افزایش سریع و چشم‌گیر دستگاه‌های غیر ایمنِ متصل به اینترنت تبدیل به یک دردسر جدی برای اشخاص و سازمان‌ها شده است. نویسندگان بدافزارها به‌طور مرتب افراد و سازمان‌ها را توسط بات‌نت‌ها مورد حمله قرار می‌دهند که این بات‌نت‌ها به‌عنوان ابزاری برای انجام حملات سایبری و یا حملات DDoS مورد استفاده قرار می‌گیرند.

Shodan

اما در حال حاضر و به خاطر ارائه ابزارهای جدید توسط Shodan و Recorded Future، پیدا کردن سرورهای مخرب که توسط مهاجمان اداره می‌شوند و مهاجمان از طریق آن‌ها بات‌نت‌های قرار داشته بر روی سیستم‌‌ها را کنترل می‌کنند، راحت‌تر شده است.

Shodan و Recorded Future به‌صورت مشترک یک ابزار شکار بدافزار را ارائه دادند که به‌صورت مداوم اینترنت را پویش کرده تا سرورهای C&C که مربوط به انواع مختلف بدافزارها و بات‌نت‌ها می‌باشند را پیدا کند.

سرورهای C&C در حقیقت ماشین‌های متمرکزی هستند که بات‌ها (کامپیوترها، لوازم هوشمند و گوشی‌های همراه هوشمند) را کنترل می‌کنند. این سرورها، هدف موردنظر را از طریق فرستادن دستوراتی شامل تروجان‌ها و بدافزارها و دریافت داده‌ها از راه دور کنترل می‌کنند.

نتایج این ابزار شکارچی بدافزار[۱] به‌صورت یکپارچه در Shodan ذخیره می‌شود. Shodan یک موتور جستجوست که اطلاعات مربوط به انواع دستگاه‌ها و سیستم‌های متصل به اینترنت را جمع‌آوری و لیست می‌کند.

چگونه این شکارچی بدافزار یک سرور C&C را شناسایی می‌کند؟

ممکن است برای شما نیز سؤال باشد که چگونه یک شکارچی بدافزار می‌فهمد که کدام آدرس IP مورد استفاده قرار می‌گیرد تا از یک سرور C&C مخرب میزبانی کند.

بدین منظور، Shodan نوعی crawlerهای خاص را پیاده‌سازی کرده است تا تمامی اینترنت را پویش کرده و به دنبال کامپیوترها و دستگاه‌هایی بگردد که تنظیم شده‌اند تا به‌عنوان یک سرور C&C مرتبط با یک botnet عمل کنند. سپس این crawlerها خودشان را به‌عنوان یک کامپیوتر آلوده شده جا زده و به‌گونه‌ای عمل می‌کنند که سرور مربوطه فکر کند آن‌ها می‌خواهند گزارشی را به آن سرور ارائه دهند.

یک crawler به‌صورت مؤثر یک گزارش را به هر آدرس IP بر روی وب بر‌می‌گرداند، اگر که آدرس IP هدف یک C&C باشد و اگر جواب دریافتی مثبت باشد، آن موقع می‌فهمد که IP موردنظر یک سرور C&C مخرب است.

در گزارش ۱۵ صفحه‌ای[۲] منتشر شده توسط Recorded Future آمده است: “RATها(۴) هنگامی‌که یک درخواست مناسب بر روی پورت شنونده کنترل‌کننده RAT وجود داشته باشد، پاسخ‌های مشخصی (رشته‌ها) را برمی‌گردانند. در بعضی موارد، حتی یک TCP three-way handshake پایه کافی است تا بتوان از طریق آن پاسخ کنترل‌کننده RAT را به دست آورد. یک پاسخ یکتا به‌عنوان یک اثرانگشت عمل می‌کند و نشان‌دهنده این است که یک کنترل‌کننده RAT بر روی کامپیوتری که از آن سؤال شده است قرار دارد.”

این شکارچی بدافزار هم‌اکنون بیش از ۵٫۷۰۰ سرور C&C مخرب را شناسایی کرده است.

نتایج به‌دست‌آمده از این ابزار به‌طور خلاصه در اینجا آورده شده است:

  1. این شکارچی بدافزار هم‌اکنون بیش از ۵٫۷۰۰ سرور C&C را در سراسر جهان شناسایی کرده است.
  2. ۳ کشوری که بیشترین سرورهای C&C در آن‌ها قرار دارند عبارت‌اند از: آمریکا (۷۲ درصد)، هنگ‌کنگ (۱۲ درصد) و چین (۵٫۲ درصد)
  3. ۵ تروجان از راه دور معروف یا همان RAT که به‌طور گسترده مورد استفاده قرار می‌گیرند شامل این موارد هستند: Gh0st RAT Trijan (93.5 درصد)، DarkComet Trojan (3.7 درصد)، njRAT Trojan ،ZeroAccess Trojan و XtremeRAT Trojan
  4. Shodan همچنین این قابلیت را دارد که سرورهای C&C متعلق به Black Shades، Poison Ivy و NetBus را شناسایی کند.

برای دیدن این نتایج تنها کاری که باید بکنید این است که عبارت category:malware را در وب‌سایت Shodan جستجو کنید[۳].

هدف این شکارچی بدافزار این است که کار را برای محققان امنیتی به جهت شناسایی سرور‌های C&C جدید راحت‌تر کند، حتی اگر آن‌ها به نمونه‌ی بدافزار موردنظر دسترسی نداشته باشند.

این ابزار هوشمند حتی به سازندگان آنتی‌ویروس‌ها کمک می‌کند تا بدافزارهای غیرقابل تشخیص را شناسایی کرده و از فرستادن داده‌های شما به سرورهای C&C مهاجم جلوگیری کنند.

 

 منابع

[۱] https://malware-hunter.shodan.io

[۲] https://go.recordedfuture.com/hubfs/reports/threat-identification.pdf

[۳] https://www.shodan.io/search?query=category%3Amalware&language=en#_=_

[۴] http://thehackernews.com/2017/05/shodan-malware-hunter.html

(۱) Remote Access Trojan (RAT)