مروری بر کنفرانس Botconf ۲۰۱۵

گزارشی از مارتین کروگن:
سومین کنفرانس مبارزه با بات‌نت به موفقیت بزرگ دیگری دست یافت.
تنها در سومین سال خود، کنفرانس بات‌کانف به یکی از برنامه‌های ثابت من تبدیل شده است. و بنابراین بعد از اینکه در سال‌های ۲۰۱۳ در Nantes و ۲۰۱۴ در Nancy شرکت کرده‌ام امسال نیز به بیش از ۲۵۰ نفر دیگری پیوسته‌ام که برای شرکت در کنفرانس سه روزه مبارزه با شبکه بات در مقر گوگل در پاریس فرانسه گرد هم آمده‌اند.
برنامه‌های کنفرانس کاملاً پر نبودند و شامل ۲۹ ارائه‌ی مطلب (شامل سه نطق اصلی) و جلسه‌ای برای مذاکرات میان افراد می‌شد. اگر چه ارائه‌ی غذاهای لذیذ در خلال استراحت میان سخن‌رانی‌های کوتاه و بلند به شرکت‌کنندگان کمک می‌کرد تا بتوانند دوباره برای گوش دادن متمرکز شوند.
شاید بحث برانگیزترین سخنرانی کنفرانس در مورد Ponmocup بود که بود که به وسیله‌ی محققان مؤسسه‌ی Fox-IT مارتن ون دانتزی و یوناتان کلیجنسما ایراد شد. من این بدافزار را قبلاً می‌شناختم به خصوص توسط مطالب ارائه شده به وسیله تام یولچی در کنفرانس گذشته Bot Conf که به خاطر رفتار گول‌زننده‌ی خود مشهور است و در این خصوص جیمز ویکی James Wyke در سخن‌رانی خود به آن پرداخت، اما مارتن و یوناتان جزییات خیلی بیشتری از این تهدید ارائه نمودند.
این بدافزار که بعد از اطلاعات کاربر است، رفتارهای گول‌زننده‌ی شدیدی از خود بروز می‌دهد و هنگامی که مظنون است که از یک محیط مجازی استفاده می‌کند به سراغ به کارگیری یک نرم‌افزار تبلیغاتی می‌رود، همین رفتارها موجب شده است که بسیاری آن را به عنوان یک تهدید بسیار جدی قلمداد کنند.
همچنین این بدافزار نسخه‌های منحصربه‌فردی در هر کدام از سامانه‌های آلوده قرار می‌دهد، که باعث می‌شود محققانی که تصور می‌کنند این بدافزار تهدیدی در مقیاس کوچک است گمراه شوند. در واقع این بدافزار تاکنون ۱۵ میلیون سامانه‌ را آلوده کرده است که از این میان در ۵۰۰ هزار سامانه‌ هنوز فعال است و شاید موجب درآمد فراوانی برای نویسنده‌ی آن شده باشد. محققان گزارشی را انتشار دادند که در آن برخی از تغییراتی را که به وسیله‌ی نویسندگان این بدافزار اتفاق می‌افتد شرح داده‌اند.
یوناتان در صبح روز آخر کنفرانس دوباره روی صحنه رفت تا به بحث در مورد تکامل بدافزار Cryptowall بپردازد که یک باج‌افزار مشهور است و به عنوان جانشین واقعی باج‌افزار Cryptolocker عمل می‌کند (و حتی اسم آن در نسخه‌های اولیه این باج افزار موجود بود.) یوناتان نشان داد که نویسندگان این بدافزار واقعا با دقت و کنجکاوی فراوانی پست‌های وبلاگ‌‌های فن‌آوری امنیت سایبری را مطالعه می‌کنند و اغلب مواقع از آن‌ها به عنوان گزارش تست نفوذپذیری خود بهره می‌برند.
همین کار را نویسندگان شبکه‌ی بات موس (Moose) انجام می‌دهند که بر مسیریاب‌های در خطری که بر پایه‌ی لینوکس بنا شده‌اند تمرکز دارند. الیور بیلودو Olivier Bilodeau در VB۲۰۱۵ در مورد آن بحث کرده است، اما باز هم جالب بود که درباره جزییات عمل آن بشنویم،‌ این‌که گونه این بدافزار چگونه کار می‌کند، چگونه برای به دست آوردن تشویق و لایک در شبکه‌های اجتماعی از آن استفاده می‌شود و همچنین چگونه نویسندگان آن به گزارش شرکت ESET در ماه می امسال پاسخ دادند.
یکی دیگر از شبکه‌ی بات‌های لینکوس در این کنفرانس توسط پاول جونگ (مشاور امنیتی خدمات شرکت Excellium) معرفی شد. او در مورد شبکه‌ای از کارگزارهای در معرض خطر صحبت کرد که در اندونزی راه اندازی شده‌اند. مسأله‌ی وحشتناک در این مورد این نبود که این شبکه‌ی بات بسیار پیشرفته است بلکه این بود که این بدافزار بسیار ساده است و با وجود سادگی توانسته است کارگزارهای زیادی را در دست بگیرد.
فرانک دنیس که نمایندگی شرکت میزبانی ارائه دهنده‌ی OVH را دارد، به این شبکه‌ی بات و دیگر شبکه‌ی بات‌ها از نگاهی دیگر پرداخت. این شرکت دیده است که در سوءاستفاده از میزبان در شبکه‌های بزرگ به وسیله‌ی نفوذگرها که موجب مسدود شدن و در فهرست سیاه قرار گرفتن آن توسط جامعه‌ی امنیتی شده است، سهمی دارد. بنابراین برای همکاری با این جامعه، فرانک به ارائه‌ی ابزاری به نام ERIS پرداخت که به ارائه‌دهنده‌ی خدمات میزبانی اجازه می‌دهد تا اطلاعات شبکه خود را با دیگر شبکه‌ها به اشتراک بگذارد. این اطلاعات نظیر نشانی‌های آی‌پی و گزارش‌ تحقیقات صورت گرفته که به وسیله‌ی جامعه اطلاعاتی برای اتخاذ تصمیمات بهتر می‌تواند مورد استفاده قرار گیرد.
تعدادی از سخن‌رانی‌ها نیز در مورد شبکه‌ی بات‌های معمول ویندوز انجام شد که مدت‌هاست محققان امنیتی نسبت به آن بی‌تفاوتی از خود نشان می‌دهند اما هنوز هم به عنوان یک مشکل بزرگ برای بسیاری از کاربران اینترنت مطرح هستند، به ویژه در کشورهای کمتر توسعه یافته. از جمله این موارد شبکه‌ی بات ارسال هرزنامه‌ی سالیتی (Sality) است. پیتر کلایسنر نشان داده که این شبکه‌ی بات در ابتدا در ابعاد وسیعی کار می‌کرد اما به لطف به‌روزرسانی‌های صورت گرفته توسط کاربران به میزان بسیار زیادی کم شده است. خوزه میگوئل اسپارزا که یکی دیگر از محققان مؤسسه‌ی فاکس‌ایت است درباره‌ی شبکه‌ی بات بزرگ اندرومدا صحبت کرد و به ویژه در مورد قابلیت‌های تجاری استفاده از آن به بحث پرداخت.
شاید به جا باشد گفته شود که کنفرانس Bot Conf با حذف شبکه‌ی بات Dorkbot همزمان شده است. در حالی‌که هیچ بحثی در مورد این شبکه‌ی بات نبود، جان بامبنک به ارائه‌ی مطالبی جالب توجه از مقابله‌ها با این شبکه‌ی بات به طور کلی، نحوه‌ی کارکرد آن و مزایا و معایب آن پرداخت.
سخن‌رانی‌های کوتاه‌تری نیز در این کنفرانس انجام شد. یکی از این سخن‌رانی‌ها از سوی لوکاس سیویرسکی در مورد یک شرکت لهستانی بود که به وسیله‌ی مهندسی اجتماعی مورد نفوذ قرار گرفت و در نتیجه فهرست مشتریانش (برای حمله به اطلاعات آن‌ها) سرقت شد. اما در پی این ماجرا این شرکت ادعا کرد که مشکلی در میان نبوده است و از یک روزنامه‌نگار به خاطر گزارشی که در این زمینه ارائه کرده بود شکایت کرد. در یکی دیگر از سخن‌رانی‌ها متخصص سیسکو ورونیکا والروس Veronica Valeros به شرح این نکته پرداخت که هنگامی که وی چند هفته یک بدافزار آزمایشی را در محط آزمایشی سندباکس قرار داده است، چه اتفاقاتی روی داده است. در واقع او گفت که این بدافزار بعد از چند روز رفتاری کاملا متفاوت از خود بروز داده است، و شروع به بارگیری و حمله به وب‌گاه‌‌های ورد پرس کرده است.
این سخن‌رانی‌ها به مباحث دیگری نیز کشیده شده‌اند، کشف سندباکس، DarkComet، Regin و DGA ها نیز در این کنفرانس مطرح شدند. خاویر مرتنس همچون همه‌ی کنفنرانس‌های اروپا درباره‌ی همه‌ی سخن‌رانی‌هایی ارائه شده در روزهای اول و دوم و سوم مطالب را منتشر کرد، بنابراین رعایت عدالت برای همه سخن‌رانانی که در کنفرانس سوم بوت کوف به سخن‌رانی پرداختند، یک موفقیت بزرگ برای وی بود.
البته موفقیت این رویداد در ابعاد وسیع به فعالیت شدید و سخت اریک فریسینت و همکاران او، و همینطور میزبانی سخاوتمندانه گوگل و بسیاری از دوستان قدیم و جدیدی که من در این کنفرانس در پاریس ملاقات کردم وابسته بود. از اکنون من مشتاقانه منتظر برگزاری چهارمین کنفرانس Bot Conf در سال ۲۰۱۶ در لیون هستم.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.