استفاده از داده‌های سرویس نام دامنه برای کاهش خطرات باج‌افزار Locky

معمولاً باج‌افزارها و سایر تهدیدات سایبری توسط روش‌های معمول و سنتی مانند سامانه‌های ضدبدافزار، بررسی عمیق بسته‌ها و یا جعبه‌های شنی، شناسایی و مشاهده نمی‌شوند. گزارشی که توسط آزمایشگاه Lastline منتشر شده، نشان می‌دهد 51 درصد از بدافزارهای روز-صفرم توسط سامانه‌های ضدبدافزار شناسایی نشده‌اند.

 

یکی از باج‌افزارهای قدرتمند که در یک سال اخیر بسیاری از سازمان‌ها و اشخاص را تهدید کرده، باج‌افزار Locky است. این باج‌افزار توانسته در طول یک روز 100 هزار دستگاه را آلوده کند. محققان امنیتی تخمین می‌زنند سهم باج‌افزار Locky در آلودگی‌های باج‌افزاری برابر با 17 درصد بوده است.

 

پیش از پرداختن به بحث اصلی، بد نیست سری به آمار و ارقام بزنیم تا از قدرت و گستره‌ی نفوذ این باج‌افزار مطلع شویم. در سه‌ماهه‌ی دوم سال 2016 از هر 10 رایانامه‌ای که حاوی ضمیمه‌ی مخرب بودند، 7 مورد باج‌افزار Locky را توزیع می‌کردند. میانگین مقدار باج که این بدافزار درخواست می‌کند چیزی حدود 459 دلار است. این باج‌افزار می‌تواند 160 نوع پرونده را رمزنگاری کند. تاکنون بیشترین باجی که این باج‌افزار دریافت کرده 17 هزار دلار است. تعداد دستگاه‌هایی که روزانه در سراسر جهان به این باج‌افزار آلوده می‌شوند 90 هزار دستگاه است. باج‌افزار Locky در حال حاضر روزانه سودی برابر با 1.6 میلیون دلار را عاید نویسندگان این باج‌افزار می‌کند.

 

باج‌افزار Locky معمولاً توسط پویش‌های هرزنامه‌ای توزیع شده و ادعا می‌کند که حاوی ضمیمه‌ای با عنوان فاکتور است. باوجود تمامی آموزش‌هایی که به کاربران داده شده تا بر روی پیوندهای مشکوک کلیک نکنند، با این‌حال باج‌افزار بسیار زرنگ بوده و حتی کارکنان بخش فناوری اطلاعات را نیز فریب می‌دهد و در نهایت کاربران بر روی این پیوند کلیک کرده و بدافزار بارگیری می‌شود.

 

پس از اینکه باج‌افزار بارگیری شد، به کارگزار دستور و کنترل خود متصل می‌شود تا کلیدهای مورد نیاز برای رمزنگاری پرونده‌ها را دریافت کند. سه روش معمول و شناخته‌شده وجود دارد که باج‌افزار از طریق این روش‌ها می‌تواند با کارگزار دستور و کنترل خود ارتباط برقرار کند:

•  ارتباط مستقیم IP

•  استفاده از تعدادی دامنه‌ی ثابت

•  استفاده از الگوریتم‌های تولید دامنه1 مبتنی بر زمان که مجموعه‌ای از دامنه‌های تصادفی را تولید می‌کند که تنها برای چند روز معتبر هستند.

 

در این پست قرار است از نقش سرویس DNS در این مرحله صحبت کنیم. محققان امنیتی می‌توانند داده‌های DNS را تحلیل کرده و سازوکار استفاده‌شده در ارتباطات دستور و کنترل را کشف کنند. اگر بتوان این ارتباطات را مسدود کرد، قابلیت‌های باج‌افزار Locky در رمزنگاری پرونده‌ها محدود می‎شود و کاربرانی که سامانه‌های آن‌ها آلوده شده، از امنیت بیشتری برخوردار خواهند بود.

 

متأسفانه الگوریتم‌های تولید دامنه‌ای که توسط Locky برای ایجاد دامنه‌های دستور و کنترل مورد استفاده قرار می‌گیرد با یک مقدار امنیتی اولیه ترکیب شده و مسدود کردن این دامنه‌ها را مشکل می‌سازد. باج‌افزار Locky دائماً این مقدار اولیه را تغییر می‌دهد و مهندسیِ معکوس بدافزار برای یافتن این مقدار اولیه بسیار دشوار است. هر مقدار اولیه موج جدیدی از بهره‌برداری‌ها را نشان می‌دهد.

 

اما بررسی‌های انجام‌شده بر روی پرس‌وجوهای گمنام DNS با استفاده از روش‌های تشخیص ناهنجاری و فناوری‌های همبستگی نشان می‌دهد که شناسایی این دامنه‌های مشکوک که توسط Locky مورد استفاده قرار می‌گیرد، به‌طور بلادرنگ امکان‌پذیر است. شرکت فورس‌پوینت یکی از شرکت‌هایی است که بر روی الگوریتم‌های تولید دامنه‌ی‌ باج‌افزار Locky کارهایی را انجام داده است. با داشتن الگوریتم‌های تولید دامنه و انجام پردازش‎های دیگر بر روی دامنه‌های مشکوک، می‌توان مقادیر اولیه‌ی جدید که Locky استفاده می‌کند را شناسایی کرد.

 

  • 1. Domain Generation Algorithm
0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید