مقابله با حمله های زئوس

بازگویی عواملی که زئوس را تبدیل به تهدیدی خطرناک می نماید

بات‌نت زئوس (Zeus) طی چند سال گذشته به یکی از خطرناک‌ترین بات‌نت‌های تاریخ تبدیل شده‌ است. گزارش پیش‌رو به بازگویی عواملی می‌پردازد که زئوس را به چنین تهدید بزرگی تبدیل کرده‌است و سپس بهترین راهکارهای مقابله با آن‌ ذکر می‌شود (خلاصه‌ای از گزارش نیک لویس از سایت Networkasia).

بات‌نت زئوس به معنای واقعی کلمه یک مجموعه ابزار مجرمانه است که می‌توان با استفاده از آن با توجه به اهداف مختلف تروجان‌های متفاوتی را طراحی کرد و البته شناسایی آن تروجان‌ها نیز دشوار خواهد بود. با توجه به قابلیت‌های متعددی که می‌توان در این تروجان‌ها گنجاند و نیز تغییرات سریعی که می‌توان در قسمت‌های اجرا شونده تروجان‌ها ایجاد کرد، مجرمان اینترنتی توانسته‌اند سیستم‌های بسیاری را آلوده کرده و زیرساخت‌های کنترلی زیادی ایجاد کنند و همچنین به سازماندهی حمله‌های فیشینگ متعددی علیه سایت‌های مختلف بپردازند. حتی گزارش‌هایی منتشر شده که نشان می‌دهد، در دنیای جرائم امنیتی، زئوس‌ در قالب «‌نرم‌افزار به عنوان خدمات» (SaaS) نیزبه فروش می‌رسد و این کار را برای مجرمان ساده‌تر کرده است.

زئوس کیت‌های مختلفی دارد که یک ضدویروس جعلی نیز از آن جمله ‌است. با توجه به این‌که زئوس یک تروجان است، خود به خود تکثیر نمی‌شود و از این‌رو بدافزار دیگری نصب آن‌را برعهده می‌گیرد. پیش‌تر، از رخنه‌های امنیتی موجود در مرورگر اینترنت‌اکسپلورر برای نصب بدافزار روی سیستم‌ها استفاده می‌شد، اما بعدها ضعف موجود در تابع Launch/ پی‌دی‌اف نیز به عامل فوق افزوده شد.

در آغاز زئوس با هدف حمله به مراکز مالی و برای دسترسی به مدارک موجود در وب طراحی شده‌بود، اما امروزه می‌توان با ایجاد تغییراتی از آن برای حمله به بازارهای بورس سهام نیز استفاده کرد. به‌طور خلاصه می‌توان گفت، این تروجان چنین مدارکی را ربوده و با استفاده از یک شبکه بات‌نتی آن‌ها را به مهاجمان ارسال می‌کند. مهاجمان سپس وارد حساب‌های هک شده می‌شوند و وجوه مالی را برداشت می‌کنند. به همین دلیل، مراکز تجاری توجه بیشتری را به خود معطوف می‌کنند، زیرا به‌طور معمول در حساب‌های تجاری وجوه نقد بیشتری یافت می‌شود. بررسی‌ها درباره بات‌نت زئوس نشان می‌دهد، حمله‌های صورت گرفته توسط آن رفته‌رفته موفق‌تر و شناسایی آن دشوارتر می‌شود. اما با این‌همه راه‌هایی وجود دارد که با استفاده از آن‌ها می‌توان از حمله زئوس به سازمان‌های مختلف و پدید‌آوردن خسارت‌های مالی جلوگیری کرد. برای جلوگیری کامل از چنین خسارت‌هایی باید سطح عملیاتی آن دسته از کامپیوترهایی را که ریسک‌پذیری بیشتری دارند، مانند دستگاه‌هایی که از آن‌ها برای دسترسی به حساب‌‌های مالی حساس و داده‌های مربوط به حساب‌ها استفاده می‌شود، محدود کرد.

راهبرد بعدی، استفاده از یک کامپیوتر ویژه برای انجام تراکنش‌های مالی است. چنین کامپیوتری را می‌توان در یک شبکه محلی مجازی (vLAN) یا یک شبکه فیزیکی مجهز به فایروال که از شبکه اصلی مجزا شده، فعال کرد. در این‌صورت، حتی اگر یکی از کلاینت‌های موجود در شبکه آلوده شد، این کامپیوتر ویژه همچنان امن باقی خواهد ماند. توصیه می‌شود این کامپیوتر چنان تنظیم شود که تنها بتوان از آن برای اجرای یک مرورگر وب جهت انجام امور بانکی یا دسترسی به سایت‌های مالی مشخص استفاده کرد؛ به‌این‌ترتیب از آلوده‌شدن کامپیوتر از را‌ه‌های دیگر جلوگیری می‌شود.

چنین کامپیوتری را حتی می‌توان در قالب یک دسکتاپ مجازی که روی یک زیرساخت مجازی امن اجرا می‌‌شود نیز پدید آورد تا در صورت نیاز به تراکنش‌های مالی بتوان از راه‌دور به‌آن متصل شد. از آنجا که اتخاذ چنین راهبردی در همه مراکز ممکن نیست، می‌توان از راه‌های مؤثر دیگری نیز برای محافظت از کلاینت‌ها در برابر زئوس استفاده کرد. می‌توان برخی از قابلیت‌های مرورگر وب را غیرفعال یا محدود کرد، به‌عنوان‌مثال غیرفعال‌کردن افزونه‌ها، غیرفعال‌کردن جاوا اسکریپت و کنترل‌های اکتیواکس یا محدود کردن اجرای آن‌ها به چند سایت از پیش تعیین شده. با این‌که بارها گفته شده، اما باز هم توصیه می‌شود که از نسخه‌های به‌روز شده مرورگر استفاده شود.

همچنین باید آماده بود تا به محض شناسایی حمله زئوس، خسارت‌های آن‌را محدود کرده و در برابر آن واکنش نشان داد. یکی از فناوری‌های مؤثر برای این منظور استفاده از تجهیزات ضدبدافزار مبتنی بر شبکه یا دیگر سیستم‌های امنیتی شبکه برای بلوکه کردن حمله‌ها است. برخی از این تجهیزات امنیتی به‌طور اخص پروتکل‌های ارتباطی command-and-control را هدف می‌گیرند و باعث می‌شوند ارتباط تروجان‌ زئوس با بات‌نت قطع شود. با ارتقای قابلیت‌های کیت‌های مجرمانه زئوس، گستره تهدیدهای بات‌نت این تروجان نیز افزایش پیدا می‌کند. نباید تصور شود که زئوس تنها صنعت بانکداری را هدف می‌گیرد؛ بلکه طیف گسترده‌تری از سایت‌ها و سازمان‌ها در معرض تهدید آن هستند. باتوجه به درصد موفقیت زئوس و سودآوری آن برای مجرمان اینترنتی چنین به نظر می‌رسد که این تروجان به این زودی‌ از صحنه خارج نخواهد شد، اما راهبرد‌های ذکر شده و نیز ترکیب آن‌ها با راهبردهای پیشرفته احراز هویت می‌تواند میزان اثرگذاری زئوس را کاهش دهد.

علی حسینی