مي كند آلودگي را در سازمان و خارج از آن گسترش دهد.

2- امتيازات دسترسي سيستم به يك سرور FTP بدون حفاظ مورد سوءاستفاده قرار گرفته وسپس توسط نفوذگران براي ذخيره كردن و به اشتراك گذاشتن تصاوير پورنو، نرم افزارهاي غيرمجاز و ... استفاده شود.


3- يك سرور كه توسط نفوذگران تسخير شده و روي آن rootkit نصب شده است. براي ايجاد كانال هاي پنهان بيشتر به منظور دسترسي راحت تر نفوذگر، بر روي چندين سيستم، تروجان نصب شده است. هم­چنين يك IRC bot نصب شده است كه از يك كانال مشخص براي اجراي دستورات استفاده مي شود.


ممكن است با خواندن مثال هاي فوق، فكر كنيد كه "خوب، در اين موارد مي دانم چگونه سيستم هاي تسخير شده را تشخيص دهم" ولي ما مساله را در حالت كلي بررسي خواهيم كرد نه براي چند مثال خاص.

ابتدا نگاهي مي اندازيم به تكنولوژي هاي موجود براي تشخيص فعاليت نفوذگران. سيستم هاي تشخيص حمله (كه از آن ها به عنوان سيستم هاي تشخيص نيز ياد مي شود) وجود دارد كه جستجوها و تلاش ها براي حملات گوناگون را تشخيص مي دهد. سپس سيستم هاي تشخيص نفوذ قرار دارند كه روش هاي نفوذ شناخته شده مورد استفاده نفوذگران را تشخيص مي دهد. البته در اينجا ما در مورد روش هاي قابل اطمينان تشخيص ماشين هاي تسخير شده صحبت مي كنيم: تشخيص ماشين هايي كه مورد حمله قرار گرفته اند، مورد نفوذ قرار گرفته اند و اكنون توسط نفوذگران يا دستياران خودكارشان (aids) استفاده مي شوند.

همان گونه كه اشاره شد، قابليت اطمينان تشخيص مهم است. هشدارهايي كه توليد مي كنيم برخلاف سيستم هاي تشخيص نفوذ بر مبناي شبكه كاملا كاربردي و عملياتي است. به عنوان مثال به جاي هشدار "به نظر مي رسد كسي در حال حمله به سيستم شما است. اگر تمايل داريد با دقت بيش تري آن را بررسي كنيد." از هشدار "ماشين شما مورد نفوذ قرار گرفته و در حال استفاده توسط نفوذگران است، به آنجا برويد و اين كارها را انجام دهيد"


چگونه مي توانيم تشخيص دهيم كه ماشيني واقعا تسخير شده است؟
پاسخ اين سوال تا حد زيادي به اين كه چه اطلاعات و ابزارهايي با توجه به موقعيت كاربر در دسترس است، بستگي دارد. اين كه فقط توسط اطلاعات مربوط به فايروال بخواهيم ماشين تسخير شده را تشخيص دهيم يك چيز است و اين كه دسترسي كامل به سخت افزار، سيستم عامل و برنامه هاي كاربردي ماشين داشته باشيم مساله اي كاملا متفاوت است.

بديهي است تحقق بخشيدن به اين اهداف نيازمند داشتن افراد متخصص با مهارت computer forensics در سازمان و صرف زمان كافي است.

براي پيش زمينه به طور خلاصه برخي فعاليت هايي كه توسط نفوذگران روي سيستم هاي تسخير شده انجام مي شود را بررسي مي كنيم. البته واضح است كه اين فعاليت ها توسط نفوذگران بيروني است نه نفوذگران درون سازمان.

1- يك daemon درپشتي توسط نفوذگر روي يك درگاه با شماره بالا به كار گرفته مي شود يا يك daemon موجود به تروجان آلوده مي شود. اين مورد در اغلب حالت هاي تسخير شده مشاهده مي شود.

2- يك انتخاب مرسوم نفوذگران، نصب يك IRC bot يا bouncer است. چندين كانال IRC توسط يك گروه خاص براي ارتباط با سروري كه تسخير شده اختصاص مي يابد. اين مورد نيز در خيلي از حالت ها مشاهده مي شود.

3- در حال حاضر براي انجام حملات DDoS و DoS، معمولا از تعداد زيادي ماشين تسخير شده براي ضربه زدن به مقصد استفاده مي شود.

4- بسياري از نفوذگران از ماشين هاي تسخير شده براي پويش آسيب پذيري هاي ديگر سيستم ها به طور گسترده استفاده مي كنند. پويشگرهاي استفاده شده قادر به كشف آسيب پذيري ها و نفوذ به تعداد زيادي سيستم در زمان كوتاهي مي باشند.

5- استفاده از يك ماشين تسخير شده، براي يافتن يك ابزار يا نرم افزار غيرمجاز، فيلم و ... خيلي معمول است. روي سرورهاي با پهناي باند بالا، افراد قادرند در هر زماني با سرعتي در حد گيگابايت download و upload كنند. قابل توجه اين كه اغلب لازم نيست كسي براي ذخيره داده ها، سروري را exploit كند زيرا به اندازه كافي سرورهايي وجود دارند كه به علت عدم پيكربندي صحيح اجازه دسترسي كامل را مي دهد.

6- به دست آوردن مقدار زيادي پول با دزديدن اطلاعات كارت هاي اعتباري يكي ديگر از فعاليت هايي است كه نفوذگران انجام مي دهند و در سال هاي اخير رشد فزاينده اي داشته است.

7- يكي ديگر از فعاليت هاي پول ساز فرستادن هرزنامه يا واگذاركردن ماشين هاي تسخيرشده به ارسال كنندگان هرزنامه ها در ازاي دريافت پول است.

8- يكي ديگر از اين نوع فعاليت ها، استفاده از ماشين تسخير شده براي حملات phishing است. نفوذگر يك سايت بانك جعلي (مشابه سايت اصلي) مي سازد و با فرستادن email اي كه ظاهرا از طرف بانك فرستاده شده است، كاربر را وادار به وارد كردن اطلاعات دلخواه خود مي كند.

در جدول زير برخي روش هاي تشخيص ماشين هاي تسخير شده، به همراه منابع مختلف در دسترس (انساني/ تكنولوژيك) را مشاهده مي كنيد.
با بررسي جدول به يك نتيجه جالب مي رسيم. حتي اگر اعلام شود كه سيستم شما داراي كدهاي مخرب است، ممكن است همه چيز سر جايش باشد و واقعا هيچ خطري وجود نداشته باشد. دليل آن خيلي ساده است: هشدارهاي نادرست (و به طور خاص نوع مشهورتر آن يعني false positiveها).
توجه داشته باشيد كه حتي آنتي ويروس هم ممكن است داراي هشدارهاي false positive باشد. بنابراين حتي اگر آنتي ويروس هشدار داد كه سيستم شما داراي درپشتي يا تروجان است ممكن است يك هشدار نادرست باشد.

دقت كنيد كه بسياري از موارد فوق با ارتباط دادن داده هاي NIDS با داده هاي ديگر (مثل داده هاي ديواره آتش، داده هاي ميزبان، يا داده هاي يك NIDS ديگر) تسهيل مي شود و از طريق خودكار كردن بر مبناي rule اين ارتباط مي توان نتيجه گرفت كه ماشين موردنظر تسخير شده است. هم چنين تكنولوژي ارتباط مي تواند با در نظر گرفتن ديگر فعاليت هاي مرتبط كه در زمان حمله رخ مي دهد، فرايند تحقيق و بررسي را خودكار كند. در نتيجه با اين روش مي توان با قابليت اطمينان بيشتري سيستم هاي تسخير شده را تشخيص دهيم در مقايسه با زماني كه فقط از داده هاي يك NIDS استفاده مي كنيم. حتي اگر يك موتور ارتباط خوب وجود نداشته باشد، هنوز هم تحليل گر مي تواند اين مراحل را به طور دستي انجام دهد هر چند اين كار بلادرنگ نباشد.



حال به اين مساله مي پردازيم كه چگونه روش هاي فوق را در محيط عملياتي به كار گيريم. روش ايده آل به كارگرفتن راهنمايي هاي فوق به طور خودكار كه شامل استفاده از رخدادها، هشدارها و logهاي ابزارهاي امنيتي مختلف نصب شده و سپس اعمال قوانين مشخص به اين داده ها (شامل داده هايي كه از قبل روي سيستم ذخيره شده اند و داده هاي بلادرنگ)



اگر سازمان شما بودجه چنداني براي امنيت ندارد مي توانيد خودتان با استفاده از ابزارهاي متن باز اين كار را انجام دهيد. روش هاي چندي براي كشف ماشين هاي تسخير شده وجود دارد كه يك ابزار سودمند براي مقابله با نفوذگران با سطوح مختلف مهارت فراهم مي كند.

بر خلاف آن چه كه اكثر افراد فكر مي كنند، براي انجام اين كار هميشه نياز به سرويس هاي پي جويي گران نيست و مي توان با اطلاعات جمع آوري شده از شبكه، logهاي سيستم، ... اين كار را انجام داد.