آیا می توان تنها با باز کردن یک وبسایت به بدافزار آلوده شد؟
روش های بسیاری برای آلوده شدن سیستم به انواع بدافزار و ویروس وجود دارد. در بیشتر موارد، آلوده شدن سیستم به دلیل اقدامات اولیه کاربر، مانند باز کردن یک پیوست ایمیل آلوده و یا دانلود و اجرای یک فایل مخرب از اینترنت اتفاق می افتد. اما در مواردی ممکن است حتی بدون دانلود و اجرای یک فایل مخرب، به بدافزار آلوده شوید. کافیست یک وب سایت آلوده و یا هک شده را باز کنید! به این نوع حملات اصطلاحا drive-by download گفته می شود.
در ادامه این مطلب در مورد این که حملات drive-by download دقیقا چیست، چگونه کار می کند و چگونه می توانید در برابر این نوع حمله از سیستم خود محافظت کنید، صحبت خواهیم کرد.
drive-by download چیست؟
حمله drive-by download فرآیندی است که در آن یک یا چندین بدافزار به صورت خودکار و بدون اطلاع و اجازه کاربر دانلود می شود. برخلاف بیشتر حملات بدافزاری که کاربر را به کلیک بر روی یک لینک مخرب و دانلود بدافزار وسوسه می کنند، حملات drive-by download بدون هیچ گونه تعامل کاربر انجام می شود. این حمله می تواند از طریق وبسایت های شخصی مهاجمان، وبسایت های قانونی و معتبری که هک شده اند، و یا از طریق تبلیغات مخربی که در وبسایت های نامعتبر نمایش داده می شود صورت گیرد.
به عبارت دیگر بله؛ می توان تنها با باز کردن یک وبسایت به بدافزار آلوده شد!
اغلب این حملات، از طریق اکسپلویت آسیب پذیری های شناخته شده در سیستم عامل، مرورگر و افزونه های نصب شده بر روی آن اتفاق می افتد. این آسیب پذیری ها معمولاً به دلیل سهل انگاری کاربران در نصب و اجرای بروزرسانی ها و پَچ های امنیتی است، که فرصتی مناسب برای سو استفاده هکرها فراهم می کند.
کیت اکسپلویت چیست؟
حملات drive-by download معمولاً شامل استفاده از کیت اکسپلویت است. کیت اکسپلویت مجموعه ای از ابزارها و دستورات از پیش آماده شده است که سعی در آلوده کردن خودکار اهداف با استفاده از انواع روش های ممکن را دارد.
کیت های اکسپلویت معمولا طراحی ساده ای دارند و غالباً دارای ویژگی هایی مانند کنسول مدیریت و پشتیبانی فنی می باشند که کار با آن ها را برای مجرمان اینترنتی با هر سطح سواد فنی، بسیار آسان می کند. سازندگان این کیت ها می توانند با ارائه کیت اکسپلویت خود به صورت یک سرویس، سود قابل توجهی کسب کنند.
کیت های اکسپلویت پیشرفته و مدرن، نوع سیستم عامل، آدرس IP، مرورگر ها، پلاگین ها و موارد دیگر را برای یافتن آسیب پذیری های موجود اسکن می کنند. سپس با توجه به آسیب پذیری شناسایی شده، به طور خودکار بهینه ترین روش حمله را انتخاب می کنند و شروع به آلوده کردن سیستم می کنند.
حملات drive-by download چگونه کار می کنند؟
معمولا در این نوع حملات مراحل زیر پیاده سازی می شود:
- استقرار کیت اکسپلویت: در مرحله اول، هکرها کیت اکسپلویت را درون سرور خود، یک وبسایت معتبر هک شده و یا سرویس های تبلیغاتی موجود مستقر می کنند.
- برقراری ارتباط: در این مرحله جهت انتشار محتوای مخرب، نیاز است تا قربانیان به سمت این صفحات آلوده هدایت شوند. ایجاد ترافیک برای صفحات آلوده بسته به اینکه کیت اکسپلویت چگونه مستقر شده، روش های متفاوتی می تواند داشته باشد:
- سرور شخصی هکر: جذب ترافیک برای یک وب سایت کاری چالش برانگیز است. معمولا از طریق ایمیل های فیشینگ و یا شبکه های اجتماعی برای ایجاد این ترافیک به سمت سرور هکر استفاده می شود.
- وبسایت های معتبر هک شده: وبسایت های معتبر همواره ترافیک و بازدید قابل توجهی را به صورت خودکار دارند و از این نظر کار را برای مهاجمان بسیار آسان می کنند.
- سرویس های تبلیغاتی: در این روش محتوای مخرب از طریق سرویس های تبلیغاتی منتشر می شود، تبلیغاتی که ممکن است در هر کجای فضای وب از جمله وبسایت های قانونی نمایش داده شود.
- برداشتن اثر انگشت (Fingerprinting): در این مرحله هنگامی که قربانی وارد صفحه مورد نظر می شود، کیت اکسپلویت شروع به آنالیز و اسکن دستگاه کاربر می کند تا آسیب پذیری های احتمالی را شناسایی کرده و تعیین کند که آیا این دستگاه هدف مناسبی است یا خیر.
- بهره برداری (Exploitation): اگر کاربر هدف مناسبی تلقی شود، کیت اکسپلویت به طور خودکار از آسیب پذیری های شناسایی شده برای شروع حمله و آلوده کردن سیستم هدف استفاده می کند. چنانچه آسیب پذیری خاصی شناسایی نشود، معمولا کاربر را به صفحه دیگری ریدایرکت می کنند و شانس خود را از طریق تکنیک های مهندسی اجتماعی امتحان می کنند. در صورتی که موفق شوند، می توانند قربانی را متقاعد کنند که بدافزارهای مورد نظر را با دست خود دانلود کند.
- اجرا (Execution): در مرحله آخر نهایتا فایل اجرایی بدافزار اجرا می شود. اغلب اوقات، این نوع حملات چند مرحله ای است هستند و به موجب آن ها انواع دیگر بدافزارها نیز اجرا شده و مورد استفاده قرار می گیرد.
چه بدافزارهایی در حملات drive-by download مورد استفاده قرار می گیرند؟
هکرها با استفاده از حملات drive-by download، سعی در بدست آوردن کنترل سیستم هدف را دارند. از آن جا که این حمله کاملا مستقل و بدون تعامل کاربر انجام می شود، یک روش بسیار محبوب و موثر است تا هکرها بی سر و صدا به سیستم مورد نظر دسترسی یابند و انواع فرآیند های مخرب را روی آن پیاده سازی کنند.
اینکه چه نوع بدافزاری در این حملات مورد استفاده قرار می گیرد، به هدف حمله بستگی دارد. در برخی موارد، هدف مهاجم تنها دسترسی به سیستم قربانی است. در موارد دیگر، دسترسی به سیستم اولین مرحله در یک فرآیند مخرب چند مرحله ای است. با در نظر گرفتن این نکته، هکرها می توانند در حملات drive-by download، تقریبا از تمامی انواع بدافزارها شامل باج افزارها، کی لاگرها، بکدورها و غیره استفاده کنند!
آنتی ویروس امسی سافت چگونه از شما در برابر حملات drive-by download محافظت می کند؟
اگر کاربر امسی سافت هستید، به لطف داشتن حفاظتی چند لایه که از بروزترین تکنولوژی های موجود استفاده می کنند، می توانید مطمئن باشید که از این نوع حملات کاملا در امان هستید. در ابتدا لایه حفاظتی Web Protection و افزونه امنیتی مرورگر امسی سافت، با داشتن یک دیتابیس عظیم و بروز، از اتصال شما به وبسایت های آلوده جلوگیری می کنند.
اگر بر حسب اتفاق کیت اکسپلویت به سیستم نفوذ کند و شروع به اسکن آسیب پذیری ها کند، تکنولوژی رفتارشناسی ما به طور خودکار فرآیندهای کیت اکسپلویت را رهگیری کرده و بدافزارهای دانلود شده را قبل از اجرا مسدود می کند. این شامل بدافزارهای Zero-Day نیز می شود. لایه حفاظتی File Guard نیز در صورتی که امضای مخربی در میان فایل های دانلود شده پیدا کند سریعا وارد عمل شده و از سیستم شما محافظت خواهد کرد.
نکاتی بیشتر برای جلوگیری از حملات drive-by download
رعایت نکات زیر در خصوص حملات drive-by download و به طور کلی امنیت سیستم بسیار مفید است:
- بروزرسانی ها امنیتی را به سرعت و بصورت مداوم نصب کنید.
- از وبسایت های مشکوک دوری کنید.
- نرم افزارهایی که استفاده نمی کنید را حذف کنید.
- حملات فیشینگ را بیشتر بشناسید.
- یک افزونه مسدود کننده تبلیغات بر روی مرورگر خود نصب کنید.
خلاصه
این کاملا امکان پذیر است که فقط با مراجعه به یک وبسایت، مورد حمله بدافزاری واقع شوید و سیستم شما آلوده شود. با استفاده از کیت های اکسپلویت و وبسایت های هک شده، هکرها می توانند به راحتی حملات drive-by download را انجام دهند و سیستم هدف را بدون هیچگونه تعاملی از سمت قربانی، آلوده کنند.
شما می توانید با بروز نگه داشتن نرم افزارهای خود، استفاده از یک آنتی ویروس معتبر، نصب افزونه مسدود کننده تبلیغات و شناخت حملات فیشینگ، خطر قربانی شدن در این نوع حمله را تا حد زیادی کاهش دهید.
روز خوب و بدون بدافزاری داشته باشید!
برگرفته از:
?Drive-by downloads: Can you get malware just from visiting a website
بدون نظر