کشف و شناسایی سرقت اطلاعات مربوط به سامانه نام دامنه

با بررسی کشفیات جدید در مورد بدافزارهای Wekby و پایانه فروش  که از درخواست سامانه نام دامنه  به‌عنوان کانال کنترل و دستور استفاده می‌کنند، این مسئله را می‌توان فهمید که ممکن است سامانه نام دامنه به‌عنوان یک کانال اعمال خرابکارانه مورد استفاده قرار گیرد. اگرچه یک تحلیل‌گر ماهر به دلیل آشنایی کامل با فعالیت‌های طبیعی سامانه نام دامنه یک سازمان، می‌تواند به‌سرعت اتفاقات غیرعادی را رصد کند، اما بررسی اتفاقات حوزه سامانه نام دامنه کاری وقت‌گیر و طاقت‌فرساست. در شرایط و محیطی که نمی‌توان به‌خوبی تشخیص داد اطلاعات مخرب سامانه نام دامنه چه ویژگی‌هایی می‌توانند داشته باشند، مسئله مهم این است که چگونه می‌توان درخواست‌های مخرب این بخش را از درخواست‌های ساده و عادی تشخیص داد؟

همه ما در ذهن خود مدل‌های ناخودآگاهی را داریم که به توقعات و درک ما از محیط شکل می‌دهند و به ما کمک می‌کنند که شرایط و محیط غیرعادی را به‌سرعت شناسایی کنیم. یک اتفاق عجیب و غیرعادی در همسایگی ما باعث بروز حس کنجکاوی ما می‌شود و در پی آن ما می‌خواهیم بفهمیم چه اتفاقاتی در حال رخ‌دادن است. ما توقعات خود از شرایط عادی را با مشاهدات خود مقایسه می‌کنیم و اگر این دو مسئله یکسان نباشند، در پی دلیل این عدم تناسب خواهیم بود. می‌توان همین روش را برای اتفاقات سامانه نام دامنه نیز به کار برد. اگر ما یک خط‌‌مشی و یا یک مدل از «شرایط عادی» بسازیم، می‌توانیم مشاهدات خود را با آن مدل مقایسه کنیم و تفاوت شرایط حاضر را با شرایط عادی تعیین‌شده در مدل بسنجیم.

همه ما با درخواست‌های عادی سامانه نام دامنه، مثلاً درخواست آدرس IP وب‌گاه «www.cisco.com» آشناییم، اما باید بفهمیم که چه نوع درخواستی غیرعادی به نظر می‌رسد و نیازمند بررسی شدن است. یک بدافزار می‌تواند با کد کردن اطلاعات دزدیده‌شده به‌صورت زیردامنه، آن را به‌صورت یک دامنه‌ عادی درآورد و در پی آن کارگزار نام، تحت کنترل نفوذگر دربیاید. با بررسی بخش مراجعه نام دامنه و درخواست برای وب‌گاه «long-string-of-exfiltrated-data.example.com»، درخواست مراجعه به کارگزار نام example.com ارسال خواهد شد. این کارگزار نام نیز با ثبت «long-string-of-exfiltrated-data»، پاسخ بدافزار را به‌صورت کد شده خواهد داد.

در این شرایط،‌ ما فکر می‌کنیم که زیر دامنه مرتبط با این درخواست‌ها، پرکارتر از زیر دامنه درخواست‌های عادی هستند و کار آن‌ها بیشتر به طول می‌انجامد. در این مورد،‌ ما می‌توانیم با تقسیم طول زیر دامنه هر درخواست سامانه نام دامنه،‌ یک مدل ریاضی بسازیم که نشان‌دهنده شرایط عادی باشد. سپس می‌توان از این مدل ریاضی برای تشخیص شرایط غیرعادی استفاده کرد.
با حذف نام دامنه و همچنین افزونه دامنه یک نمونه از درخواست‌های سامانه نام دامنه،‌ می‌توان فراوانی تکرار طول زیر دامنه را محاسبه کرد. پس‌ازاین کار،‌ نمودار زیر حاصل می‌شود:

۱_۵۸
خط‌های نارنجی نشان‌دهنده توزیع طول زیر دامنه از یک نویسه (کاراکتر) تا ۶۵ نویسه را نشان می‌دهد. اگرچه این مقدار دقیق نیست،‌ اما میزان توزیع، به منحنی نمایی مسطح که به رنگ زرد نشان داده شده است، نزدیک‌تر است. ما می‌توانیم از این منحنی به‌عنوان یک شاخص برای شرایط عادی استفاده کنیم و مقدارهای عینی موجود را با این منحنی مقایسه کرده و در صورت بروز مشکل، ‌از آن مطلع شویم.

در این نمودار به‌وضوح مشخص است که زیر دامنه‌های دارای سه نویسه بیش از آنچه که انتظار می‌رفت، رخ‌داده‌اند. این مسئله به دلیل پیشوند «www» است که یک‌رشته نویسه پرکاربرد است. برای اینکه بفهمیم چه بخش‌هایی بیش از انتظار ما تکرار شده‌اند، می‌توان مقدارهای موجود را بر مقدار پیش‌بینی‌شده در منحنی تقسیم کرد و سپس میزان غیرعادی بودن شرایط حاضر را سنجید.
با استفاده از این روش محاسبه برای تمامی مقدارهای طول و همچنین نمایش این مقادیر در نمودار، نموداری را خواهیم داشت که نشان می‌دهد شرایط حاضر تا چه حد با انتظارات و مدل ما از شرایط عادی در هر طول زیر دامنه، متفاوت است:
۲_۵۳

همان‌طور که مشخص است، تعدادی از طول زیر دامنه‌ها دارای فراوانی‌های غیرعادی هستند؛ به‌عبارت‌دیگر، میزان تفاوت نسبت به شرایط عادی آن زیاد است که فقط چند مقدار را باید برحسب ۱۰۰۰ در نمودار قرار دهیم.
در این شرایط، می‌توان با توجه به این مقدارهای غیرعادی، کار ِدستی (انسانی و نه رایانه‌ای) لازم برای بررسی اتفاقات سامانه نام دامنه را کاهش داد. بسیاری از این زیر دامنه‌های طولانی در اصل خدمات ابری قانونی و یا شبکه‌های توزیع محتوا هستند. درعین‌حال، تعدادی از دامنه‌ها با زیر دامنه‌های دارای نویسه  ۲۳۱ و ۲۳۳ جالب‌توجه بودند.

علی‌رغم اینکه از هر کارگزار نام دامنه برای چندین شبکه متفاوت استفاده شده است، در دامنه‌ها ویژگی‌های غیرعادی گزارش شده است. در این مورد، ‌مشاهده شده است که برای هر دامنه، صدها زیر دامنه وجود دارد، اما هر زیر دامنه مشخص تنها یک‌بار مورد دسترسی قرار گرفته است. درعین‌حال، مشخص شده است که هر مراجعه به سامانه نام دامنه ، «۱۹۲.۱۶۸.۰.۱» را برگردانده است.

وبگاه Dojfgj.com دارای یک دامنه مخرب است که بدافزار Multigrain با استفاده از آن اقدام به سرقت اطلاعات مربوط به شماره کارت‌های نقدی کرده است. شباهت‌های موجود میان سه دامنه Dojfgj.com و amouc.com و beevish.com نشان می‌دهد که دو مورد آخر که چندان معروف هم نیستند، در اصل از مورد اول ساخته‌شده‌ و با آن مرتبط هستند.

بدافزار Multigrain با استفاده از یک روش کدکردن ۳۲ نویسه‌ای اقدام به سرقت اطلاعات از دستگاه‌های آلوده‌شده می‌کند. اگرچه روش کار این بدافزار در مقایسه با روش کدکردن معروف ۶۴ نویسه‌ای، ازنظر حجم، کارایی کمتری دارد، اما روش ۶۴ نویسه‌ای از الفبایی استفاده می‌کند که شامل نویسه‌هایی از a تا z و از اعداد ۲ تا ۷ می‌باشد. اعداد ۰ و ۱ به دلیل شباهت به نویسه‌های O و I از الفبای base۳۲ حذف شدند. مزیت کدکردن به این شکل این است که هیچ نویسه‌ای وجود ندارد که نتوان از آن در مراجعه به سامانه نام دامنه استفاده کرد و همچنین استفاده از حروف بزرگ انگلیسی در آن‌ها اجباری نیست.

بخش بزرگی از درخواست سامانه نام دامنه توسط بدافزار Multigrain به این شکل رمزنگاری می‌شود، اما در این شرایط بخش اول که شناساگر دستگاه آلوده‌شده را کد می‌کند، قابلیت خوانده ‌شدن را دارد. برای مثال، بخشی که در رشته زیر با nu۶t شروع می‌شود، پس از رمزگشایی، m=۳۷۵۳۵۶۰۹۴۸ را به ما می‌دهد:

ooo.nu۶tgnzvgm۲tmmbzgq۴a.rkgo-redacted—tw۵.۵z۵i۶fjnugmxfowy.beevish.com

برای طراحی مدل رفتار عادی می‌توان از هر ویژگی درخواست‌های سامانه نام دامنه، مانند طول نام دامنه، تعداد زیر دامنه‌ها و … استفاده کرد و رفتار حاضر را با رفتار عادی یا مدل مقایسه کرد.

با نظارت بر اتفاقات رخ‌داده در سامانه نام دامنه، می‌توان به‌خوبی حملات را شناسایی کرد. هنگامی‌که شما اطلاعات را به میزان لازم در اختیار دارید، می‌توانید با استفاده از روش‌های ساده برای مدل‌سازی از این اطلاعات بخش‌هایی که نیازمند نظارت بیشتر هستند را شناسایی کنید. نظارت بر همین بخش‌ها نقطه تفاوت شبکه‌های قوی و شبکه‌های آلوده شده است.

منبع: asis

    درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.