بخشی از مقاله
چکیده
گرایش مهاجمین برای حمله به زیرساختهای شبکه با رشد روزافزونی همراه بوده است چراکه با حمله به ابزارهای زیرساخت، حجم عظیمی از اطلاعات در اختیار آنها خواهد بود. ازین رو، مهاجمین در سالهای اخیر به طراحی بدافزار و دربهای پشتی برای محصولات مختلف شرکت سیسکو از جمله مسیریابها پرداختهاند که این امر، باعث محسوس تر شدن نیاز به سیستمهای تشخیص بدافزار در مسیریاب ها گشته است. در این پژوهش قصد داریم تا با طراحی یک سیستم پیشنهادی به شناسایی دربهای پشتی نرمافزاری در مسیریابهای سیسکو بپردازیم که با زبان اسکریپتنویسی TCL طراحی میشوند.
در این مقاله ابتدا به معرفی بدافزارهای طراحیشده برای مسیریابها میپردازیم. سپس به رفتارشناسی بدافزارهای مبتنی بر محصولات سیسکو خواهیم پرداخت و نشان خواهیم داد دربهای پشتی نرمافزاری چگونه بر روی مسیریاب عمل میکنند. در ادامه یک سیستم پیشنهادی مبتنی بر مدیریت رویدادها و تطابق امضاء ارائه خواهیم داد. همچنین لیست امضاءهای پرتکرار در بدافزارهای موجود را به دقت بررسی میکنیم. در پایان نیز نتیجهگیری و پیشنهاداتی برای کارهای آینده ارائه خواهیم داد.
مقدمه
امروزه امنیت سیستمهای دیجیتال به دغدغهی اصلی دولتها، سازمانها و اشخاص تبدیل شده است. رشد روز افزون حملات سایبری، منابع مادی و معنوی سازمانها را تهدید میکند لذا راهکارهای امنیتی برای مقابله با این تهدیدات درنظر گرفته میشود که شامل سیاستهای امنیتی و استفاده از ابزارهای امنیتی میشوند. در گذشته مهاجمان گرایش به نفوذ به سیستمها و حسابهای شخصی افراد داشتند اما امروزه سعی دارند تا با حمله به زیرساختها، به حجم وسیعتری از اطلاعات دست یابند. به عنوان مثال یک مهاجم خارجی با در دست گرفتن کنترل مسیریاب یک سازمان میتواند تمامی اطلاعات ورودی خروجی سازمان را کنترل و مشاهده کند.
همچنین به منظور انجام حملات منع سرویس، ابزارهای زیرساخت شبکه همچون مسیریابها و سوئیچها بهترین انتخاب برای مهاجمین هستند. از این رو توجه به امنیت این ابزارها ضروری به نظر میرسد. در دههی اخیر بدافزارها به یکی از معضلات اصلی سازمانها تبدیل شدهاند. بدافزار عبارت است از هر قطعه کدی که به صورت عامدانه به نرم افزار سیستمی، کدی را اضافه، تغییر و یا حذف نماید و باعث خسارت و یا از کار انداختن توابع سیستم شود .
Aycock,2006 - در این پژوهش به طور ویژه به معرفی بدافزارهای طراحی شده برای مسیریابهای سیسکو خواهیم پرداخت. چرا که محصولات شرکت سیسکو فراوانی زیادی در میان سازمانهای ایرانی دارند. بدافزارهای مبتنی بر سیسکو توانایی ایجاد درب پشتی، شنود اطلاعات، از کار انداختن مسیریاب، تکثیر خود در میان دیگر مسیریابهای شبکه و مخفیسازی خود در داخل حافظه مسیریاب را دارا هستند.
از آنجایی که مسیریابها جزو شریانهای اصلی شبکه محسوب میشوند و همچنین فراوانی محصولات سیسکو در سازمانهای دنیا، لذا ایدهی طراحی تروجان و دربهای پشتی برای مسیریابهای سیسکو مطرح شد - . - Davis,2006 طبق ادعای کارمند سابق سازمان NSA، آقای ادوارد اسنودن، سازمان جاسوسی آمریکا به صورت مخفیانه اقدام به کارگزاری دربهای پشتی در محصولات شرکت سیسکو مینماید .
- Snowden,2013 - این دربهای پشتی ظاهرا بدون همکاری شرکت سیسکو در محصولات آنها کار گذاشته میشود که به دو صورت نرمافزاری و سختافزاری این مهم قابل انجام است. قبلا در آسیبپذیریهایی همچون CVE-2014-0659 و CVE-2015-4216 نشان داده شده است که دربهای پشتی در محصولات سیسکو محتمل هستند. در این پژوهش به بررسی ابعاد دربهای پشتی نرمافزاری آن پرداخته میشود.
در نمونهای دیگر از تهدیدات مسیریابها، در سال 2014 در یک حملهی سایبری پیشرفته، بدافزار BlackEnergy2 پدیدار شد. یکی از قابلیتهای این بدافزار حمله به مسیریابهای سیسکو و از کار انداختن آنها بود. طبق بررسیهای انجام شده در گزارش - Baumgartner and Garnaeva,2014 - ، مشخص شده است که کشور ایران یکی از اهداف اصلی این بدافزار بوده است. لذا شناخت عملکرد اینگونه بدافزارها و نحوهی شناسایی و جلوگیری از عملکرد آنها از ضروریات امروز شبکههای داخلی و سازمانی کشور است. در بخشهای آینده به معرفی انواع بدافزارها، بررسی نحوهی عملکرد آنها و شناسایی آنها خواهیم پرداخت.
پیشینهی تحقیق
ایدهی طراحی بدافزار برای مسیریابهای سیسکو به گونههای متفاوتی مطرح شده است که از جملهی آنها میتوان به بدافزارهای سختافزاری، بدافزارهای نرمافزاری درون تعبیهشده و بدافزارهای اسکریپتی اشاره کرد. در سال 2006 نمونهی ساده یک درب پشتی نرمافزاری مطرح شد - Davis,2006 - که در آن از زبان اسکریپت نویسی TCL در مسیریابهای سیسکو بهرهبرداری شده بود. سیستمعامل مسیریابهای سیسکو از نسخه 12,3 - 2 - T به بعد به پشتیبانی از زبان اسکریپتی TCL پرداختند.
این قابلیت به منظور تسهیل مدیران شبکه برای خودکارسازی بعضی از امور مدیریتی در نظر گرفته شده بود که توسط مهاجمین خلاق مورد سواستفاده قرار گرفت. در ادامه گونهی جدیدی از دربهای پشتی نرمافزاری برای سیسکو مطرح شد - Muñiz,2008 - در این روش مهاجم سعی بر آن داشت تا با تغییر عملکرد ایمیج اصلی مسیریاب سیسکو، یک درب پشتی در فایل اجرایی آن ایجاد نماید.
به عنوان مثال یک نام کاربری و رمز عبور پیشفرض در ایمیج تعبیه میشد. پیچیدگی بالای روش و همچنین عدم تکثیر خودکار آن مانع از گستردگی به کارگیری آن شد. همچنین این دربپشتی به راحتی قابل شناسایی بود چرا که مجموع جامعیت فایل اصلی مسیریاب دچار تغییر میشد و مدیران شبکه با مقایسه جامعیت ایمیج فعلی مسیریاب با یک ایمیج مطمئن قادر به تشخیص تغییر در فایل مسیریاب میشدند.
به منظور شناسایی بدافزارهای مطرح شده تا آن زمان، روشی مطرح شد که در آن با استفاده از امکانات داخلی سیسکو به جرمشناسی در سیسکو پرداخته شد . - Lindner,2009 - روش پیشنهادی ایشان به این صورت بود که یک تصویر از حافظه جاری مسیریاب که فایل اصلی مسیریاب در آن بارگزاری شده است گرفته شود و سپس از این تصویر، به استخراج اسکریپتهای TCL پرداخته شود و برای تشخیص کدهای مخرب درونتعبیه شده نیز از راهحل مقایسه جامعیت ایمیج استفاده شده بود. راهکار ایشان به منظور جرمشناسی در محصولات سیسکو مطرح شده بود و راهحل دقیقی برای شناسایی بدافزارها ارائه نمیدهد.
به منظور به چالش کشیدن امنیت فعلی، بدافزار IOSTrojan طراحی شد که در آن مجددا از TCL به منظور طراحی بدافزار بهره گرفته شده بود. - Santander Peláez,2009 - این بدافزار تنها بر روی مسیریابهایی قابل اجرا بود که از زبان اسکریپت نویسی TCL پشتیبانی کنند. بدافزار مطرح شده تواناییهایی همچون مخفیسازی خود از دید مدیران شبکه و ایجاد دربهای پشتی را دارا بود. این بدافزار سعی داشت تا خط فرمان سیسکو و دستورات مهم آن را شبیهسازی کند تا بتواند کنترل فرامین ارسالی توسط کاربر را به دست بگیرد اما در نهایت به دلیل اینکه این ویژگیها به صورت ضعیفی طراحی شده بود، بدافزار از توانایی ماندگاری کمی برخوردار بود.
