تست نفوذ: حفظ دسترسی

زمانی‌ که آزمونگر نفوذ برای دسترسی به سامانه هدف تلاش می‌کند، باید به‌سختی کار کند تا به‌ اصطلاح قایق خود را شناور نگه دارد. او می‌تواند تصمیم بگیرد که یا از سامانه ربایش شده به‌عنوان یک سکوی پرتاب استفاده کند (یعنی بخشی از بات نت برای حملات DDoS یا مبارزه با هرزنامه‌ها باشد) در این لحظه به سامانه‌های دیگر حمله می‌کند، آن‌ها را پویش می‌کند و از آن‌ها بهره‌برداری می‌کند، یا به بهره‌برداری از سامانه کنونی در حالت مخفیانه ادامه دهد. هر دو اقدام می‌توانند متضمن خسارات زیادی باشند. به‌طور مثال، آزمونگر نفوذ می‌تواند یک پویشگر را تعیین کند تا تمام تردد داخل و خارج شبکه از جمله جلسه‌های FTP (پروتکل انتقال پرونده) و شبکه‌های راه دور با سامانه‌های دیگر را قطع کند تا بعداً هر زمان که بخواهد آن داده‌ها را انتقال دهد.

برای افرادی که می‌خواهند شناسایی نشده باقی بمانند لازم است که مراحل بیشتری را برای ایمن نگه‌داشتن حضور خود طی کنند. روش‌های مختلفی برای انجام این کار وجود دارند، اما معمولاً از طریق نصب زیرساخت‌های پنهان برای دسترسی مکرر و آزادانه مبتنی بر در‌های پشتی، اسب‌های تروجان، روت کیت‌ها و کانال پنهان انجام می‌شود. وقتی این زیرساخت به‌طور کامل مستقر می‌شود، آزمونگر نفوذ می‌تواند هر داده‌ای را که از نظر او ارزشمند است استخراج کند.

ابزارها و روش‌هایی برای حفظ دسترسی:

یک‌ درپشتی یا یک تروجان ابزاری متعارف برای استقرار دسترسی‌های آسان به سامانه از قبل نفوذ شده است. یک اسب تروجان دسترسی را در سطح برنامه کاربردی امکان‌پذیر می‌کند، اما برای دستیابی به آن، کاربر باید قطعه‌ای از بدافزار را به‌طور محلی نصب کند. در سامانه‌های تحت سامانه‌عامل ویندوز، اکثر تروجان‌ها خود را به‌عنوان یک سرویس نصب می‌کنند و سپس به‌عنوان یک سامانه محلی که دارای دسترسی مدیریتی است اجرا می‌شوند. به‌علاوه، آزمونگر نفوذ می‌تواند تروجان‌ها را برای سرقت کلمه‌های عبور، مجوزها و هرگونه اطلاعات حساس دیگر ذخیره‌شده روی سامانه نصب کند.

درهای پشت، درست شبیه تروجان‌های دسترسی از راه دور (RATها)، در سامانه‌های هدف نصب می‌شوند و دارای عملکرد درون‌گذاری شده بارگذاری/بارگیری هستند. آن‌ها پرونده‌های جمع‌آوری‌شده مدنظر را بارگذاری می‌کنند و سپس برای پوشش تردد خود به درگاه‌هایی نظیر درگاه ۵۳ (برای DNS) و ۸۰ و ۴۴۳ (به ترتیب برای HTTP و HTTPS) اتکا می‌کنند. TrendMicro وقایع سایبری مرتبط با عبور مهاجمان از «محدودیت اتصال در هنگام استفاده از HTTP برای انتقال داده‌ها و برای عبور از شناسایی» را گزارش کرده است. بر اساس این بررسی TrendMicro، مثال‌هایی وجود دارند که مهاجمان پرونده.ZIP حاوی تمام اطلاعات جمع‌آوری‌شده را به‌صورت دستی بارگیری می‌کنند.

یک کانال پنهان به زمانی گفته می‌شود که داده‌ها از طریق تونل‌های ارتباطی مخفی ارسال می‌شوند. تونل‎های VoIP.DNS، تونل‌های ICMP و تونل‌های HTTP ازجمله این مسیرها برای استخراج داده‌ها از درون یک شبکه هستند. تمام این کانال‌های مخفی می‎توانند داده‌های رمزنگاری‌شده را نیز ارسال کنند.

گرچه شناسایی کانال‌های مخفی غیرممکن نیست، شاید مستلزم تلاش‌های قابل‌توجهی از سوی قربانی باشد. امضاء شبکه، تجزیه‌وتحلیل جریان داده و تجزیه‌وتحلیل پروتکل برخی از شاخص‌های ناهنجاری در ترددهای خارجی هستند که یک آزمونگر نفوذ با به‌کارگیری ابزارهای صحیح می‌تواند با آن‌ها برخورد کند. بالاتر از همه این‌ها، علیرغم اینکه ابزارهای ویژه پروتکل یا برنامه کاربردی به‌سادگی اهداف امنیتی را محقق نمی‌کنند، می‌توانند نتایج بهتری را در قیاس با دیگر همتایان ویژه امنیت خود نشان دهند.

شناسایی یک کانال پنهان یک مسئله است، اما مسدود کردن آن موضوعی کاملاً متفاوت است. آزمونگر نفوذ می‌تواند:

– درخواست‌های خروجی ICMP را در مرز اطلاعات مسدود کند.

– درخواست‌های DNS به کارگزار‌ّهای خارج از شبکه شرکت را مسدود سازد. البته این مسدود سازی شامل کارگزارهای DNS داخلی نمی‌شود.

– از پروکسی‌های وب بهره گیرد تا تونل‌های HTTPS را استفاده نکند.

– تحویل پست صوتی را در موارد تونل‌بندی استخراج VoIP RTR به تأخیر بیندازد تا بتواند به یک پردازشگر صوتی ارسال کند. این پردازشگر هر بسته موجود در پست صوتی را برای وجود داده‌های رمزنگاری‌شده (به روشی مشابه نرم‌افزارهای ضد هرزنامه) بررسی خواهد کرد.

یک روت کیت نوعی بدافزار بسیار توانمند در پنهان کردن خود از یک سامانه رایانه‌ای است؛ بنابراین، آنچه روت کیت‌ها را از دیگر انواع بدافزار متمایز می‌کند توانایی بسیار بالای آن‌ها برای پنهان کردن خود به‌منظور عبور از ارزیابی‌های امنیتی رایانه است. درواقع، هدف اصلی از ساخت آن‌ها همین است.

روت کیت‌ها معمولاً با کمک اسب‌های تروجان بارگیری می‌شوند و در سکوی هدف با دسترسی سطح «کاربر» راه‌اندازی می‌شوند. زمانی که پایگاهی را در سامانه مورد حمله پیدا کردند به جاسوسی در کلمه‌های عبور و دیگر جزئیات ورود مشابه می‌پردازند تا دسترسی سطح «مدیر» را پیدا کنند. این فرآیند «ارتقای امتیاز» نامیده می‌شود. با این ‌وجود، «تخصص» واقعی روت کیت‌ها حفظ دسترسی است.

برخلاف ویروس‌های معمول که تلاش می‌کنند بیشترین خسارت را در مدت‌زمانی کوتاه وارد کنند، روت کیت‌ها در سامانه هدف به‌طور مخفیانه عمل کنند و به‌طور پیش‌رونده و تدریجی آن را از کار می‌اندازند. در نگاه اول تأکید بر واژه «پنهانی» است. به‌طور مثال، روت کیت کی‌لاگرها برای ثبت واژه‌هایی که قربانی تایپ می‌کند بدون اطلاع آن‌ها طراحی‌شده است. با این فرض که این بدافزار می‌تواند غیرقابل‌شناسایی باقی بماند، زمان زیادی برای سرقت اطلاعات حساس دارد که این نیز احتمال سرقت هویت را افزایش می‌دهد.

از این حیث، روت کیت‌ها به‌نوعی یادآور برخی اشکال انگل‌ها هستند که وارد بدن می‌شوند اما شاید سال‌ها در حالت کمین باقی بمانند تا زمانی که قدرت کافی را برای غلبه بر سیستم ایمنی از درون پیدا کنند.

۳_۴۳
اگر یک سامانه رایانه‌ای را به سه لایه اصلی تفکیک کنیم به سخت‌افزار، هسته و سطح سامانه‌عامل خواهیم رسید. در اصل، هسته مرکز سامانه‌های عامل است. غالباً روت کیت‌های سطح کاربر از فرآیندهای دارای اولویت پایین برای براندازی نرم‌افزار امنیتی استفاده می‌کنند. روت کیت‌های سطح هسته به دلایل زیر مرموز‌تر و خطرناک‌تر از دیگر همتایان سطوح دیگر خود هستند:

– آن‌ها قادرند هنگام افزودن کد خود به بخش‌هایی از هسته سامانه‌عامل حضور خود را پنهان کنند.

– زودتر از سامانه‌عامل اجرا می‌شوند.

– می‌توانند رمزنگاری را دور بزنند و کانال‌های پنهانی را برای دسترسی نامحدود به سامانه نفوذ شده ایجاد نمایند.

– اثبات‌ شده است که حذف روت کیت‌های سطح هسته و سطح راه‌اندازی غالباً کار چندان آسانی نیست.

– روت کیت‌های مستقر در حافظه هسته معمولاً هیچ اثری بر دیسک سخت از خود برجای نمی‌گذارند. همچنین، ممکن است پرونده‌ها و بخش‌هایی از دیسک را دست‌کاری کنند و حتی هسته را به‌گونه‌ای تغییر دهند که بتوانند در مقابل راه‌اندازی‌های مجدد مقاومت کنند.

روت کیت‌های نصب ‌شده در سطح هسته دسترسی کامل سطح مدیر را به سامانه‌های واقع در نقطه دید مهاجم بالقوه به دست می‌آورند. برخلاف اسب‌های تروجان، روت کیت‌ها یک مسیر دسترسی (با اهداف خوب) را درست در سطح سامانه‌عامل آماده می‌کنند.

برخی توصیه‌ها برای حذف روت کیت‌ها:

ارزیابی‌های امنیتی قدیمی مثل نرم‌افزار ضدویروس به‌تنهایی معمولاً نمی‌توانند با خطرات روت کیت‌ها مقابله کنند. به‌عنوان یک ‌راه چاره دیگر، می‌توانید یک برنامه هدفمند طراحی‌شده برای ریشه‌کنی روت کیت‌ها مثل ضد روت کیت Malwarebytes ،GMER، ضد روت کیت Sophos ، TDSSkiller و غیره را انتخاب کنید.

با این‌ حال، گاهی اوقات این ارزیابی‌ها شاید ناکارآمد باشند چون در کاهش فقط برخی از آثار منفی روت کیت بر تمام سامانه شما موفق بوده‌اند و هیچ تضمینی وجود ندارد که ا‌ین برنامه‌ها بتوانند این آثار را به‌خوبی رفع کنند. علاوه بر نرم‌افزار ضد روت کیت، می‌توان فرآیند clean slate، یعنی تهیه نسخه پشتیبان از مهم‌ترین پرونده‌ها و نصب مجدد سامانه‌عامل به‌طور کامل استفاده کرد. در شرایط عادی، اقدامی در این سطح روت کیت را به‌کلی نابود می‌کند؛ اما حتی پس ‌از این هم تضمین ۱۰۰ درصدی وجود ندارد زیرا نوعی بسیار نادر از روت کیت‌ها، روت کیت‌های سطح BIOS، می‌توانند در برابر نصب مجدد مقاومت کنند.

صرف‌نظر از میزان تلاش سرسختانه یک روت کیت برای دیده نشدن، حداقل به‌طور نظری همیشه نشانه‌هایی وجود دارد، چون هدف یک روت کیت این است که یک مسیر ورود را برای یک فرد خارجی حفظ کند.

استخراج داده‌ها

استخراج داده‌ها عبارت است از انتقال غیرمجاز داده‌ها از یک سامانه رایانه‌ای یا کارگزار فناوری اطلاعات به یک سامانه یا دستگاه خارجی. این کار را می‌توان به‌طور دستی (مشابه فرمان نسخه‌برداری- چسباندن) یا به‌طور خودکار از طریق پخش بدافزار در شبکه انجام داد.

گزارش سال ۲۰۱۵ شرکت McAfee خاطرنشان می‌کند که ۶۰ درصد از تمام موارد استخراج داده گزارش‌شده از طریق روش‌های الکترونیکی مستقیم رخ‌ داده است، در حالی‌که ۴۰ درصد باقیمانده شامل رسانه‌های فیزیکی، مثل بارگیری داده‌ها به یک‌راه‌انداز USB یا سرقت لپ‌تاپ صورت گرفته است. بخش قابل‌توجهی از این ۴۰ درصد شامل تلفن‌های همراه بوده است که شاید ناشی از پذیرش فراگیر سیاست «سیاست‌های دستگاه خود را بیاورید» در بسیاری از شرکت‌ها بوده است. از لحاظ شخصی، اطلاعات قابل‌شناسایی (PII) و اطلاعات بهداشتی شخصی (PHI) دو دسته محتوایی بالا و اطلاعات مالکیت معنوی و مالی در رده‌های بعدی قرار داشتند.

خارج کردن الکترونیکی اطلاعات معمولاً از طریق انواع مختلفی از پروتکل‌های وب، پروتکل‌های تونل‌زنی و انتقال پرونده‌ها یا رایانامه‌ها صورت می‌گیرد. در حالی‌که پروتکل انتقال پرونده (FTP) یک پروتکل شبکه استاندارد تلقی می‌شود که هدف آن انتقال پرونده‌هاست، ممکن است برای تسهیل خارج کردن داده‌ها نیز استفاده شود. پروتکل‌ها و روش‌های دیگر نیز قابل‌استفاده هستند، به‌طور مثال، بسته‌های کنترلی مسیریابی، پوسته امن، همتا به همتا؛ پیام‌رسانی فوری، ابزار مدیریت ویندوز، پنهان کردن اطلاعات درون نوارهای ویدئویی یا تصاویر و VoIP. وب‎کم‌ها، میکروفن‌ها و دستگاه‌های جنبی مشابه را می‌توان برای پایش فعالیت‌های هدف تنظیم کرد. آزمونگر نفوذ می‌تواند از انتقال پرونده‌های HTTP یا شبکه گمنامی Tor نیز به‌عنوان روشی برای پنهان کردن موقعیت و تردد استفاده کند.

گاهی اوقات پیش از خارج کردن داده‌ها، آزمونگر نفوذ می‌خواهد داده‌ها را پردازش کند تا خروج آن‌ها از سامانه آسان‌تر باشد. فعالیت‌های معمول در ارتباط با این نکته عبارت‌اند از فشرده‌سازی، رمزنگاری و حفاظت از کلمه عبور. سپس داده‌های پردازش‌شده از داخل شبکه هدف به یک کارگزار در جایی دیگر بارگذاری می‌شوند. کانال‌های تردد مشترک برای قاچاق داده‌ها مسیر ارجح به سامانه هدف هستند چون استخراج داده‌ها با نویز شبکه ترکیب خواهد شد.

بدافزار FrameworkPOS نمونه‌ای عالی از چگونگی خروج داده‌هاست. این بدافزار از روش‌های خش‌دار کردن حافظه بهره می‌گیرد تا اطلاعات کارت اعتباری ذخیره‌شده در جایی از فرآیندهایی که در نقطه هدف اجرا می‌شوند را پیدا کند. به‌محض پیدا کردن داده‌های مرتبط، نرم‌افزار مخرب تونل‌زنی DNS را انجام می‌دهد تا به‌منظور بیرون کشیدن داده‌ها به کارگزار فرمان و کنترل متصل شود. به‌علاوه، FrameworkPOS اطلاعات کارت اعتباری، نام میزبان و آدرس IP را از طریق XOR رمزنگاری می‌کند و بسته رمزنگاری‌شده را به یک درخواست HTTP اضافه می‌کند تا اطلاعات را از محیط خارج کند. این ترفند بازرسی مبتنی بر پروکسی و دیوار آتش را دچار ابهام می‌کند.

در بسیاری از موارد خروج داده‌های شناسایی نشده چیزی است که خلاف‌کاران در پی آن هستند مسئله‌ای که در حملات سایبری واقعی علیه Target و Home Depot نیز اثبات شد. دلیلش این است که بخشی از اطلاعاتی که آن‌ها سرقت می‌کنند محرمانه هستند و این ‌زمانی ارزشمند یا ارزشمندتر است که اطلاعات مخفیانه باقی بمانند.

شناسایی زودهنگام برای تهدیدهای پیشرفته و مستمر (APTها) و متوقف کردن خروج اطلاعات توسط عاملان مخرب امری حیاتی است. هر سازمانی باید یک فرآیند کشف تهدیدات کارآمد داشته باشد که به تعیین تمام فعالیت‌های مشکوک که می‌تواند مرتبط به خروج داده‌ها باشد کمک کند. سامانه کشف تهدیدات محلی واقعی باید با اتصال به یک شبکه کشف تهدید جهانی تکمیل گردد تا با آخرین روندهای امنیتی همراه باشد.

طبق گزارش شرکت Splunk Enterprise Seurity برخی از شاخص‌های قابل‌توجه خروج داده‌ها نقطه شروع خوبی برای یک بررسی کامل هستند. این شاخص‌ها عبارت‌اند از:

• فعالیت تأیید نشده درگاه

• حجم بالای ارسال و دریافت رایانامه به دامنه‌های غیر شرکت

• ارسال بیش‌ازحد رایانامه توسط میزبان

• پرس‌وجوهای DNS بیش‌ازحد

• بارگذاری به وب‌گاه‌های غیر شرکت توسط کاربران

در واقع، یکی از روش‌های مؤثر برای پیشگیری از خروج داده‌ها هر روش یا ابزاری است که تاکنون برای شناسایی و حذف عناصر خروج داده‌ها نام ‌برده شده است مثل اسب‌های تروجان، روت کیت‌ها و کانال‌های پنهان.

نتیجه‌گیری:

حفظ دسترسی مرحله‌ای از چرخه آزمون نفوذ است که دارای هدفی معین است. فراهم کردن امکان تأخیر در سامانه‌های هدف برای آزمونگر نفوذ تا زمانی که اطلاعات ارزشمند از منظر خود را به دست آورد و آن‌ها را با موفقیت از سامانه خارج سازد. با این ‌وجود، در اغلب موارد حرف زدن آسان‌تر از انجام کار است. اجازه دهید این فرآیند را با ورود بدون اجازه به منزل فردی مقایسه کنیم. وارد شدن به منزل او و راه رفتن برای مدتی در آن‌یک مسئله است و ماندن در آن برای مدتی طولانی‌تر بدون جلب‌توجه صاحب‌خانه مسئله‌ای دیگر! در حالی‌که چنین ترفند شبه هودینی (هری هودینی (۱۹۲۶-۱۸۷۴) که بهعنوان بزرگترین شعبده‌باز دنیا شناخته میشود.) شاید در دنیای سایبری کمی آسان‌تر باشد، هنوز چالش‌برانگیز است. چالش‌برانگیز اما نه غیرممکن!

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.