امنیت

فناوری اطلاعات

July 24, 2020
16:24 جمعه، 3ام مردادماه 1399
کد خبر: 114402

ریدایرکت‌ها به مزایده گذاشته می‌شوند!

مدتی می‌شود که لینک‌های زیرِ ویدیوهای یوتیوب یا مقالات ویکی‌پدیا را که در یک مقطع زمانی شروع کردند ریدایرکت شدن به صفحات برنامه‌های شریک[1]، سایت‌های فیشینگ یا حتی بدافزار زیر نظر قرار داده‌ایم. به نظر اینطور می‌آید که مهاجمین تعمداً داشتند دامنه‌ها را می‌خریدند؛ اما همیشه سناریو پیچیده‌تر از اینهاست. همین اواخر، وقتی داشتیم رفتار برنامه‌ای نه چندان جدید را مورد بررسی قرار می‌دادیم، کشف کردیم چطور لینک‌ها به لینک‌هایی مخرب تبدیل می‌شوند. در ادامه با ما همراه شوید تا مفصلاً به این مبحث بپردازیم.
وقتی ابزار دستیار قانونی شرکت Ultima Online به نام Razor Enhanced شروع کرد به امتحان کردنِ دسترسیِ URL مخرب، نظرمان بدان جلب شد.
 
از آنجایی که هیچ چیز مشکوکی در کد برنامه پیدا نکردیم، واضح بود که ایراد کار از جایی دیگر است. وقتی رفتیم سراغ سایتی که برنامه تلاش داشت بدان دسترسی پیدا کند، مقاله خرد[2] در خصوص مزایده‌ا‌ی محبوب که این دامنه را برای فروش گذاشته بود پیدا کردیم. گزارشات WHOIS[3] حاکی از این بود که صاحبش مدتی است پول نام دامنه را پرداخت نمی‌کند و با استفاده از سرویسی مخصوص ردیابی دامنه‌های عرضه‌شده خریداری گشته و بعد در سایت مزایده برای فروش گذاشته شده است.
اگر قرار باشد دامنه‌ای در مزایده برای فروش گذاشته شود، ابتدا می‌بایست روی سرورهای DNS پلت‌فرم معاملاتی قرار گیرد؛ جایی که آنقدر می‌ماند تا بالاخره به صاحب جدیدش انتقال یابد. هرکسی که از این سایت دیدن کند این آگهی را خواهد دید.
 
ما که این صفحه را مدتی است زیر نظر قرار دادیم، متوجه شدیم که گهگاه بازدیدکنندگانی که در ابتدا به وبسایت توسعه‌دهنده‌ی اپ ‌رفتند (وبسایتی که حالا غیرفعال شده است)، به مقاله خرد مزایده برنخوردند اما روی منبع مخرب فرود آمدند (چیزی که در اصل برای Razor Enhanced وقتی که تصمیم گرفت آپدیت‌ها را چک کند افتاد). سپس، دریافتیم که سایت تبلیغاتی مزایده بازدیدکنندگان را نه به منبعی خاص که به وبسایت‌هایی مختلف نظیر وبسایت‌های روی شبکه‌های اینترنتی شرکا ریدایرکت می‌کند. افزون بر این، نوع این ریدایرکت می‌تواند بسته به کشور و عامل کاربری متفاوت باشد: وقتی قربانی از دستگاه macOS دسترسی پیدا می‌کند ممکن است روی صفحه‌ای فرود آید که تروجان Shlayer دانلود می‌کند.
ما فهرست آدرس‌هایی را که Shlayer از آن‌ها دانلود شده بود مورد بررسی قرار دادیم و دریافتیم که اکثریت نام‌های دامنه روی همان پلت‌فرم معاملاتی برای مزایده گذاشته‌اند. بعد تصمیم گرفتیم درخواست‌های منبع (منبعی که کاربران Razor Enhanced بدان ریدایرکت می‌شدند) را چک کنیم. در طی این بررسی متوجه شدیم حدود 100 مقاله خرد دیگر هم روی همین پلت‌فرم معاملاتی وجود دارد؛ خرده متن‌هایی که بازدیدکنندگان خود را به یک آدرس یکسان ارجاع می‌دادند. در طول این بررسی، (به طول کلی) حدود 1000 صفحه‌ی این چنینی پیدا کردیم اما ارقام واقعی شاید بسیار بیشتر از این حرف‌ها باشد.
بر اساس داده‌های مارس 2019 تا فوریه 2020، هشتاد و نه درصد سایت‌هایی که درخواست‌هایی از سوی خرده مقالات بدان‌ها ریدایرکت شده بود مضمون تبلیغاتی داشتند. 11 درصد باقیمانده هم تهدیدی به شدت جدی به حساب می‌آمدند: آن‌ها کاربر را مجبور می‌کننده به نصب بدافزار یا دانلود MS Office یا داکیومنت‌های مخرب به همراه لینک‌هایی به وبسایت‌های جعلی و غیره.
می‌شود اینطور پنداشت که یکی از منابع مالی مجرمان سایبری، تولید ترافیک برای صفحات برنامه‌ی شریک است (هم آگهی‌های تبلیغاتی و هم تبلیغات مخرب و آلوده). بعنوان مثال، چنین منبعی در عرض ده روز (به طور متوسط) حدود 600 درخواست ریدایرکت از سوی برنامه‌ها دریافت می‌کند که مانند Razor Enhanced تلاش دارند به سایت توسعه‌دهنده دسترسی پیدا کنند.
دست‌های پشت‌پرده!
فرضیه‌های مختلفی در این میان وجود دارد که محتمل‌ترینش این است: ریدایرکت‌های آلوده از ماژولی دستور می‌گیرند که محتوای شبکه‌ی آگهی طرف‌سوم را نمایش می‌دهد. ترافیک آلوده می‌تواند در پی عدم فیلتر آگهی پدیدار شود و یا چون مهاجمین برای تغییر تنظیمات و جایگزینیِ ریدایرکت‌ها در ماژول تبلیغاتی (یا خود پلت‌فرم معاملاتی) از آسیب‌پذیری‌ها استفاده می‌کنند. برای نتیجه‌گیری کردن خیلی زود است اما بر اساس داده‌هایی که تاکنون جمع‌آوری ‌شده، می‌توان فرض را بر این گرفت که ما با شبکه‌ای (بخوبی) سازمان‌یافته –و شاید به زیرکی مدیریت‌شده- سر و کار داریم که می‌تواند با استفاده از ریدایرکت‌هایی از سوی نام دامنه‌های قانونی و منابع یکی از بزرگ‌ترین و قدیمی‌ترین مزایده‌های دامنه جریان‌های ترافیک را به سایت‌های مجرمان سایبری دایورت کند.
مشکل اصلی برای بازدیدکنندگانِ منابع قانونی این است که بدون راهکاری امنیتی آن‌ها قادر نخواهند بود جلوی ریدایرکت شدن به سایت آلوده را بگیرند. علاوه بر این، برخی بازدیدکنندگان از چنین سایت‌هایی ممکن است با تایپ کردن آدرس از حفظ، کلیک روی لینکی در پنجره About اپی که از آن استفاده می‌کنند و یا پیدا کردنشان در موتورهای جست‌وجو مسیرشان به آنجا بیافتد. 
 
 
 
منبع: کسپرسکی آنلاین 
 
 
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.