شرکت سلوشنری از مهندسین و محققین امنیتی که بیست و چهار ساعته و هفت روز هفته رخداد های امنیتی را در اینترنت رصد می‌کنند، تشکیل شده است. این شرکت با استفاده از توان خود سعی میکند تاخطر‌های امنیتی را رویت کند و ابزار و اطلاعات لازم برای جلوگیری از آن را فراهم کند. با وجود اینکه بعضی از فعالیت‌های این شرکت شامل مرور زمان می‌شوند و مانند حفره‌های امنیتی قدیمی می‌شوند، تلاش این شرکت بر این است که تا می تواند خطرات در حال گسترش و مشکلات به روز را در اختیار کاربران بگذارد. این شرکت سعی می‌کند تا کانال های پخش بدافزارها زیر نظر بگیرد و با بررسی اطلاعات عظیمی از بد افزارها، تعیین میکند که کدام بدافزار فعال است و چه تاثیری بر روی کاربران اینترنت ممکن است که داشته باشد. این شرکت به طور فصلی گزارشی منتشر می کند که در ادامه ما برای خوانندگان مختصری از آن را می آوریم.

یکی از بزرگترین مشاهدات در سال گذشته این بود که کاربران روی به تکنولوژی فضای ابری آوردند. این فضای ابری به کاربران این امکان را می دهد که سیستم های خود را به سادگی و با هزینه کم بر روی فضای مجازی پیاده سازی کنند. از سوی دیگر، همین تکنولوژی نظر خرابکارها و ناشرین بدافزار را به خود جلب کرد زیرا:

  • استفاده از فضای ابری به خرابکارها این اجازه را میدهد که به سرعت سایت بد افزار را ساخته و بدافزار را به صورت آنلاین انتشار دهند.

  • استفاده کردن از سرورهای معروف، مانند سرورهای شرکت آمازون و گوگل به خرابکارها این اجازه را می‌دهد که بدافزار خود را روی سروری اجرا کند که در لیست سیاه موقعیت جغرفیایی و همچنین لیست سیاه آدرس های آی پی سایر شرکت‌های امنیتی نیستند. برای همین بدافزار به راحتی بر اساس این لیست ها مسدود نمی شوند.

  • هزینه راه اندازی سایت بر روی فضای ابری بسیار پایین است و به خرابکاران این اجازه را میدهد که به سرعت از سروری به سرور دیگر نقل مکان کنند و با این کار شانس شناسایی خودشان را کم کنند.

شرکت سلوشنری به همین منظور به سرویس دهنده های اینترنت و شرکت هایی که ثبت دامین می کنند توصیه‌هایی می‌کند تا ریسک توزیع بدافزار توسط آن شرکت‌ها را کم کند. برخی از این توصیه ها شامل موارد زیر می‌شود:

  • هر از چند گاهی کل دامین ها و یا سایت هایی را که به آنها سرویس می‌دهند را پیمایش کنند تا از نبود توزیع کننده‌های بد افزار اطمینان حاصل کنند.

  • سیستم ارزیابی کاربران را در هنگام فروش دامین و یا وبسایت سخت‌تر کنند تا با این کار محصول و سرویس به اشخاص مشکوک ندهند و تنها با کاربران قانونی سر و کار داشته باشند.

  • یک حد و مرزی بر روی ثبت دامنه به شیوه اتوماتیک بگذارند.

  • اطلاعات ثبت نام کاربران را به خصوص ایمیل و آدرس فیزیکی را چک کنند.

آنالیز توزیع بد افزار ها

پخش کننده های بد افزار بر اساس کشور

تحقیقات نشان می‌دهد که بیش از صد کشور در توزیع کردن بد افزار‌ها نقش دارند. ده کشور برتر توزیع کننده بدافزار در شکل زیر آمده است. البته اگر  این شکل را با لیست وب هاستینگ‌ها در جهان مقایسه شود، کاملا منطقی به نظر می‌رسد. کشورهایی که بیشترین وب هاستینگ‌ها در آنها وجود دارد بالاترین توزیع کننده های بدافزار نیز هستند. به عنوان مثال کشور امریکا چهل و چهار درصد کل توزیع کننده‌های بدافزار را در خود جای داده است. این خود به ما یاد آوری میکند که تکلنولوژی دفاعی بر مبنی فیلتر کردن جغرافیایی خیلی مناسب نیست زیرا ممکن است ناگهان گوگل را به عنوان توزیع کننده بد افزار فیلتر کنیم.

U1

توزیع کننده بدافزارها بر اساس سایت پخش کننده

شکل دو که در زیر میبینید ده سایتی را که بیشترین بدافزار ها را توزیع می‌کنند را به نمایش گذاشته است. اکثر این دامنه‌ها، نرم‌افزاری‌هایی را پخش می‌کندد که به عنوان نرم افزار های نامطلوب(Potentially Unwanted Applications) طبقه‌بندی می‌شوند، که ما بعضی از اوقات به آنها ادور یا نر‌م افزار های تبلیغی نیز می‌گوییم.

توزیع بدافزارها بر اساس سایت

جدول زیر نیز اطلاعات این سایت ها را بر اساس درصد و کشوری و ارائه دهنده خدمات نشان می دهد.

دامنه درصد هاستینگ کشور
download-instantly.com ۳ آمازون آمریکا
fenopy.se ۲ ۳z Canada کانادا
os.50orcdn.com ۱ آمازون آمریکا
dls.nicdls.com ۱ OHV Systems فرانسه
rp.50orcdn.com ۱ آمازون آمریکا
goldcenter.ru ۱ Webzilla B.V هلند
ecobionature.com ۱ BT Italia ایتالیا
dwninfo.ru ۱ Webzilla B.V هلند
powerpackmm.com ۰.۵ Amazon آمریکا
dl.fagdmr.com ۰.۵ Akamai آمریکا
سایر دامنه ها ۸۸

توزیع بدافزار ها بر اساس سرویس دهنده به سایت ها

بیش از بیست و دو هزار سرویس دهنده، به عنوان کسانی که به خرابکار ها حداقل یک بار سرویس داده اند، شناسایی شده‌اند. برای اینکه بهتر بشود به آمار کلی نگاه کرد بهتر است ده وب هاستینگ برتر را جدا کرد و بر اساس سهم هر کدام از آنها شکل زیر را کشید

U5

این ده شرکت به تنهایی سهمی در حدود ۳۰ درصد کل وب هاستینگ‌هایی را دارند که به خرابکار‌ها سرویس میدهند تا خرابکارها بتوانند بدافزار‌های خود را توزیع کنند. ۳۰ درصد عدد بزرگی است ولی باید توجه کرد سهم هر کدام از این شرکت ها در بازار کلی وب هاستینگ ها بیشتر از سهم هر کدام از آنها در شکل زیر است. این بدین معنی است با اینکه بسیاری از بدافزارها روی این ده سرویس دهنده‌ی برتر هاست می‌شوند اما بسیاری دیگر از خرابکارها سرویس دهنده ی دیگری برای خود پیدا می کنند.

خرابکار ها از سرویس های آمازون و یا گو ددی ( برو بابا :)) یا به صورت قانونی و یا به جعل اسم استفاده می‌کنند. این سرویس دهنده‌ها احتمالا برای این مورد هدف قرار میگیرند که کاربرانشان بیشتر حالت گذری دارند و یا اینکه مراحل خیلی رسمی ثبت نام ندارند.

سرویس‌های آنها همچنان برای این جذاب است که قیمت اندکی دارد و همچنین نحوه استفاده از سرویس‌هایشان آسان است. شما یک وب سرور آماده را میتوانید در ظرف چند دقیقه با هزینه کم راه اندازی و اجرا کنید. آنها همچنین ممکن است از سرویس آمازون به خاطر این استفاده کنند که به کاربر اجازه تغییر اندازه ی سرور را میدهد. شما میتوانید با هزینه کم و تعداد کاربر کم با یک سرور کوچک شروع کرده و چنانچه که کاربرانتان بیشر شد قدرت و ظرفیت سرور را بر روی آمازون با چند کلیک بهتر کنید. هر چه نوع کار خرابکاران سود‌ده‌تر باشد، طبیعتا آنها پول بیشتری برای افزایش ظرفیت سرورهای خود دارند.

 

توزیع بدافزارها بر اساس شرکت های ثبت دامنه

بعضی از شرکت‌های هاستینگ سرویس ثبت دامنه ارائه نمی‌کنند و تنها DNS در اختیار کاربران می‌گذارند. از داده‌های بدست آمده چیزی در حدود دوازده هزار و دویست ثبت کننده دامنه به دست آمده است. گو ددی (برو بابا) به تنهایی سهمی در حدود ۲۵٪ کل ثبت کننده های دامنه را دارد که به تبه کاران سرویس می‌دهد. در شکل زیر شما می‌توانید توزیع بدافزار‌ها، بر اساس شرکت های ثبت دامنه را ببنید.

توزیع بدافزارها بر اساس شرکت های ثبت دامنه

همانطور که در شکل بالا می‌بینید بیش از ۴۵ درصد از دامنه های بدافزار ها بر روی چهار شرکت (GoDady, eNom, EvoPLus ,RIPN) است. این امر، این فرضیه را رد میکند که بد افزار ها تنها از ثبت کننده های دامین گمنام می آیند و همچنین تاکید می کند که بزرگترین ثبت کننده های دامنه در واقع به سادگی به دامنه هایی سرویس میدهند که در نشر بد افزار دست دارند.

در بسیاری از موارد سرت موفق شده است که دامنه هایی را که به وضوح با اطلاعات اشتباه و گمراه کننده دامنه خود را ثبت کرده اند، تشخیص دهد.  پیاده‌سازی شیوه‌های تایید قوی‌تر کمک می‌کند که از این امر هنگام ثبت‌نام جلوگیری شود. به عنوان مثال شرکت‌های بالا دامین‌هایی با شماره تلفن اشتباه (حتی تعداد رقم های شماره در مواردی اشتباه است)، ایمیل غیرفعال و کد پست‌هایی که اصلا در آمریکا وجود ندارد، را ثبت می کنند.

ادامه این مطلب را میتوانید در اینجا بخوانید : قسمت دوم

نظرات

نظر (به‌وسیله فیس‌بوک)