مدیران سیستم ها، وب سایت ها و سرورها همیشه زمان زیادی را صرف شناسایی حملات هکرها می کنند. موسسه تحقیقاتی Incapsula یک سیستم حفاظتی و نظارتی جدید را برای حفاظت از حملات BackDoor برای این دسته از مدیران ارئه داده است. در این پست سعی داریم تا شما را با روش کار این سیستم حفاظتی و همچنین حملات BackDoor آشنا کنیم. با مجله فناوری فناپ در ادامه مطلب همراه باشید.
Incapsula این هفته یک قابلیت امنیتی جدید برای کاربران وب سایت های Cloud-Based که از سرویس امنیت وب سایت و Performance این شرکت استفاده می کنند، معرفی کرده است. این قابلیت می تواند وب سایت های کاربران را از حملات BackDoor یا "در پشتی" محافظت کند.
اما حملات BackDoor چگونه حملاتی هستند؟
یک در پشتی یا BackDoor اصطلاحا یک عملیات خرابکارانه است که به هکرها اجازه می دهد تا از راه دور کنترل یک سایت و یا سرور را در دست بگیرند. ویژگی اصلی این حمله این است که پس از اینکه هکر موفق شد تا یک در پشتی بر روی سیستم قربانی ایجاد کند، حتی اگر صاحب وب سایت و یا سرور بتواند آن آسیب پذیری که هکر برای ورود از آن استفاده کرده است را با وصله های امنیتی تعمیر کند، باز هم هکر می تواند با استفاده از آن در پشتی کار خود را انجام دهد.
ایجاد یک BackDoor معمولا اولین کاری است که یک هکر پس از دسترسی و نفوذ به وب سایت شما انجام می دهدو بنابراین اگر شما پیش از این هم هک شده اید، به احتمال زیاد دوباره هم به شما حمله خواهد شد.
هکرها عاشق این درهای پشتی هستند چرا که این BackDoor ها به هکر اجازه می دهد تا برای بار بعد به سادگی به سرور و یا وب سایت شما نفوذ کنند. پس از اینکه هکر توانست یک BackDoor بر روی سایت و یا سرور شما نصب کند، می تواند از آن برای گسترش اسپم ها و برنامه های مخرب استفاده کند و یا با استفاده از سیستم شما و دیگر سیستم های قربانی، حملات توزیع شده ممانعت از سرویس DDos را علیه وب سایت های دیگر و سرورها انجام دهد و یا حتی بتواند تا اطلاعات حیاتی مثل اطلاعات کارت های اعتباری شما را سرقت کند.
موسسه تحقیقاتی Incapsula به تازگی نحوه استفاده از این BackDoor ها را برای حمله به بانک های ایالات متحده گزارش داده است. هکرها با نصب و گسترش یک BackDoor بر روی سیستم های قربانی، آنها را به ارتشی از زامبی ها تبدیل کرده و از سیستم این قربانی ها برای انجام حملات DDos بر روی بانک ها استفاده کرده است. نکته جالب اینجاست که قربانیان هیچ اطلاعی از انجام این حملات توسط سیستم خود نداشتند.
سیستم Incapsula برای حفاظت از BackDoor
این گروه تحقیقاتی با استفاده از اطلاعات پیشین خود از "امضاهای" BackDoor ها و ساخت یک دیکشنری از آنها، یک سیستم تشخیص BackDoor تولید کرده اند و به پلتفرم خود نیز قابلیت تشخیص ترافیک ورودی و خروجی مشکوک را نیز اضافه کرده اند. تلفیق قابلیت های "شناسایی Backdoor ها" و "نظارت دائمی بر ترافیک شبکه" به Incapsula اجازه می دهد تا به سرعت تمامی Backdoor ها را شناسایی و قرنطینه کند.
هکرها برای اینکه BackDoor هایشان توسط این گونه سیستم ها شناسایی نشود، مرتبا هویت آنها را تغییر می دهند و یا از متدهای جدید استفاده می کنند. از ویژگی های این سیستم جدید این است که می تواند BackDoor های تغییر هویت داده و شناسایی نشده را نیز بلوکه کرده و قرنطینه کند.
این سیستم چگونه کار می کند؟
محافظت از حملات BackDoor در 3 فاز انجام می شود. شناسایی، اعلام و قرنطینه
شناسایی
Incapsula از تکنولوژی پراکسی به صورت وارونه استفاده می کند و با این کار می تواند بر ترافیک وب سایت های کاربران با دقت بالا نظارت داشته باشد. این حرکت به این معنی است که این سیستم نه تنها می تواند BackDoor های با امضاهای HTTP را شناسایی کند، بلکه می تواند با Trace کردن دستورات مخرب، منبع آنها را شناسایی و بلوکه کند.
Incapsula با استفاده از این متدها یک فرآیند شناسایی قدرتمند و چند لایه فراهم می کند. حتی اگر BackDoor کاملا تغییر کرده باشد و یا تا کنون شناسایی نشده باشد، این سیستم با استفاده از بررسی دستورات مخرب آن (که از یک منبع ناشناس صادر می شود) ، توانایی شناسایی آن را دارد.
اعلام و قرنطینه
البته فاز شناسایی، اصلی ترین کلید این سیستم است. اما هر مدیر سیستمی می داند که مدیریت تهدیدات یکی از زمانبر ترین بخش های مدیریت سیستم است و Incapsula این نکته را به حساب آورده است.
پس از اینکه سیستم توانست تا این مدل حمله را شناسایی کند، Incapsula آن URL را قرنطینه می کند تا سرور و یا وب سایت دیگر نتواند به آن دسترسی داشته باشد. این سیستم محافظتی به طور کامل انعطاف پذیر است و شما می توانید آن را کاملا شخصی سازی کنید و از بین حالتهای مختلف، یکی را برای نحوه شناسایی BackDoor ها انتخاب کنید. حالتهای " Auto-Quarantine" ، "Alert Only" و "Ignore" برای کاربران در نظر گرفته شده اند. حتی می توانید در صورت نیاز فایلها را در لیست سفید قرار دهید تا سیستم محافظتی آن را تحت نظر قرار ندهد.
نسخه متن باز بتا: Incapsula سیستم حفاظتی خود را به صورت رایگان در اختیار کاربران و مدیران سیستم قرار می دهد. علاوه بر این پکیج جدید، می توانید از پکیج WAF و حفاظت از حملات DDos نیز استفاده کنید و امنیت سیستم، وب سایت و یا سرور خود را تامین کنید.
// منبع: fantech.ir