شش روش براي مقابله با حملات Drive-by Downloads

[tak~vps]

به گزارش بخش تحقيقات ScanSafe شركت سيسكو؛ در شش ماهه نخست سال 2011 كاربران حرفه‌اي اينترنت به طور متوسط با 274 بدفزار مبتني بر مرورگر وب مواجه شده‌اند كه 103 درصد بيشتر از زمان مشابه در سال 2010 است. چرا اين نوع از حملات اينترنتي به اين شدت افزايش يافته است؟ يكي از دلايل آن رشد قابل توجه حملات موسوم به Drive-By Downloads است. با استفاده از اين حملات به راحتي مي‌توان روي كامپيوترهاي كاربران اينترنتي طيف وسيعي از بدافزارها، ويروس‌ها، جاسوس‌افزارها، نرم‌افزارهاي كنترل‌كننده سيستم و... را نصب و اجرا کرد. خطر اين نوع حملات نيز به اين خاطر بيشتر و درصد موفقيتشان بالاتر است كه تحت يك پيشنهاد به كاربر، به سادگي اجازه نصب انواع برنامه‌ها را بدون متوجه شدن خود كاربر از او دريافت مي‌کنند. حملات Drive-by Downloads از ضعف‌هاي امنيتي و به طور خاص آسيب‌پذيري‌هاي مرورگرهاي وب، پلاگين‌ها، افزودني‌ها و هر چيزي كه با مرورگر وب مرتبط باشد استفاده مي‌كنند. هكرها از روش‌هاي مختلفي براي نصب يك بدافزار روي سيستم شما استفاده مي‌كنند. در روش نخست هنگام گشت‌زني در اينترنت و بازديد يك سايت ممكن است يك بدافزار به سرعت و بدون جلب توجه شما روي سيستم نصب شود. شركت‌هاي امنيتي نزديك به چهار ميليون صفحه وب و بيش از چهارصد ‌سايت آلوده را در اينترنت شناسايي كرده‌اند كه باز كردن آن‌ها در يك مرورگر وب مي‌تواند يك بدافزار را روي سيستم نصب كند.
روش ديگر انجام حمله‌هايDrive-by Downloads استفاده از تبليغات اينترنتي و Pop Up است كه در هنگام بازديد از يك سايت باز مي‌شوند و شما را به كليك‌كردن ترغيب مي‌كنند. شركت‌هايي مانند گوگل و مايكروسافت به طور كلي اين نوع تبليغات را ممنوع كرده‌اند. يكي از ساده‌ترين روش‌هاي نصب نرم‌افزار روي ويندوز استفاده از تبليغات است. زيرا كاربران به سادگي حاضر مي‌شوند روي آن‌ها كليك كنند، در حالي كه نمي‌دانند با اين كليك اجازه نصب يك برنامه را داده‌اند. روش ديگر براي نصب بدافزار از طريق مرورگر وب كمك گرفتن از ضد‌ويروس‌ها است. شما وارد يك سايت مي‌شويد و با پيغام «ضد‌ويروس شما به‌روز نيست» يا «اعتبار ضد‌ويروس شما تمام شده است» مواجه مي‌شويد. سايت از شما مي‌خواهد با كليك كردن روي يك دكمه به طور رايگان ضد‌‌ويروس خود را به‌روزرساني يا تمديد اعتبار کنيد. در اين مواقع هكرها با نوشتن برنامه‌اي كه مي‌تواند ضد‌‌ويروس شما را شناسايي كرده و در پيغام نمايش دهد، كاربر را تشويق به كليك‌كردن مي‌كند. طبق گزارش‌هايي كه شركت‌ها ارائه کرده‌اند اين روش در بيشتر مواقع بسيار كارا بوده و كاربر را فريب مي‌دهد.
براي مقابله با اين نوع حملات مي‌توانيد از روش‌هاي زير استفاده كنيد:

1- به‌روزرساني نرم‌افزارها
تقريباً تمام كارشناسان امنيتي معتقدند بهترين روش براي مقابله با حمله‌هاي Drive-by Downloads به‌روز نگاه‌داشتن ضد‌ويروس، مرورگر وب، گجت‌ها و افزودني‌هايي است كه روي مرورگرهاي وب نصب شده‌اند. البته به‌روزر بودن سيستم‌‌عامل و ديگر نرم‌افزارها نيز الزامي است. هميشه سعي كنيد جاوا، فلش، ادوبي فلش پلير، نوار ابزارهاي مرورگرهاي وب و نرم‌افزارهاي افزايش سرعت دانلود را به‌روز نگه داريد و وصله‌هاي امنيتي منتشر شده را نصب كنيد. زيرا اين وصله‌ها، نقاط ضعف و به خصوص حفره‌هاي امنيتي را برطرف مي‌كنند.

2- نصب نرم‌افزار وب ********
محصولات وب ******** مي‌توانند كاربران را از ورود به سايت‌هاي آلوده يا كليك روي لينک‌هاي مخرب منع كنند و جلوي وقوع حملاتي مانند Drive-by Downloads را بگيرند. در اين نرم‌افزارها از مكانيزم‌هايي استفاده شده است كه مي‌توانند كدهاي يك صفحه وب را اسكن كرده و كدهاي آلوده و مخرب را شناسايي كنند. به گزارش شركت امنيتي Barracuda بسياري از كاربران نه تنها دوست ندارند نرم‌افزارهاي وب ******** را نصب كنند، بلكه قابليت‌هاي اين‌چنيني روي مرورگرهاي وب خود را نيز غيرفعال مي‌كنند. چون اين احساس را دارند كه خودشان مي‌توانند بفهمند كدام سايت سالم و كدام سايت آلوده است. در صورتي كه يكي از روش‌هاي رايج براي نصب بدفزارها استفاده از سايت‌هايي است كه كمتر گمان مي‌رود آلوده باشند.

3- نصب NoScript روي فايرفاكس
اين افزودني رايگان و اپن‌سورس اجراي کدهاي جاوا،‌ جاوا‌اسکريپت و فلش را تنها به سايت‌هايي که مورد اعتماد شما هستند (مثلاً سايت بانکي شما) محدود مي‌کند. به اعتقاد برنت (Brandt) از شركت Solera Networks فايرفاكس بدون NoScript يعني دعوت از حملات Drive-by Downloads. اين كارشناس امنيتي مي‌گويد :«دو ماه پيش در وبلاگ شركت نوشته بودم كه وبگردي بدون استفاده از ابزارهايي مانند NoScript در ويندوز بسيار خطرناك است و امكان حمله روي مرورگرهاي وب را فراهم مي‌كند.»

4- غيرفعال كردن جاوا در PDF
برنت همچنين معتقد است كه كاربران بايد استفاده از جاوااسكريپت توسط PDF را در نرم‌افزارهاي Adobe Reader غيرفعال كنند. همچنين، به مديران سيستم پيشنهاد مي‌كند به‌طور كلي جاوا را براي نرم‌افزارهاي تحت شبكه غيرفعال كنند. حداقل تا زماني که وصله‌اي براي CVE-2011-3544 منتشر شود اين اپلت در فايل‌هاي Java Archive ذخيره شده و اجازه مي‌داد اپلت‌هاي آلوده دسترسي نامحدودي براي اجراي کدهاي جاوا داشته باشند. در واقع اين اپلت يك بدفزار بود يا مانند يك بدافزار در شبكه فعاليت مي‌كرد. بسياري از بدافزارها از جاوا براي نصب روي سيستم قرباني استفاده مي‌كنند و به همين خاطر مديريت درست جاوا مي‌تواند يك روش مقابله بسيار مؤثر باشد.

5- نگه‌داري زبانه‌ها در BLADE
BLADE سيستمي است كه با بلوكه‌كردن تمامي حفره‌هايي كه ممكن است توسط حمله‌هاي Drive-by Downloads در ويندوز استفاده شوند، سيستم كاربر را واكسينه مي‌كند. اين نرم‌افزار توسط مؤسسه تحقيقاتي Georgia Tech and SRI International تهيه شده و هنوز در حال توسعه است. نسخه نخست اين نرم‌افزار به زودي منتشر خواهد شد. BLADE سعي مي‌كند زبانه‌هاي يك مرورگر آلوده باز نشده و قبل از گشوده شدن مورد بررسي قرار بگيرند.

6- عدم دسترسي مدير سيستم
به توصيه اشميت از مؤسسه JAS Global هيچ‌گاه به كاربران شبكه دسترسي‌هاي مدير سيستم را ندهيد: «منطقي است به هر كاربر دسترسي مدير سيستم براي كامپيوترش را بدهيد كه شما را از بسياري دردسرهاي جانبي راحت مي‌كند اما اين كار به معناي مجوز‌دادن به بدافزارها براي نصب روي اين كامپيوترها نيز هست. زيرا تجربه ثابت كرده كاربران دوست دارند به اينترنت متصل شده و درايور يك قطعه سيستم يا انواع افزودني‌ها يا تصاوير پس‌زمينه را به دلخواه خود و بدون اجازه شما نصب كنند.» محدود كردن كاربران باعث مي‌شود كه مطمئن باشيد بسياري از حملات Drive-by Downloads ناكام خواهند ماند و اجازه نصب بدافزار به سيستم داده نخواهد شد.