بخشی از مقاله
چکیده
با محبوبیت شبکههای آنلاین اجتماعی، زمینه سوء استفاده برای سود جویان اینترنتی دو چندان شده است، چرا که بستر شبکه-های اجتماعی زمینه مناسبی را برای پخش هرزنامهها و بدافزارهای مختلف فراهم آورده است. یکی از این بدافزارها، باتهای اجتماعی می باشدکه از شبکههای اجتماعی به عناوین مختلفی سوء استفاده میکند.
از طرفی آسان بودن گسترش باتها در این شبکهها و استفاده از این بستر به عنوان کانال فرمان و کنترل، سبب شده که طراحان باتنتها تمایل زیادی به استفاده از این شبکه-های اجتماعی پیدا کنند. در این مقاله به معرفی تعدادی از باتهای اجتماعی شناخته شده، روشهای انتشار، بررسی ویژگیها و راه های شناسایی این نوع از باتهای اجتماعی پرداخته می شود. هدف از این پژوهش، تجزیه و تحلیل و مقایسه رفتار این نوع از بات-نتها با یکدیگرست.
-1 مقدمه
یکی از بزرگترین تهدیدات امنیتی بر بستر اینترنت باتنتها هستند. باتنتها از دو واژه ی کلیدی BOT که اشاره به ربات و NET که اشاره به NETWORK دارد، تشکیل شده است. یعنی رباتی که در شبکه اینترنت کار میکند. باتنت به تعداد زیادی از باتها گفته میشود، که به سیستم کاربران عادی نفوذ کردهاند. براساس گزارش جهانی امنیت اینترنت[1]، تایپه به شهری با بالاترین تراکم باتنتها تبدیل شده است، که بالای 80% کامپیوترها و گوشیهای هوشمند آن ممکن است به بات آلوده باشند. باتنتها از سه عنصر بات، سرور فرمان و کنترل و مدیربات تشکیل شده و تهدیدات آنها نیز توسط این عناصر سازماندهی میشود. عملکرد این عناصر به شرح زیر است:
- 1 بات، یک برنامه نرمافزاری است که بر روی میزبانهای آسیب پذیر نصب شده و قادرست اقدامات مخربی را انجام دهد. پس از اینکه برنامه بات بر روی کامپیوتری نصب گردید آن کامپیوتر، به یک بات یا زامبی تبدیل می-شود.
- 2 سرور فرمان و کنترل، دستورات را از مدیربات دریافت کرده و برای دیگر باتها ارسال میکند.
- 3 مدیربات یا هدایت کننده بات، شخص یا گروهی از اشخاص است که باتها را با ارسال دستورات خود، از راه دور کنترل میکنند تا فعالیتهای غیرقانونی یا مخرب را انجام دهند.
ویژگی منحصر به فردی که باتنتها را از دیگر بدافزارها متمایز میسازد، زیر ساخت ارتباطی آن یعنی کانال فرمان و کنترل است، مدیربات از کانال فرمان و کنترل برای دستور دادن به باتها به منظور انجام فعالیتهای مخرب - سرقت اطلاعات حساس، تخریب بخش هایی از سیستم قربانی و... - استفاده میکند . از جمله می توان به STUXNET اشاره کرد، که خسارت زیادی را به سانترفیوژهای ایران وارد کرد.
شبکههای آنلاین اجتماعی، بستر مناسبی را برای مدیرباتها جهت کنترل و هدایت باتها فراهم کرده است. باتنتهای اجتماعی برای اولین بار در سال 2009 کشف شدند. که می توان به Koobface و Nazbot اشاره کرد، که Koobface در Facebook ، Twitterو Myspace؛ و Nazbot در Twitter فعالیت میکردند.
در این مقاله ابتدا با معرفی تعدادی از باتهای اجتماعی ویژگیهای هر یک را بیان شده، و راه های مقابله با آنها و ابزارهای شناسایی آنها معرفی میگردد.
سایر بخشهای مقاله به شرح زیر سازماندهی شده است: بخش 2 دلایل محبوبیت شبکههای اجتماعی برای باتنتها، بخش 3 انواع باتنتهای شبکههای اجتماعی، بخش 4 روشهای انتشار، بخش 5 روش کاری و ویژگیهای باتنتهای اجتماعی، بخش 6 روشهای مقابله باتنتها در برابر شناسایی و ابزارهای شناسایی باتنتهای شبکههای اجتماعی، بخش 7 مقایسه باتنتهای شبکههای اجتماعی مختلف را عنوان میکنند، و در نهایت نتیجهگیری و بررسی کارهای آتی میپردازد.
-2 دلایل محبوبیت شبکههای اجتماعی برای بات-نتها
در ابتدا دلایل استفاده از شبکههای اجتماعی از دید مدیرباتها مورد بررسی قرار میگیرد سپس دلایل محبوبیت شبکههای اجتماعی از دیدگاه باتهای اجتماعی بیان میگردد.
دلایل محبوبیت شبکه های اجتماعی برای مدیر باتها و باتنتها به شرح زیر میباشند:
-1 زیر ساخت ارتباطات شبکههای اجتماعی میتواند، به عنوان کانال C&C باتنتها، مورد استفاده قرار گیرد .[11]
-2 تعداد کاربرانی که از شبکههای اجتماعی استفاده میکنند بسیار زیاد است و همین مورد پتانسیل بالقوه ای را برای باتنتها جهت پخش لینکهای بدافزارها، فراهم میآورد .[11] به عنوان مثال: Koobface با ارسال URL های مخرب و مبهم برای قربانی هایش در Facebook و Twitter قصد گسترش خود را دارد
-3 هزینه پایین ارسال پیام در شبکههای اجتماعی توجه بسیاری از باتنتها را برای پخش انواع هرزنامه ها در شبکه های اجتماعی جلب کرده است، که این مورد سود قابل توجهی را برای مدیر باتها به همراه داشته است.
به عنوان مثال: تحقیقات در سال 2012 نشان داده است که 40% از اکانت های Facebook و Twitter و دیگر شبکه های اجتماعی محبوب، یک اکانت پخش کننده هرزنامه - آلوده به بات - هستند و 8% از کل پیامهایی که در شبکههای اجتماعی ارسال میشوند، هرزنامه هستند
-4 توانایی بالای مخفیسازی باتنتهای شبکههای اجتماعی.[7,8] به عنوان مثال: StegoBot ها این قابلیت را دارند تا اطلاعات را درون عکس ها مخفی کنند، به گونهای که در عکس هیچ گونه تغییری ایجاد نشود
-5 توانایی رمزگذاری دستورات به کمک الگوریتم های RSA یا 1MD5 در شبکه های اجتماعی و سخت شدن شناسایی آنها توسط محققان امنیتی.[9] به عنوان مثال:ASP2P، یک نمونه از باتنتهای شبکههای اجتماعی است که از این تکنیک استفاده میکند.
-6 باتنتهای شبکه های اجتماعی با تقلید رفتار کاربران عادی و داشتن آدرس IP معتبر، راه شناسایی خود را برای محققان امنیتی سخت و دشوار کرده است
-7 ایجاد/خرید اکانت برای باتنتها، توسط مدیرباتها کار آسانی است.[10] به عنوان مثال: خرید هزار حساب کاربری Twitter برای مدیر بات هزینهای معادل 57 دلار را به همراه دارد.
-3 انواع باتنتهای شبکه های اجتماعی
پس از شناسایی اولین بات اجتماعی در سال 2009، تلاشهای محققان امنیتی منجر به شناسایی تعدادی از باتهای اجتماعی گردید، البته تعدادی از باتهای اجتماعی توسط خود محققان امنیتی ساخته شده است، که بعضی ویژگیهای باتهای معمولی و باتهای اجتماعی را به ارث میبرد. و هدف محققان بررسی ویژگیهای جدید باتهای ترکیبی بوده است.
در زیر به معرفی تعدادی از باتنتهای شبکههای اجتماعی که تا به امروز کشف شدهاند پرداخته شده است:
Koobface -1
ASP2P -2
DR-SNBOT2 -3
SoCellBot -4
StegoBot -5
Wbbot -6
SocialNetworkingBot -7
Facebot -8
Nazbot -9
FaceCat -10
در ادامه اطلاعات بیشتری دربارهی این باتنتها آمده است.
-4 روش های انتشار
در این قسمت به معرفی انواع روشهای انتشار تعدادی از باتنتهای شبکه-های اجتماعی پرداخته شده، و نحوه ی نفوذ این باتها، به سیستمهای کاربران عادی برای سوء استفاده از سیستمهای آنها، بیان می شود.
:Koobface -1 این نوع بات اجتماعی با ارسال URL های مخرب و مبهم به قربانی هایش در Facebook و Twitter که اکانت آنها به خطر افتاده است و با هدایت قربانی به یک صفحه جعلی در Facebook یا Twitter بدافزار را روی آنها نصب میکند. همچنین این نوع از باتهای اجتماعی با استفاده از هرزنامه ها خود را گسترش میدهند
:ASP2P -2 این نوع بات اجتماعی با رمزنگاری دستورات و با کمک ساختار سلسله مراتبی P2P ترکیبی3 میتوانند به سرعت منتشر شوند.[9] همچنین ASP2P ها با استفاده از هرزنامه آگاه به متن4 و استفاده از پروتکل HTTP راه را برای انتشار خود هموار میکنند.
:SoCellBot -3 این نوع بات اجتماعی به دو طریق خود را می-تواند گسترش دهد:
1 - سوء استفاده از آسیب پذیری سیستمعاملهای گوشیهای هوشمند نظیر: IOS، Android،. Symbian
- 2 با نفوذ به بخشهای به خطر افتادهی گراف شبکههای اجتماعی، تعدادی پروفایل جعلی ایجاد میکند تا از این طریق کاربران عادی را آلوده نماید.
:StegoBot -4 این نوع بات اجتماعی توانایی پنهان کردن اطلاعات مخرب را در درون عکس دارند. به طوری که هیچ گونه تغییری در عکس ایجاد نشود، سپس با دانلود شدن این عکس توسط کاربر عادی، سیستم کاربر قربانی، آلوده به این نوع بات میشود.[8] همچنین StegoBotها با پخش URLهای مخرب در بین ایمیل های عادی میتوانند خود را گسترش دهند.
:FaceCat -5 این نوع از باتها با سرقت کوکیهای Facebook کاربرانی که از مرورگر IE استفاده میکنند، راه را برای ورود غیر مجاز خود به حسابهای کاربری کاربران قربانی فراهم میآورند .[7]
:Torping Botnet -6 این نوع بات با استفاده از راهاندازی به وسیله دانلود5، کاربران عادی را آلوده میکند .[12]
-5 روش کاری و ویژگیهای باتنتهای شبکه-های اجتماعی
در ابتدا ویژگیهای هر یک از باتهای معرفی شده در بخش 3، مورد بررسی قرار میگیرد، سپس نحوه سوء استفاده آنها از شبکههای اجتماعی و کاربران قربانی تشریح میگردد:
:Koobface -1 از کاربران شبکههای اجتماعی برای ایجاد حساب کاربری در این شبکهها استفاده نموده و با استفاده از مهندسی اجتماعی خود را با کاربران قربانی دوست میکند، تا بدافزارها را از طریق ارسال هرزنامه بر روی آنها اجرا نماید.[12] مدیر باتها از طریق HTTP پیامهای رمزنگاری شده را به بات ها ارسال میکند. سپس باتها با رمزگشایی این پیامها، جهت اتصال به سرورهای C&C متفاوت می بایست یک سری اجزای متفاوت را دانلود و اجرا نمایند. در نتیجه به کمک این اجزای متفاوت به سرور های متفاوت C&C متصل میشوند، تا به اجرای دستورات متفاوتی که شامل پخش URLهای، Koobface است بپردازند.[6] همچنین حوزهی کاری Koobface در Facebook و Twitter میباشد.
:ASP2P -2 این نوع از باتنتها با ترکیب ویژگیهای مثبت شبکه-های اجتماعی و ساختار P2P ترکیبی ایجاد شدهاند. ASP2P باتنتها توانایی بالقوهای در مخفیسازی دستورات در پروتکل HTTP دارند، درنتیجه راه را برای شناسایی خود، به حداقل رساندهاند. ASP2Pها از شبکههای آنلاین اجتماعی که سیاست ناامنی دارند به عنوان سرور C&C برای منتشر کردن دستورات رمزنگاری شده ی خود استفاده میکنند .[9] این نوع از بات-نتها را میتوان به دو دسته تقسیم کرد :
: Server Bots - 1 دستورات را از سرور اصلی گرفته و همچون سروری این دستورات را به باتهای مشتری یا باتهای سرور ارسال می کنند.
:Client Bots - 2 دریافت دسنورات از Server Botها و اجرای آنها. همچنین حوزه ی کاری ASP2Pها در Facebook و Twitter می-باشد.
:DR-SNBOT -3 در این نوع از باتنتها، مدیر بات دستورات موجود در کانال C&C را برای اینکه مورد حمله پاسخ6و حملهی مرد میانی 7 قرار نگیرد، با استفاده از الگوریتم RSA و AES رمزنگاری میکند. هنگامی که ترافیک شبکه های اجتماعی بالا میرود، مدیربات ها دستورات را داخل یک عکس یا فیلم مخفی میکند و به سرورهای - C&Cکه در داخل شبکه های اجتماعی قرار دارند - ارسال میکند.[14] درشکل1 دو مرحله کلیدی آن را نشان میدهد:
- 1 - پیش پردازش: در ابتدا مدیربات یک برچسب زمانی را به دستور می-چسباند، سپس دستور و برچسب زمانی را با استفاده از الگوریتم های AES و RSA، رمزنگاری کرده و امضاها را به متن رمزنگاری شده چسبانیده و پیام مخفی را تولید میکند.
- 2 - پس پردازش : بات پیام را دریافت کرده و با استفاده از کلید عمومی RSA، امضاهای متن رمزگذاری شده را تایید نموده و سپس با رمزگشایی آن، برچسب زمانی دستور مورد نظر را بررسی میکند و این برچسب زمانی، زمان حمله یا سرقت اطلاعات را برای بات مشخص نموده، و با توجه به این برجسب زمانی، بات دستور را اجرا مینماید.
- SoCellBot - 3 یک نوع موبایل باتنت جدید است که برای ارتباطات C&C، از شبکههای اجتماعی استفاده میکند. همچنین این نوع از باتنتها با رمزگذاری پیامهای ارسالی جلوی شناسایی سریع خود را میگیرند. استفاده از شبکههای اجتماعی جهت ارسال پیام صرفهی اقتصادی را برای این نوع از باتنتها، در مقایسه با موبایل باتنتهایی که جهت ارسال پیام از SMS استفاده میکنند، به همراه داشته است
از طرفی ساختار پرخوشهی گراف شبکههای اجتماعی، سبب شده است تا توپولوژی این نوع از باتنت-های اجتماعی در برابر خرابی و از دسترس خارج شدن خیلی انعطاف پذیر و مقاوم شود.[13] حوزهی کاری SoCellBotها، Facebook میباشد.