وبسایت ویروس توتال که قرار است حافظ امنیت ما باشد گویی تبدیل به بستری برای مزاحمان ما شده است
اگر
شما یک کلاهبردار و سارق اینترنتی باشید، دوست ندارید بدافزاری که طراحی
کردهاید به راحتی توسط آنتی ویروس فرد قربانی شناسایی شود. بنابراین چه
راهی بهتر از اینکه بدافزار خود را در اختیار وبسایت مشهور «ویروس توتال»
که متعلق به گوگل است قرار دهید تا آن را تست کند.
«ویروس توتال» محصول رایگانی است که ابتدا در سال ۲۰۰۴ در اسپانیا تولید شد و در سال ۲۰۱۲ توسط گوگل خریداری گردید. این محصول بسیاری از آنتی ویروسها مانند سیمَنتِک، کَسپراسکای، اِف سکیور و غیره را گردآوری کرده است. هر زمانی که یک محقق یا یک کاربر عادی به فایل مشکوکی برخورد میکند آن را در این وبسایت تست میکند تا مطمئن شود که بدافزار است یا نه. اما نکته اینجا است که وبسایتی که قرار است حافظ امنیت ما باشد، بستری برای مزاحمان ما شده است.
بِرَندِن دیکسون، یک محقق امنیت دیجیتال، موفق شده است با استفاده از ردیابی فایلهای آپلود شده در ویروس توتال، برخی از گروههای مخربی که از این محصول برای تست بدافزارهایشان استفاده میکنند را شناسایی کند. او با استفاده از اطلاعاتی که فایل آپلود شده در وبسایت ویروس توتال با خود دارد، مانند زمان آپلود شدن و آدرس آی پی آپلود کننده، گروههای مخرب مشهوری را تشخیص داده است. برخی از این گروهها در چین فعالیت میکنند و مقر فعالیت یکی از آنها در ایران است.
به عنوان مثال، نام یک گروه چینی که توسط این محقق شناسایی شده است «Comment Crew» است که به احتمال فراوان توسط دولت چین حمایت میشود و از سال ۲۰۰۶ هزاران گیگابایت اطلاعات را از شرکتهای کوکا کولا، آر اس اِی (RSA) و بیش از ۱۰۰ شرکت و آژانس دولتی دیگر به سرقت برده است. این گروه اخیرا شرکتهای فعال در زمینه زیرساختارهای انرژی در آمریکا را مورد حمله قرار داده است.
دیکسون طی سه ماه که به مشاهده رفتارهای این گروههای مخرب میپردازد متوجه میشود که این گروهها بسیار فعالانه با ویروس توتال کار میکنند، دائما بدافزارها را آپلود میکنند، آنها را تغییر میدهند و مرحله به مرحله کاری میکنند تا هر بار تعداد کمتری از آنتی ویروسهای موجود در ویروس توتال بتوانند بدافزار را تشخیص دهند. این گروهها، روزها و ساعتها از ویروس توتال به عنوان یک ابزار کمکی بسیار مهم استفاده میکردند.
یکی دیگر از گروههای مخرب فعال در چین به نام «NetTraveler» از سال ۲۰۰۹ شروع به استفاده از ویروس توتال میکند. رشد این گروه مخرب و سطح استفاده آن از ویروس توتال بسیار جالب است. این گروه در سال ۲۰۰۹ تنها ۳۳ فایل را در ویروس توتال آپلود کرده است در حالیکه این رقم در سال ۲۰۱۳ به ۳۹۱ فایل افزایش پیدا میکند.
گروه ایرانی که دیکسون کشف میکند، در ماه ژوئن ۲۰۱۴ ردپای خود را در ویروس توتال به جا میگذارد. این گروه تنها در یک ماه حدود ۱۰۰۰ فایل مخرب و مشکوک را در ویروس توتال آپلود کرده است و مهارت خاصی در دور زدن آنتی ویروسها از خود نشان داده است. حتی در برخی موارد آنها بدافزارهای شناخته شده و لو رفته را تغییر میدادند و کاری میکردند تا توسط آنتی ویروسها قابل تشخیص نباشند.
قطعا گروههای مخرب از این به بعد هوشمندتر عمل خواهند کرد تا از ردیابی شدن جلوگیری کنند اما آنتی ویروسها هم بیکار ننشستهاند. حالا آنتی ویروسها نیز میدانند که فایلهایی که در ویروس توتال آپلود میشوند ممکن است فایلهای مخرب قدیمی یا بدافزارهای احتمالی باشند. در نتیجه با استفاده از همان بدافزارها، سیستم دفاعی را قدرتمندتر خواهند کرد.
میبینیم که تناقض دنیای امنیت دیجیتال چگونه خود را بروز میدهد. آنتی ویروسها و بدافزارها در واقع همگی از یک بستر بلند میشوند!
منبع: وایِرد
«ویروس توتال» محصول رایگانی است که ابتدا در سال ۲۰۰۴ در اسپانیا تولید شد و در سال ۲۰۱۲ توسط گوگل خریداری گردید. این محصول بسیاری از آنتی ویروسها مانند سیمَنتِک، کَسپراسکای، اِف سکیور و غیره را گردآوری کرده است. هر زمانی که یک محقق یا یک کاربر عادی به فایل مشکوکی برخورد میکند آن را در این وبسایت تست میکند تا مطمئن شود که بدافزار است یا نه. اما نکته اینجا است که وبسایتی که قرار است حافظ امنیت ما باشد، بستری برای مزاحمان ما شده است.
بِرَندِن دیکسون، یک محقق امنیت دیجیتال، موفق شده است با استفاده از ردیابی فایلهای آپلود شده در ویروس توتال، برخی از گروههای مخربی که از این محصول برای تست بدافزارهایشان استفاده میکنند را شناسایی کند. او با استفاده از اطلاعاتی که فایل آپلود شده در وبسایت ویروس توتال با خود دارد، مانند زمان آپلود شدن و آدرس آی پی آپلود کننده، گروههای مخرب مشهوری را تشخیص داده است. برخی از این گروهها در چین فعالیت میکنند و مقر فعالیت یکی از آنها در ایران است.
به عنوان مثال، نام یک گروه چینی که توسط این محقق شناسایی شده است «Comment Crew» است که به احتمال فراوان توسط دولت چین حمایت میشود و از سال ۲۰۰۶ هزاران گیگابایت اطلاعات را از شرکتهای کوکا کولا، آر اس اِی (RSA) و بیش از ۱۰۰ شرکت و آژانس دولتی دیگر به سرقت برده است. این گروه اخیرا شرکتهای فعال در زمینه زیرساختارهای انرژی در آمریکا را مورد حمله قرار داده است.
دیکسون طی سه ماه که به مشاهده رفتارهای این گروههای مخرب میپردازد متوجه میشود که این گروهها بسیار فعالانه با ویروس توتال کار میکنند، دائما بدافزارها را آپلود میکنند، آنها را تغییر میدهند و مرحله به مرحله کاری میکنند تا هر بار تعداد کمتری از آنتی ویروسهای موجود در ویروس توتال بتوانند بدافزار را تشخیص دهند. این گروهها، روزها و ساعتها از ویروس توتال به عنوان یک ابزار کمکی بسیار مهم استفاده میکردند.
یکی دیگر از گروههای مخرب فعال در چین به نام «NetTraveler» از سال ۲۰۰۹ شروع به استفاده از ویروس توتال میکند. رشد این گروه مخرب و سطح استفاده آن از ویروس توتال بسیار جالب است. این گروه در سال ۲۰۰۹ تنها ۳۳ فایل را در ویروس توتال آپلود کرده است در حالیکه این رقم در سال ۲۰۱۳ به ۳۹۱ فایل افزایش پیدا میکند.
گروه ایرانی که دیکسون کشف میکند، در ماه ژوئن ۲۰۱۴ ردپای خود را در ویروس توتال به جا میگذارد. این گروه تنها در یک ماه حدود ۱۰۰۰ فایل مخرب و مشکوک را در ویروس توتال آپلود کرده است و مهارت خاصی در دور زدن آنتی ویروسها از خود نشان داده است. حتی در برخی موارد آنها بدافزارهای شناخته شده و لو رفته را تغییر میدادند و کاری میکردند تا توسط آنتی ویروسها قابل تشخیص نباشند.
قطعا گروههای مخرب از این به بعد هوشمندتر عمل خواهند کرد تا از ردیابی شدن جلوگیری کنند اما آنتی ویروسها هم بیکار ننشستهاند. حالا آنتی ویروسها نیز میدانند که فایلهایی که در ویروس توتال آپلود میشوند ممکن است فایلهای مخرب قدیمی یا بدافزارهای احتمالی باشند. در نتیجه با استفاده از همان بدافزارها، سیستم دفاعی را قدرتمندتر خواهند کرد.
میبینیم که تناقض دنیای امنیت دیجیتال چگونه خود را بروز میدهد. آنتی ویروسها و بدافزارها در واقع همگی از یک بستر بلند میشوند!
منبع: وایِرد
هیچ نظری موجود نیست:
ارسال یک نظر