خانه / مقالات / شبکه و امنیت / دفاع هدف متحرک در مقابل حمله هدف متحرک : دو روی فریب

دفاع هدف متحرک در مقابل حمله هدف متحرک : دو روی فریب

دفاع هدف متحرک در مقابل حمله هدف متحرک : دو روی فریب

نبرد آشتی ناپذیر میان مهاجمان و مدافعان سایبری به سطح بی سابقه ای از پیچیدگی و مهارت رسیده است. هرچه مدافعان از ابزارهای پاسخ و کشف جدیدتری استفاده می کنند، مهاجمان تکنیک های مختلفی ایجاد می کنند تا از این مکانیزم ها عبور کنند. و فریب یکی از موثرترین صلاح ها در هر دوسوی بازی است.
تکنیک های فریب از قدیم جزء روش های مورد علاقه مهاجمان بوده است.غافلگیر کردن و عدم قطعیت به مهاجم برتری ذاتی نسبت به مدافع می دهد که نمی تواند حرکت بعدی مهاجم را پیش بینی کند. با این وجود نسبتا عجیب است که این تقارن توسط مدافع نیز قابل استفاده است.
هدف MTD یا دفاع هدف متحرک ایجاد عدم قطعیت نامتقارن در سمت مهاجم با تغییر سطح حمله است. دپارتمان Homeland Security (DHS) ایالات متحده، MTD را به این صورت تعریف می کند: “کنترل تغییر در میان ابعاد چندین سیستم به منظور افزایش عدم قطعیت و پیچیدگی آشکار برای مهاجمان، کاهش پنجره فرصت های آنها و افزایش هزینه های تحقیقات، جستجو و تلاش های مهاجمان برای حمله.”
این نقطه نظر از این درک می آید که امنیت مطلق، هدفی قابل دستیابی نیست؛ تقارنی میان هزینه ها و تلاش های مهاجمان و مدافعان وجود دارد.
بنابراین نیاز به پیاده سازی یک نمونه برای تغییر هزینه ها و تلاش ها در این بازی می باشد.

حملات هدف متحرک
در طول سال ها تکنیک های متعددی توسعه داده شده اند تا تغییرات دوره ای در محدوده حملات سایبری را فعال کنند. در جدول زیر تکنیک های متداول تر حملات هدف متحرک و در ادامه مثالی برای هریک آورده شده است:

تکنیک های فریب مورد استفاده توسط مهاجمان
تکنیک روش فریب
Polymorphism تغییر امضای بدافزار
Metamorphism / self-modification تغییر کد بدافزار در هنگام اجرا
Obfuscation پنهان سازی منطق و کد
Self-encryption تغییر امضای بدافزار و پنهان سازی داده و کد مجرمانه
Anti-VM/sandboxes فرار ازآنالیز قانونی با تغییر رفتار در محیط های قانونی
Anti-Debugging فرار از تحقیق و بررسی های خودکار / دستی با تغییر رفتار در محیط های قانونی
Encrypted exploits فرار از تحقیقات خودکار / دستی با تغییر پارامترها و امضاء

Polymorphism بصورت متداول توسط توسعه دهندگان بدافزارها برای فرار از تشخیص AV استفاده می شود. با رمزنگاری نرم افزارهای مخرب یعنی کد و داده آنها، مهاجمان به دو مزیت عمده دست می یابند. اول اینکه به راحتی می توانند نمونه های متفاوتی از یک بدافزار یکسان را با استفاده از چندین کلید رمزنگاری ایحاد کنند. واضح است که این امر ویژگی های ضد بدافزارهای مبتنی بر امضا را بی اثر می کند زیرا نمونه های جدید، کلید استاتیک جدید و شناخته نشده ای دارند. دوم اینکه بدافزارها می توانند از آنالیزهای استاتیک عمیقتر نیز عبور کنند زیرا کدها و داده های آنها رمزنگاری شده است بنابراین برای اسکنرها آشکار نیستند.
توسعه دهندگان بد افزارها با استفاده از تکنیک های metamorphism، با تغییر کد موجود در حافظه در هر اجرا، کشف را دشوارتر می کنند.
درحالی که هدف polymorphism و metamorphism از اسکن اتوماتیک فایل های حافظه می گریزند، obfuscation نیز در برابر بازرسی دستی کد مفید است. توسعه دهندگان بد افزار با استفاده از obfuscation کدی ایجاد می کنند که درک آن برای یک تحلیلگر انسان بسیار سخت است.
این امر با ایجاد داده یا کد با استرینگ های پنهان، کدهای ساختگی و گراف پیچیده تابع فراخوانی به دست می آید که می تواند به طور تصادفی با هر نمونه ای از نرم افزارهای مخرب دوباره تولید شود.
Sandboxها و ماشین های مجازی ابزارهایی ضروری برای آنالیزگران بدافزار هستند.
به تبع آن، بدافزارهای مدرن می توانند مکانیزم های anti-VM و anti-sandbox را به کارگیرند تا بفهمند که آیا در یک محیط مجازی کار می کنند یا خیر. اگر VM یا sandbox ای کشف شود، بدافزار رفتار خود را تغییر می دهد و از هر فعالیت بدخواهانه ای خودداری می کند. بدافزار بعد از اینکه به عنوان بی خطر علامت گذاری شد، به محض اجرا روی سیستم های واقعی فعالیت های مجرمانه خود را آغاز میکند. به همین ترتیب بد افزار می تواند از تکنیک های آنتی دیباگ برای خنثی کردن تجزیه و تحلیل زمان اجرا و دیباگ استفاده کند.
بهره برداری های رمزنگاری شده و هدف دار اخیرا به عنوان بخشی از بهره برداری های منتقل شده روی صفحات وب (کیت های بهره برداری) استفاده شده اند. برای اجتناب از کشف، الگوهای URL، سرور هاست، کلیدهای رمزنگاری و نام فایلها در هر انتقال تغییر داده می شوند.
این بهره برداری ها می توانند هانی پات ها را نیز با محدود کردن تعداد دسترسی ها به بهره برداری از یک آی پی مشترک پشت سر بگذارند.
در نهایت برخی از انواع حمله فاز بهره برداری را بعد از چند تعامل واقعی کاربر (مانند اسکرول کردن صفحه وب) شروع می کنند. با انجام این کار مهاجم اجرا روی یک ماشین واقعی را در برابر آنالیز دینامیک خودکار تضمین می کند.
روش های موثر فریب در طول سال ها مکانیزم های ناموثر فریب را ارائه کرده اند و مهاجمان را به برتری رسانده اند.
مدافعان دائما در حال تعقیب مهاجمان هستند، منابع سرمایه گذاری عظیم و تلاش بسیاری صرفا برای کشف و جلوگیری از انواع قدیمی حملات صرف می شود. به تبع، تقارنی که از دیرباز میان مدافعان و مهاجمان وجود دارد شکسته شده است. مهاجم می داند شخصی که میخواهد مورد حمله قرار دهد چه کسی است و چه زمانی، در چه مکانی و با چه ابزاری می خواهد حمله را صورت دهد در حالی که مدافع در عدم اطمینان دائمی به سر می برد.
دفاع هدف متحرک
سه مقوله اصلی امنیت MTD وجود دارد: (۱) MTD سطح شبکه، (۲) MTD سطح هاست و (۳) MTD سطح اپلیکیشن.
MTD سطح شبکه شامل چندین مکانیزم توسعه داده شده در طول سال هاست. برای مثال، IP-hopping برای تغییر آدرس آی پی هاست و در نتیجه افزایش پیچیدگی شبکه ای که مهاجم می بیند استفاده شده است.
شفافیت با نگه داشتن آدرس آی پی هاست و اختصاص یک آدرس آی پی تصادفی مجازی به هر هاست به دست نمی آید.
برخی تکنیک ها به دنبال فریب مهاجم، در فاز مپ کردن شبکه و شناسایی هستند. این تکنیک ها شامل استفاده از شماره پورت تصادفی، پورتهای باز یا بسته اضافی، هاست های جعلی شنیدن و پورت ناشناخته ترافیک است. تکنیک های دیگر به دنبال ارائه اطلاعات جعلی درباره هاست و نوع سیستم عامل و نسخه مثلا با ایجاد پاسخ های تصادفی سرویس های شبکه به مهاجم می باشند که از شناسایی سیستم عامل جلوگیری می کند.
MTD سطح هاست شامل تغییر هاست ها و منابع سطح سیستم عامل، نام و پیکربندی ها برای فریب مهاجم است.
Application MTD شامل تغییر محیط اپلیکیشن به منظور فریب مهاجم است. برای مثال Address Space Layout Randomization (ASLR) که توسط مایکروسافت معرفی شده است، شامل مرتب سای تصادفی طرح بندی حافظه فضای آدرس فرایند به منظور دشوار سازی اجرای shellcode برای مهاجم است.
سایر تکنیک ها شامل تغییر نوع اپلیکیشن و نسخه دهی و چرخاندن آنها میان هاست های متفاوت یا استفاده از تنظیمات و زبان های برنامه نویسی مختلف برای ترجمه کد و تولید کدهای متفاوت در هر تالیف است. در جدول ۲ تکنیک های متداول استفاده شده در مقوله های مختلف MTD لیست شده است.
تکنیک های فریب مورد استفاده توسط مهاجمین
بخش سیستم اطلاعاتی روش فریب
شبکه تغییر مسیر؛ آدرس ها، نامها و پورت های تصادفی
Firewall/IDS Policy تغییر
Host تغییر آدرس هاست، جایگزینی تصویر هاست.
OS تغییر نسخه و انتشار؛ تغییر ID هاست. تغییر آدرس های حافظه، سازه ها، نام های منابع

دفاع هدف متحرک وعده شکستن عدم تقارن میان مهاجم و مدافع را می دهد. اکنون مهاجم نیز باید تحت عدم قطعیت و عدم امکان پیش بینی عمل کند که سابقا این امر تنها، دغدغه مدافعان بود.
در حالی که MTD سطح شبکه مفهوم جالبی است، تصادفی سازی آدرس های آی پی، توپولوژی شبکه و پیکربندی به تنهایی کافی نیستند. مقصد نهایی برای مهاجمان هاست ها، سرورهای مستقر در پس شبکه ها، فایروال ها و روتر ها هستند.
سیستم عامل و اپلیکیشن ها اهداف پرسودی برای بهره برداری های zero-day، بدافزارها و Advanced Persistent Threats (APT) هستند، بنابراین به عنوان میدان فعالیت اصلی در بازی مدافع-مهاجم عمل می کنند.
مسلما، پارادایم MTD هنوز در مراحل ابتدایی خود به سر می برد، اما می توان پیش بینی کرد که بیشترین تمرکز آن بر برنامه های کاربردی و سیستم های عامل باشد.
برخی فن آوری های جدید، با ایجاد تغییرات محیطی در نرم افزارها و سیستم عامل ها، با شیوه ای ناشناخته برای مهاجمان در حال بردن پارادایم MTD به سطح بعدی هستند. در نتیجه، پیش فرض های ابتدایی مورد استفاده توسط مهاجمان در برنامه ریزی و استقرار مراحل تهاجم مختلف بی نتیجه شده است. هر فراخوانی تابع، پرش به آدرس و یا دسترسی به منابع مستلزم شکست احتمالی، همراه با نمایش کامل حمله است. تحت این شرایط، هزینه های حمله به شدت افزایش می یابد، در حالی که احتمال موفقیت آن به شدت کاهش می یابد و حمله عملا و از لحاظ اقتصادی کمتر امکان پذیر می شود.
در آینده ای نزدیک شاهد استفاده از MTD در جنگ سایبری به ظاهر بی پایان بین مدافعان و مجرمین خواهیم بود. آیا MTD برای این جنگ، پایان غیر منتظره ای به ارمغان می آورد؟ برای گفتن این امر هنوز خیلی زود است اما MTD به عنوان یک عامل جدید که قوانین جدیدی در این بازی قدیمی خصمانه تحمیل می کند، قد علم کرده است.

دیدگاهتان را ثبت کنید

آدرس ایمیل شما منتشر نخواهد شدعلامتدارها لازمند *

*

x

شاید بپسندید

امنیت کلاد - ماهنامه رایانه

پیاده سازی WAN امن در عصر کلاد…

در چند سال گذشته بسیاری از سازمان ها اتکای خود به اینترنت ...