شرکت سلوشنری از مهندسین و محققین امنیتی که بیست و چهار ساعته و هفت روز هفته رخداد های امنیتی را در اینترنت رصد میکنند، تشکیل شده است. این شرکت با استفاده از توان خود سعی میکند تاخطرهای امنیتی را رویت کند و ابزار و اطلاعات لازم برای جلوگیری از آن را فراهم کند. با وجود اینکه بعضی از فعالیتهای این شرکت شامل مرور زمان میشوند و مانند حفرههای امنیتی قدیمی میشوند، تلاش این شرکت بر این است که تا می تواند خطرات در حال گسترش و مشکلات به روز را در اختیار کاربران بگذارد. این شرکت سعی میکند تا کانال های پخش بدافزارها زیر نظر بگیرد و با بررسی اطلاعات عظیمی از بد افزارها، تعیین میکند که کدام بدافزار فعال است و چه تاثیری بر روی کاربران اینترنت ممکن است که داشته باشد. این شرکت به طور فصلی گزارشی منتشر می کند که در ادامه ما برای خوانندگان مختصری از آن را می آوریم.
یکی از بزرگترین مشاهدات در سال گذشته این بود که کاربران روی به تکنولوژی فضای ابری آوردند. این فضای ابری به کاربران این امکان را می دهد که سیستم های خود را به سادگی و با هزینه کم بر روی فضای مجازی پیاده سازی کنند. از سوی دیگر، همین تکنولوژی نظر خرابکارها و ناشرین بدافزار را به خود جلب کرد زیرا:
-
استفاده از فضای ابری به خرابکارها این اجازه را میدهد که به سرعت سایت بد افزار را ساخته و بدافزار را به صورت آنلاین انتشار دهند.
-
استفاده کردن از سرورهای معروف، مانند سرورهای شرکت آمازون و گوگل به خرابکارها این اجازه را میدهد که بدافزار خود را روی سروری اجرا کند که در لیست سیاه موقعیت جغرفیایی و همچنین لیست سیاه آدرس های آی پی سایر شرکتهای امنیتی نیستند. برای همین بدافزار به راحتی بر اساس این لیست ها مسدود نمی شوند.
-
هزینه راه اندازی سایت بر روی فضای ابری بسیار پایین است و به خرابکاران این اجازه را میدهد که به سرعت از سروری به سرور دیگر نقل مکان کنند و با این کار شانس شناسایی خودشان را کم کنند.
شرکت سلوشنری به همین منظور به سرویس دهنده های اینترنت و شرکت هایی که ثبت دامین می کنند توصیههایی میکند تا ریسک توزیع بدافزار توسط آن شرکتها را کم کند. برخی از این توصیه ها شامل موارد زیر میشود:
-
هر از چند گاهی کل دامین ها و یا سایت هایی را که به آنها سرویس میدهند را پیمایش کنند تا از نبود توزیع کنندههای بد افزار اطمینان حاصل کنند.
-
سیستم ارزیابی کاربران را در هنگام فروش دامین و یا وبسایت سختتر کنند تا با این کار محصول و سرویس به اشخاص مشکوک ندهند و تنها با کاربران قانونی سر و کار داشته باشند.
-
یک حد و مرزی بر روی ثبت دامنه به شیوه اتوماتیک بگذارند.
-
اطلاعات ثبت نام کاربران را به خصوص ایمیل و آدرس فیزیکی را چک کنند.
آنالیز توزیع بد افزار ها
پخش کننده های بد افزار بر اساس کشور
تحقیقات نشان میدهد که بیش از صد کشور در توزیع کردن بد افزارها نقش دارند. ده کشور برتر توزیع کننده بدافزار در شکل زیر آمده است. البته اگر این شکل را با لیست وب هاستینگها در جهان مقایسه شود، کاملا منطقی به نظر میرسد. کشورهایی که بیشترین وب هاستینگها در آنها وجود دارد بالاترین توزیع کننده های بدافزار نیز هستند. به عنوان مثال کشور امریکا چهل و چهار درصد کل توزیع کنندههای بدافزار را در خود جای داده است. این خود به ما یاد آوری میکند که تکلنولوژی دفاعی بر مبنی فیلتر کردن جغرافیایی خیلی مناسب نیست زیرا ممکن است ناگهان گوگل را به عنوان توزیع کننده بد افزار فیلتر کنیم.
توزیع کننده بدافزارها بر اساس سایت پخش کننده
شکل دو که در زیر میبینید ده سایتی را که بیشترین بدافزار ها را توزیع میکنند را به نمایش گذاشته است. اکثر این دامنهها، نرمافزاریهایی را پخش میکندد که به عنوان نرم افزار های نامطلوب(Potentially Unwanted Applications) طبقهبندی میشوند، که ما بعضی از اوقات به آنها ادور یا نرم افزار های تبلیغی نیز میگوییم.
جدول زیر نیز اطلاعات این سایت ها را بر اساس درصد و کشوری و ارائه دهنده خدمات نشان می دهد.
دامنه | درصد | هاستینگ | کشور |
download-instantly.com | ۳ | آمازون | آمریکا |
fenopy.se | ۲ | ۳z Canada | کانادا |
os.50orcdn.com | ۱ | آمازون | آمریکا |
dls.nicdls.com | ۱ | OHV Systems | فرانسه |
rp.50orcdn.com | ۱ | آمازون | آمریکا |
goldcenter.ru | ۱ | Webzilla B.V | هلند |
ecobionature.com | ۱ | BT Italia | ایتالیا |
dwninfo.ru | ۱ | Webzilla B.V | هلند |
powerpackmm.com | ۰.۵ | Amazon | آمریکا |
dl.fagdmr.com | ۰.۵ | Akamai | آمریکا |
سایر دامنه ها | ۸۸ | – | – |
توزیع بدافزار ها بر اساس سرویس دهنده به سایت ها
بیش از بیست و دو هزار سرویس دهنده، به عنوان کسانی که به خرابکار ها حداقل یک بار سرویس داده اند، شناسایی شدهاند. برای اینکه بهتر بشود به آمار کلی نگاه کرد بهتر است ده وب هاستینگ برتر را جدا کرد و بر اساس سهم هر کدام از آنها شکل زیر را کشید
این ده شرکت به تنهایی سهمی در حدود ۳۰ درصد کل وب هاستینگهایی را دارند که به خرابکارها سرویس میدهند تا خرابکارها بتوانند بدافزارهای خود را توزیع کنند. ۳۰ درصد عدد بزرگی است ولی باید توجه کرد سهم هر کدام از این شرکت ها در بازار کلی وب هاستینگ ها بیشتر از سهم هر کدام از آنها در شکل زیر است. این بدین معنی است با اینکه بسیاری از بدافزارها روی این ده سرویس دهندهی برتر هاست میشوند اما بسیاری دیگر از خرابکارها سرویس دهنده ی دیگری برای خود پیدا می کنند.
خرابکار ها از سرویس های آمازون و یا گو ددی ( برو بابا :)) یا به صورت قانونی و یا به جعل اسم استفاده میکنند. این سرویس دهندهها احتمالا برای این مورد هدف قرار میگیرند که کاربرانشان بیشتر حالت گذری دارند و یا اینکه مراحل خیلی رسمی ثبت نام ندارند.
سرویسهای آنها همچنان برای این جذاب است که قیمت اندکی دارد و همچنین نحوه استفاده از سرویسهایشان آسان است. شما یک وب سرور آماده را میتوانید در ظرف چند دقیقه با هزینه کم راه اندازی و اجرا کنید. آنها همچنین ممکن است از سرویس آمازون به خاطر این استفاده کنند که به کاربر اجازه تغییر اندازه ی سرور را میدهد. شما میتوانید با هزینه کم و تعداد کاربر کم با یک سرور کوچک شروع کرده و چنانچه که کاربرانتان بیشر شد قدرت و ظرفیت سرور را بر روی آمازون با چند کلیک بهتر کنید. هر چه نوع کار خرابکاران سوددهتر باشد، طبیعتا آنها پول بیشتری برای افزایش ظرفیت سرورهای خود دارند.
توزیع بدافزارها بر اساس شرکت های ثبت دامنه
بعضی از شرکتهای هاستینگ سرویس ثبت دامنه ارائه نمیکنند و تنها DNS در اختیار کاربران میگذارند. از دادههای بدست آمده چیزی در حدود دوازده هزار و دویست ثبت کننده دامنه به دست آمده است. گو ددی (برو بابا) به تنهایی سهمی در حدود ۲۵٪ کل ثبت کننده های دامنه را دارد که به تبه کاران سرویس میدهد. در شکل زیر شما میتوانید توزیع بدافزارها، بر اساس شرکت های ثبت دامنه را ببنید.
همانطور که در شکل بالا میبینید بیش از ۴۵ درصد از دامنه های بدافزار ها بر روی چهار شرکت (GoDady, eNom, EvoPLus ,RIPN) است. این امر، این فرضیه را رد میکند که بد افزار ها تنها از ثبت کننده های دامین گمنام می آیند و همچنین تاکید می کند که بزرگترین ثبت کننده های دامنه در واقع به سادگی به دامنه هایی سرویس میدهند که در نشر بد افزار دست دارند.
در بسیاری از موارد سرت موفق شده است که دامنه هایی را که به وضوح با اطلاعات اشتباه و گمراه کننده دامنه خود را ثبت کرده اند، تشخیص دهد. پیادهسازی شیوههای تایید قویتر کمک میکند که از این امر هنگام ثبتنام جلوگیری شود. به عنوان مثال شرکتهای بالا دامینهایی با شماره تلفن اشتباه (حتی تعداد رقم های شماره در مواردی اشتباه است)، ایمیل غیرفعال و کد پستهایی که اصلا در آمریکا وجود ندارد، را ثبت می کنند.
ادامه این مطلب را میتوانید در اینجا بخوانید : قسمت دوم
نظرات
این یک مطلب قدیمی است و اکنون بایگانی شده است. ممکن است تصاویر این مطلب به دلیل قوانین مرتبط با کپی رایت حذف شده باشند. اگر فکر میکنید که تصاویر این مطلب ناقض کپی رایت نیست و میخواهید توسط زمانه بازیابی شوند، لطفاً به ما ایمیل بزنید. به آدرس: tribune@radiozamaneh.com
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.