نقش پراکسی و پروتکل در حسابرسی امنیتی و آنالیز بدافزاری

نقش پراکسی و پروتکل در حسابرسی امنیتی و آنالیز بدافزاری

بسیاری.از متخصصین در اینترنت anonymity را با ابزار anonymity (ناشناس ماندن).کاربری در محیط اینترنت مانند Tor مرتبط می‌دانند اما مسئله عمیق‌تر از این می‌باشد و به‌تنهایی به فعالیت کردن نامحسوس در وب ربط ندارد. وقتی در مورد ” anonymity (ناشناس ماندن) کاربری در محیط اینترنت” فکر می‌کنیم باید از نقش سرورهای پراکسی و برخی از پروتکل‌های ارتباطی آگاه باشیم. حالت anonymity (ناشناس ماندن) کاربری در محیط اینترنت به بدافزارها نیز ربط مستقیم دارد.

در زمان حسابرسی امنیتی و آنالیز بدافزاری قواعد ذیل را باید در نظر گرفت. دانستن این قواعد که ابزارهای اصلی مورداستفاده برای ارتباط‌گیری مستتر افراد و بدافزارها می‌باشد ضروری است.

یک پراکسی ابزاری است که به‌عنوان واسطه در ارتباطات عمل می‌کند. می‌توان نوع اطلاعات ارسالی به کاربر را از طریق نوع پراکسی استفاده‌شده شناسایی نمود و حتی آن را با ابزارهای خاصی ثبت نمود. پراکسی را می‌توان برای انواع فعالیت‌ها استفاده نمود: مدیریت پهنای باند، محدودسازی یک شبکه برای دانلود برنامه از وب‌سایت‌ها یا جلوگیری از دسترسی به سایت‌های خاص و غیره.
یک پراکسی مابین دستگاه کلاینت و دستگاه مقصد قرار می‌گیرد. انواع پراکسی‌های کاربردی به شرح ذیل است.

1. Transparent proxy: این پروکسی فیلدهای درخواست یا جواب را تغییر نمی‌دهد و فقط از آن درخواست احراز هویت و شناسایی می‌نماید. وقتی‌که کلاینت از یک Transparent proxy استفاده می‌کند، تمامی درخواست‌های ارسالی به سرور مقصد آدرس IP سرور کلاینت رادارند. اما این پراکسی.یک خط به header اضافه می‌کند که آدرس IP کاربر اصلی را نشان می‌دهد.

2. Highly anonymous proxy: این پراکسی برای ناشناس ماندن کامل کاربر طراحی‌شده است و آدرس IP و دیگر اطلاعات وی را فاش نمی‌کند. بیشترین تعداد کاربران به دنبال این نوع پراکسی هستند.

3. Anonymous proxy: این پراکسی آدرس IP کاربر را بر روی سرور ارسال‌کننده نشان نمی‌دهد. شاید در header آدرس IP قید شود ولی این آدرس پراکسی است نه کلاینت.
با دانستن این تفاوت‌ها می‌توان به نوع فعالیت‌ها نگرش داشت و بهترین پراکسی را بر اساس نیاز تحقیق بر روی بدافزار انتخاب کرد.
پروتکل‌ها یک سری قوانین هستند که ارتباط را مابین دو شبکه مانند کلاینت و سرویس برقرار می‌کنند تا اطلاعات ردوبدل شود. پروتکل‌های معمول و شناخته‌شده شامل HTTP، SOCKS4 و SOCKS5 می‌شوند.

• منشور انتقال ابرمتن یا Hypertext Transfer Protocolیک پروتکل لایهٔ کاربرد (Application Layer) برای سیستم‎های توزیع شده طراحی‌شده است. این پروتکل عمومی در ابرمتن‎ها و در بسیاری از زمینه‎های دیگر کامپیوتری مانند DNS قابل‌استفاده می‌باشد.

• ساکس یا: SOCKS بسته‌های شبکه رابین کلاینت و سرور به‌وسیله پراکسی سرور SOCKS5 انتقال می‌دهد. همچنین امکان اصالت‌سنجی کاربران نیز وجود دارد تا تنها کاربران شناسایی‌شده بتوانند از این سرویس استفاده کنند.

ساکس در لایه پنجم (لایه نشست) مدل OSI کار می‌کند و هر برنامهٔ کاربردی که به‌عنوان .ساکس سرور تنظیم‌شده است می‌تواند این سرویس را بر روی یکی.از درگاه‌های آزاد موجود در سرور ارائه دهد. SOCKS4 فقط ارتباطات TPC را پشتیبانی می‌کند و از روش احراز هویت مانند SOCKS5 برخوردار نمی‌باشد.

در زمان اتصال و تعامل مستقیم.با هر وسیله مهم است که بدانید که چه نوع اطلاعاتی در حال ارسال است.

فرض کنید که در حال حسابرسی امنیتی با مقامات مربوط هستید. برای از بین بردن یک.شبکه مجرمین سایبری باید تعداد زیادی پروسه‌ها اجرا شود که با وسایل حمله‌کنندگان تعامل پیدا کنند. با استفاده از anonymity، محقق هویت واقعی و آدرس IP خود را پنهان می‌کند. اگر مجرمین سایبری از وجود شما آگاه شوند، شاید سعی کنند روشی برای اتصال از یکی از شبکه مسئولین ایجاد کنند و این کار با دریافت اطلاعات.و سوابق عمومی شامل مدارک ثبت سازمانی امکان‌پذیر خواهد شد.

botmaster،

توصیه می‌شود که محقق به ابزار خود دستور دهد که به‌صورت خودکار نمونه‌هایی از کدهای مخرب مجرمین سایبری را از سایت‌ها دانلود کند. اگر قصد ندارید که ردپایی (به دلایل محرمانگی، شخصی یا موقعیت در دست) از شما باقی بماند، داشتن ابزار رد پاک‌کنی برای شما بسیار مفید خواهد بود.
برای مثال در زمان تحقیق بر یک Botnet، پس از شناسایی آدرس محل پانل کنترل botmaster، اگر سعی کنید به آن دسترسی پیدا کنید دو حالت ممکن است اتفاق بی افتد.

• در صورت تعامل مستقیم، حمله‌کننده ممکن است در لاگ خود اخطاری دریافت کند و احتمال دهد که فرد دیگری به‌غیراز Bot سعی بر اتصال با سرور دارد. در زمان متوجه شدن اینکه این واقعه از یک آدرس IP بخصوص می‌آید، حمله‌کننده سعی بر بلوکه کردن آن یا ایجاد عدم دسترسی به پانل کنترل می‌کند.

پس محقق یک پیام منفی در زمان تلاش برای دسترسی دریافت می‌کند و نمی‌تواند تحقیق را ادامه دهد.

• با داشتن anonymity، نتیجه می‌تواند همانند مورد.بالا باشد، اما منافع در تغییر دادن هویت شبکه (آدرس IP محقق) می‌باشد. با استفاده از یک ابزار مخفی کننده هویت.قوی شما ردپایی از خود باقی نخواهید گذاشت. اگر هکر شمارا در حالت anonymity بلوکه کند، آدرس IP سرور پراکسی بلوک می‌شود. شما از هویت دیجیتال خود محافظت نموده و حملات متقابل شمارا هدف قرار نخواهد داد.

در زمان انجام تحقیقات مانند حسابرسی امنیتی و آنالیز بدافزار تفاوت‌های مابین HTTP، SOCKS4 و SOCKS5 را در نظر داشته باشید و به‌هیچ‌عنوان ریسک نکنید. نوع فعالیت، نوع anonymity و نوع اتصال خود را در نظر بگیرید. برای بالاترین نوع امنیت SOCKS5 توصیه می‌گردد.

بر اساس نوع موقعیت.و وضعیت عوامل دیگری را نیز باید در نظر داشته باشید. Tor یک شبکه بدون.هزینه برای ورود به اینترنت با anonymity است. ابزارهای دیگری مانند Privoxy و ProxyChains نیز جهت حفظ anonymity وجود دارد که می‌تواند به همراه ابزار دیگر از آن‌ها استفاده نمود.

در زمان تحقیقات باید هوشیار باشید.و همیشه فعالیت‌ها را بررسی کنید.و به بنید که anonymity نیاز است یا خیر. در صورت نیاز به آن سطوح آنالیز را در نظر بگیرید. هرقدر امنیت اتصال بیشتر باشد شرایط کاری بهتر.خواهد بود. یک محقق باید کارکرد و روش‌ها را دقیق بداند.و خود را به یک ابزار خاص محدود نکند. با افزایش تجربه می‌توانید ابزارها را customize کنید که در آنالیز نمودن بدافزار مسئله.مؤثری است.