حملات حفره آب: چگونه APT و مجرمان سایبری نفوذ زیرساخت های امن

اولین برخورد من با دنیای مجرمان سایبری سال ها پیش از طریق یک کمپین حمله سوراخ آب رخ داد. من بازدید از یک وب سایت فارسی و کشف کرد که آن را دانلود بدافزار بر روی بازدید کنندگان’ مرورگرهای. من بی درنگ با مدیر سایت تماس گرفتم, که به من اطلاع داد که آنها هیچ دانش فنی از موضوع. آشکار شد که آنها با استفاده از سیستم مدیریت محتوا منسوخ شده با آسیب پذیری های امنیتی شناخته شده, که مجرمان در حال بهره برداری برای هدف قرار دادن مخاطبان خاص و گسترش بدافزار.

حملات حفره آب برخی از روش های مورد علاقه مجرمان سایبری و تهدید مداوم پیشرفته (APTs). در این حملات, مجرمان سایبری از تاکتیک به نام استفاده می کنند “مصالحه استراتژیک وب” (اس دبلیو سی) برای دسترسی به شبکه سازمان قربانی. با شناسایی وب سایت هایی که اغلب توسط کاربران هدف بازدید می شوند, مهاجم می تواند آن وب سایت ها را با بدافزار آلوده و دانلود آن را به کاربران بی گمان’ دستگاه.

بدافزار مورد استفاده در حملات سوراخ آب طراحی شده است برای فرار از تشخیص و باقی می ماند کشف نشده بر روی دستگاه هدف, دادن دسترسی مداوم به اطلاعات حساس به مهاجمان. این نوع حمله از نگرانی خاص است چرا که می تواند برای دوره های طولانی از زمان کشف نشده, اجازه دادن به مهاجمان برای جمع آوری اطلاعات حساس در طول زمان.

یک نوع بدافزار که معمولاً در حملات سوراخ آب استفاده می شود بدافزار چند شکلی است. بدافزار پلی مورف نوعی نرم افزار مخرب است که برای تغییر مداوم کد و ظاهر خود به منظور جلوگیری از تشخیص توسط نرم افزار آنتی ویروس و دیگر اقدامات امنیتی طراحی شده است. این نوع بدافزار به خصوص خطرناک است چرا که می تواند خود را به بسیاری از اشکال مختلف جهش دهد, ساخت آن را دشوار برای آنتی ویروس های سنتی / نرم افزار ضد بدافزار برای تشخیص و حذف آن. بدافزار پلی مورف می تواند با استفاده از روش های مختلفی ظاهر خود را تغییر دهد, از جمله رمزنگاری, فشرده سازی, و تصادفی سازی.

حملات سوراخ آب به خصوص برای کسب و کارهای کوچک خطرناک است, به عنوان آنها اغلب به دلیل اقدامات امنیتی ضعیف تر در مقایسه با شرکت های بزرگتر هدف قرار. اما, حتی سازمان های بزرگ و سازمان های دولتی قربانی حملات سوراخ آب شده اند.

در زیر برخی از مراحل شما می توانید برای کاهش خطر خود را از تبدیل شدن به یک قربانی از این نوع از حملات:

1. استفاده از فیلترینگ وب: ابزارهای فیلترینگ وب می توانند دسترسی به وب سایت ها و صفحات وب مخرب یا ناشناخته را مسدود کنند. این امر مانع از دانلود تصادفی بدافزارها از سوراخ آب شدن کاربران می شود.
2. استفاده از آنتی ویروس نسل بعدی (ان جی او): راه حل های NGAV از تکنیک های تشخیص پیشرفته ای مانند الگوریتم های یادگیری ماشین و تجزیه و تحلیل رفتاری برای شناسایی و پاسخ به تهدیدات جدید و قبلاً ناشناخته استفاده می کنند.
3. پیاده سازی تشخیص نقطه پایانی و پاسخ (Edr): راه حل های EDR نقاط پایانی مانند لپ تاپ ها و رومیزی ها را برای رفتار مشکوک نظارت می کنند و می توانند در زمان واقعی به تهدیدها پاسخ دهند.
4. پیاده سازی تشخیص و پاسخ مبتنی بر شبکه (Ndr): راه حل های NDR نظارت بر ترافیک شبکه برای فعالیت های مشکوک و می تواند تشخیص و پاسخ به تهدیدات است که راه حل های سنتی آنتی ویروس ممکن است از دست.
5. استخدام هوش تهدید: سرویس های اطلاعاتی تهدید می توانند اطلاعاتی در مورد تهدیدهای نوظهور ارائه دهند, از جمله بدافزار پلی مورف. شما می توانید از این اطلاعات برای شناسایی تهدیدات بالقوه و اقدام مناسب برای محافظت از شبکه خود استفاده کنید
6. پیاده سازی یک شبکه اعتماد صفر: یک شبکه اعتماد صفر یک مدل امنیتی است که فرض می کند هر کاربر و دستگاهی در شبکه یک تهدید بالقوه است. کاربران باید قبل از دسترسی به منابع در شبکه تصدیق شوند, و دسترسی محدود به آنچه لازم است.
7. استفاده از بخش بندی شبکه: بخش بندی شبکه به جدا کردن سیستم های بحرانی و داده های حساس از بقیه شبکه کمک می کند. این مانع از گسترش بدافزارها در صورت حمله موفق می شود.