عوامل تهدیدات سایبری، انگیزه و نحوه عملکرد مهاجمان – قسمت دوم (پایانی)

در قسمت اول مقاله در مورد انواع عوامل تهدیدات سایبری و انگیزه‌های آنها و همچنین سطح تاییر این تهدیدات بحث کردیم. در این قسمت در مورد نحوه شناسایی و انواع تهدیدات و همچنین فهرستی از ابزارها و تکنیک‌های رایجی که توسط عوامل تهدید استفاده می‌شود صحبت خواهیم کرد.

شناسایی فعالیت‌های انواع تهدیدات سایبری

شناسایی عبارت است از تعیین دقیق عامل تهدید که مسئول مجموعه خاصی از فعالیت‌ها بوده و شناسایی موفقیت‌آمیز یک عامل تهدید سایبری به دلایل متعددی از جمله دفاع شبکه، اجرای قانون، بازدارندگی و روابط خارجی مهم است. بااین‌حال، شناسایی تهدید می‌تواند دشوار باشد؛ زیرا بسیاری از عوامل تهدید سایبری سعی می‌کنند از طریق مبهم کردن فعالیت‌های خود غیر قابل شناسایی می­شوند.

Obfuscation یا مبهم‌سازی به ابزارها و تکنیک‌هایی اطلاق می‌شود که عوامل تهدید برای پنهان‌کردن هویت، اهداف، تکنیک‌ها و حتی قربانیان خود استفاده می‌کنند. برای جلوگیری از باقی‌گذاشتن سرنخ‌هایی که مدافعان می‌توانند برای نسبت‌دادن به فعالیت استفاده کنند، عوامل تهدید می‌توانند از ابزارها و تکنیک‌هایی استفاده کنند که به طور مخفیانه اطلاعات را از طریق اینترنت ارسال می‌کنند.

مهمترین تهدیدات سایبری و نحوه کارکرد آنها

ویدیوهای بیشتر درباره ی تهدیدات سایبری

عوامل تهدید پیچیده ممکن است False Flag Operations یا عملیات پرچم کاذب را انجام دهند که منجر به  تقلید عامل فعالتی ای شناخته شده از سایر عاملان می‌شود به این امید که مدافعان را وادار کند که فعالیت را به‌دروغ به شخص دیگری نسبت دهند. به‌عنوان‌مثال، یک دولت می‌تواند از ابزاری استفاده کند که تصور می‌شود مجرمان سایبری یا سایر دولت ها به طور گسترده از آن استفاده می‌کنند، به این امید که به آنها نسبت داده شود.

توانایی عوامل تهدیدات سایبری برای مبهم کردن موفقیت‌آمیز اقدامات خود بر اساس سطح پیچیدگی و انگیزه آنها متفاوت است. به‌طورکلی، دولت‌ها و مجرمان سایبری باصلاحیت در مبهم‌سازی بیش از سایر انواع تهدیدات سایبری مهارت دارند. در زیر فهرستی اجمالی از ابزارها و تکنیک‌های رایجی که توسط عوامل تهدید استفاده می‌شود، آمده است. برای سادگی فهرست شده‌اند.

Backdoor

Backdoor نقطه ورود به سیستم یا رایانه کاربر است که از معیارهای سنتی دسترسی و احراز هویت عبور می‌کند. هنگامی که عوامل تهدید این دسترسی از راه دور را داشته باشند، می‌توانند اطلاعات را سرقت کنند، بدافزار نصب کنند، یا فرایندها و رویه‌های دستگاه را کنترل کنند. درهای پشتی می‌توانند محصول بدافزار یا سایر فعالیت‌های مخرب سایبری باشند، اما اغلب به‌عمد و غیرمخرب برای عیب‌یابی، به‌روزرسانی نرم‌افزار یا تعمیر و نگهداری سیستم ایجاد می‌شوند. عوامل تهدید می‌توانند از این درهای پشتی مشروع برای اهداف مخرب استفاده کنند.

بیشتر بخوانید: چگونه با استفاده از یک روش علمی تهدیدات سایبری را شناسایی کنیم؟

ربات‌ها و بات نت‌ها یا Bots and botnets

یک ربات که به‌عنوان زامبی نیز شناخته می‌شود، یک دستگاه متصل به اینترنت مانند رایانه، تلفن همراه و دستگاه‌های IoT است که بدون اطلاع مالک به بدافزار آلوده می‌شود و از راه دور توسط یک عامل تهدید برای انجام یک کار مخرب خاص کنترل می‌شود. بات نت گروهی از این دستگاه‌های در معرض خطر است که توسط یک عامل تهدید هماهنگ می‌شوند. بات نت‌ها معمولاً با اسکن محیط آنلاین و یافتن دستگاه‌های آسیب‌پذیری که می‌توانند قدرت محاسباتی و ظرفیت اضافی را فراهم کنند، گسترش می‌یابند. بات نت‌ها برای اهداف متعددی استفاده می‌شوند، مانند DDoS، گسترش باج‌افزار و بدافزار، اجرای کمپین‌های کلاهبرداری تبلیغاتی، ارسال هرزنامه، منحرف‌کردن ترافیک، سرقت داده‌ها، و دستیاری، تقویت، و/یا سرکوب شبکه‌های اجتماعی و رسانه‌ها و محتوای پلت فرم وب  می‌توانند به‌منظور تأثیرگذاری بر گفتمان عمومی از آنها استفاده کنند.

Denial of service یا DoS

DoS به هر فعالیتی اطلاق می‌شود که یک سرویس به‌عنوان‌مثال، وب‌سایت، سرور، شبکه، دستگاه IoT را برای استفاده توسط کاربران قانونی در دسترس نباشد، یا عملیات و عملکرد سیستم را به تأخیر بیندازد.

حملات flooding

حملات flooding رایج‌ترین شکل DoS هستند که در آن عامل تهدید مکرراً درخواست‌هایی برای اتصال به سرور هدف ارسال می‌کند؛ اما اتصالات را کامل نمی‌کند. این اتصالات ناقص تمام منابع سرور موجود را اشغال کرده و مصرف می‌کنند. در نتیجه، سرور نمی‌تواند به ترافیک قانونی و تلاش‌های اتصال پاسخ دهد.

حملات crash

از جمله انولع تهدیدات سایبری می توان حملات Crash را نام برد. حملات Crash کمتر از حملات flooding رایج هستند و به زمانی اشاره دارند که عوامل تهدید از یک آسیب‌پذیری برای خراب‌کردن یک سیستم سوءاستفاده می‌کنند و بنابراین دسترسی به آن را ممنوع می‌کنند.

DDoS

Distributed denial of service یا DDoS یک حمله DoS است که از چندین ماشین به طور هم‌زمان سرچشمه می‌گیرد. این ماشین‌ها می‌توانند توسط گروهی از عوامل تهدید که با همکار می‌کنند کنترل شوند یا بخشی از یک باتت باشند که تحت هدایت یک عامل تهدید واحد عمل می‌کنند. DDoS قدرتمندتر است و شناسایی منبع واقعی حمله را دشوارتر می‌کند.

اکسپلویت‌ها و کیت‌های بهره‌برداری

یک اکسپلویت کد مخربی است که از یک آسیب‌پذیری اصلاح نشده استفاده می‌کند. یک کیت اکسپلویت مجموعه‌ای از اکسپلویت‌های متعدد است که بر برنامه‌های نرم‌افزاری ناامن تأثیر می‌گذارد. هر کیت اکسپلویت برای جستجوی آسیب‌پذیری‌های خاص و اجرای اکسپلویت مربوطه برای آسیب‌پذیری‌ای که پیدا می‌کند، سفارشی شده است. اگر کاربر از وب‌سایتی بازدید کند که کیت بهره‌برداری را میزبانی می‌کند، کیت اکسپلویت مخزن اکسپلویت خود را در برابر برنامه‌های کاربردی نرم‌افزاری روی دستگاه کاربر آزمایش می‌کند و اکسپلویتی را که متناسب با آسیب‌پذیری کاربر است، اجرا می‌کند.

بیشتر بخوانید: امنیت سایبری چیست و چه اهمیتی برای سازمان ها دارد – قسمت اول

Code injection

Code injection زمانی است که عامل‌های تهدید با بهره‌گیری از نقص در دستورالعمل‌های عملکرد برنامه یا نحوه تفسیر ورودی داده، کد مخرب را به برنامه رایانه وارد می‌کنند. دو تکنیک رایج عبارت‌اند از اسکریپت‌نویسی بین سایتی یا XSS و SQL.

🞇 XSS یک روش Code injection است که به‌موجب آن یک عامل تهدید با دورزدن مکانیسم‌هایی که ورودی را تأیید می‌کنند، کدهای مخرب را در یک برنامه وب وارد و اجرا می‌کند. کد مخرب در مرورگر کاربرانی که به برنامه وب مورد سوءاستفاده قرار می‌گیرند اجرا می‌شود. کد وارد شده توسط XSS ممکن است یک‌بار اجرا شود یا برای فعال‌کردن فعالیت‌های مخرب بیشتر استفاده شود.

🞇 واردکردن SQL محتویات یک پایگاه‌داده SQL را با واردکردن کد در فرم‌های وب که برای دریافت ورودی یا پرس‌وجو از پایگاه‌داده‌های SQL هستند، بازیابی یا اصلاح می‌کند. این پایگاه‌های اطلاعاتی ممکن است دارای اطلاعات حساس شخصی یا سایر اطلاعات حساس باشند.

Zero-day exploits

Zero-day exploits نوعی آسیب‌پذیری است که هنوز توسط فروشنده شناخته نشده است و بنابراین با یک وصله کاهش نیافته است. اسپلیت‌های شیرودی حمله‌ای است که به آسیب‌پذیری زیرو دی هدایت می‌شود.

Living-off-the-land زمانی است که عوامل تهدید به‌جای استقرار بدافزار، فقط از ابزارهای موجود از طریق فرایندهای قانونی سیستم قربانی برای انجام فعالیت‌های مخرب سایبری استفاده می‌کنند. عوامل تهدید سایبری از ابزارهای سیستمی از قبل موجود برای ترکیب با عملیات عادی دستگاه یا شبکه قربانیان استفاده می‌کنند و از شناسایی اجتناب می‌کنند.

Malware به هر نرم‌افزار یا کدی که برای نفوذ یا آسیب رساندن به یک سیستم کامپیوتری طراحی شده باشد اشاره دارد. “Payload” به اعمالی اشاره دارد که نرم‌افزار مخرب یک‌بار در داخل سیستم یا شبکه قربانی انجام می‌دهد به‌عنوان‌مثال، رمزگذاری فایل‌های باج‌افزار یا نصب backdoor سیستم که دسترسی از راه دور را امکان‌پذیر می‌کند.

ابزارهای تبلیغاتی مزاحم

Adware مخفف Advertising Software است. ابزارهای تبلیغاتی مزاحم ممکن است با دانلودشدن به‌عنوان بخشی از برنامه دیگر  رایانه را آلوده کنند. هدف اصلی آن کسب درآمد از طریق ارائه تبلیغات آنلاین مناسب است. ابزارهای تبلیغاتی مبتنی بر مرورگر و برنامه‌های کاربردی، اطلاعات کاربر و دستگاه، از جمله داده‌های مکان و تاریخچه مرور را ردیابی و جمع‌آوری می‌کنند. ابزارهای تبلیغاتی مزاحم می‌توانند منجر به سوءاستفاده از تنظیمات امنیتی، کاربران و سیستم‌ها شوند.

Beacon

Beaconها سیگنال‌هایی هستند که توسط بدافزار ارسال می‌شوند و تلاش می‌کنند پس از نفوذ موفقیت‌آمیز به محیط هدف، به زیرساخت فرماندهی و کنترل عامل تهدید سایبری متصل شوند. Beaconها به عامل تهدید اطلاع می‌دهند که با موفقیت سیستم را به خطر انداخته‌اند و به آنها اجازه می‌دهد تا دستورات اضافی را به بدافزار ارسال کنند.

Cryptojacker

Cryptojacking زمانی است که یک عامل تهدید به طور مخفیانه از دستگاه قربانی مانند رایانه، تلفن همراه و دستگاه‌های IoT برای استخراج غیرمجاز ارز دیجیتال سوءاستفاده می‌کند. به‌منظور افزایش کارایی به‌عنوان ‌مثال، درآمد، یک عامل تهدید می‌تواند از یک بات نت از دستگاه‌های در معرض خطر استفاده کند. چنین بدافزاری معمولاً با بازدید از یک وب‌سایت در معرض خطر، نصب یک برنامه کاربردی یا از طریق فیشینگ ارائه می‌شود. کریپتو ماینینگ یا استخراج رمزارز زمانی است که برنامه‌های نرم‌افزاری از منابع محاسباتی برای تولید یا استخراج یک ارز دیجیتال استفاده می‌کنند، فعالیتی که بخش کوچکی از ارز دیجیتال استخراج‌شده را به‌عنوان کارمزد خدمات استخراج پاداش می‌دهد.

Ransomware

باج‌افزار نرم‌افزار مخربی است که دسترسی یا عملکرد رایانه یا دستگاه را محدود می‌کند و پس از پرداخت آن را بازیابی می‌کند. باج‌افزار معمولاً با استفاده از یک تروجان یا کرمی که از طریق فیشینگ یا بازدید از یک وب‌سایت در معرض خطر نصب می‌شود، نصب می‌شود.

برخی از مجرمان سایبری در کمپین‌های باج‌افزار شکار بازی‌های بزرگ، Big Game Hunting یا BGH شرکت می‌کنند، جایی که فعالیت‌های خود را بر علیه سازمان‌های بزرگی مانند ارائه‌دهندگان زیرساخت‌های حیاتی، دولت‌ها و شرکت‌های بزرگ متمرکز می‌کنند که نمی‌توانند اختلالات مداوم در شبکه‌های خود را تحمل کنند و مایل به پرداخت باج‌های بزرگ برای بازیابی سریع هستند.

Rootkit

روت کیت یک برنامه مخرب است که برای ارائه یک عامل تهدید با دسترسی root یا مدیریتی به نرم‌افزارها و سیستم‌های روی دستگاه کاربر طراحی شده است. یک روت کیت کنترل کامل، از جمله توانایی تغییر نرم‌افزار مورداستفاده برای شناسایی بدافزار را فراهم می‌کند.

نرم‌افزارهای جاسوسی Spyware از انواع تهدیدات سایبری

Spyware نرم‌افزار مخربی است که برای ردیابی اقدامات و اطلاعات دیجیتالی کاربر با یا بدون اطلاع یا رضایت کاربر استفاده می‌شود. از نرم‌افزارهای جاسوسی می‌توان برای بسیاری از فعالیت‌ها استفاده کرد، از جمله ثبت با زدن کلید، دسترسی به میکروفون و وب کم، نظارت بر فعالیت کاربر و عادات گشت‌وگذار، و گرفتن نام کاربری و رمز عبور. به نرم‌افزارهای جاسوسی که برای تسهیل خشونت، سوءاستفاده یا آزار و اذیت شریک صمیمی استفاده می‌شود، نرم‌افزار stalker نامیده می‌شود.

فعالیت‌های نفوذ خارجی آنلاین یا   Online foreign influence activities

فعالیت‌های نفوذ خارجی آنلاین یا OFIA  ابزار مشترکی برای دشمنان برای پیشبرد منافع اصلی خود از جمله امنیت ملی، رفاه اقتصادی و اهداف ایدئولوژیک است. کمپین‌های نفوذ آنلاین می‌توانند بر گفتمان مدنی تأثیر بگذارند، بر انتخاب‌های سیاست‌گذاران تأثیر بگذارند، چالش ها را در جوامع دموکراتیک تشدید کنند و به اعتبار شخصیت‌های عمومی مانند سیاستمداران آسیب بزنند. OFIA اغلب از اطلاعات نادرست، اطلاعات نادرست و اطلاعات نادرست سوءاستفاده می‌کند

Misinformation

اطلاعات غلط به اطلاعات نادرستی اطلاق می‌شود که هدف آنها آسیب رساندن نیست.

Disinformation

دروغ رسانی به اطلاعات نادرست عمدی اطلاق می‌شود که برای دستیاری، ایجاد آسیب یا هدایت افراد، سازمان‌ها و کشورها در جهت اشتباه است.

Malinformation

اطلاعات آسیب رسان به اطلاعاتی اطلاق می‌شود که از حقیقت ناشی می‌شوند، اما اغلب به‌گونه‌ای اغراق‌آمیز می‌شوند که گمراه‌کننده و باعث آسیب‌های احتمالی شود.

Password cracking

شکستن رمز عبور به تکنیک‌هایی اشاره دارد که به عوامل تهدید سایبری اجازه می‌دهد مستقیماً با حدس‌زدن یا رمزگشایی رمز عبور به یک حساب کاربری دسترسی پیدا کنند.

 Brute force

شکستن Brute Force از تعداد کاملی از رمزهای عبور تصادفی تولید شده برای تلاش برای حدس‌زدن رمز عبور صحیح و دسترسی به‌حساب استفاده می‌کند. شکستن رمز عبور Brute Force کم کارآمدترین روش است، به‌خصوص در برابر رمزهای عبور پیچیده است.

Credential stuffing

پرکردن اعتبار زمانی است که از لیست‌های جفت نام کاربری و رمز عبور به خطر افتاده برای دسترسی غیرمجاز به حساب‌های آنلاین استفاده می‌شود. عوامل تهدید سایبری از این لیست‌ها برای انجام درخواست‌های ورود خودکار در مقیاس بزرگ استفاده می‌کنند، به این امید که یکی از جفت‌های به خطر افتاده با حساب موجود در سایت مطابقت داشته باشد و به آنها دسترسی داشته باشد.

Dictionary attack

حملات دیکشنری از فهرست‌های جامع کلمات و رمزهای عبور رایج استفاده می‌کنند که اغلب شامل غلط املایی رایج کلمات و جابه‌جایی‌های مختلف است که الزامات پیچیدگی رمز عبور را در نظر می‌گیرد.

 Person-in-the-middle یا PITM

PITM  تکنیکی است که به‌وسیله آن یک عامل تهدید ارتباط بین دو طرف مانند قربانی و وب سرور را بدون اطلاع قربانی رهگیری می‌کند. قربانی این توهم را دارد که به طور مستقیم و ایمن با یک وب‌سایت ارتباط برقرار می‌کند. PITM عاملان تهدید را قادر می‌سازد تا ارتباطات را کنترل کنند، ترافیک را تغییر مسیر دهند، اطلاعات را تغییر دهند، بدافزار ارائه دهند و اطلاعات حساس شخصی یا سایر اطلاعات حساس را به دست آورند. PITM را می‌توان از طریق چندین تکنیک مانند فیشینگ، فارمینگ، تایپی اسکوات، استراق سمع Wi-Fi و ربودن SSL به دست آورد.