چگونه بفهمیم هک شدیم؟

هر روز می‌بینیم که در فضای مجازی نفوذ امنیتی رخ داده و اطلاعات حیاتی اشخاص به سرقت می‌رود . این اطلاعات شامل میلیون‌ها رکورد به سرقت رفته از مؤسسات مالی و یا حتی اشخاص حقیقی می‌باشد . همیشه این سؤال مطرح بوده که از کجا بفهمیم هک شدیم ؟ چه تضمینی وجود دارد که سیستم ما ایمن است ؟ سطح امنیت اطلاعات ما در چه سطحی است ؟ آیا مورد حمله قرار گرفته‌ایم ؟ آیا هک شدیم ؟

هک شدیم یا خیر

پاسخ به این سؤال‌ها که هک شدیم یا نه ساده نیست . نرم افزارهای هکرها روز به روز پیچیده‌تر می‌شود و تشخیص عامل خارجی تعبیه شده در سیستم شما دشوار خواهد بود . هرچند آنتی ویروس ها و نرم افزارهای تشخیص بدافزار می‌توانند سیستم شما را تا حدی از آلوده شدن ایمن نگه‌دارند ولی در بسیاری از شرایط زمانی که سیستم آلوده شد ، دیگر نرم‌افزار آنتی ویروس کاربردی نخواهد بود و قادر به شناسایی عامل آلودگی نیست .
دلیلش این است که بدافزارها خود را درون فایل‌های سیستمی شما جا می‌دهند و خود را شبیه فایل‌های سیستمی در آورده و شبیه آن‌ها رفتار می‌کنند .
گاهی اوقات بدافزار خود را جایگزین یک فایل حیاتی سیستمی می‌کند ، همان نام را به خود گرفته ، همان عمل‌کرد را خواهد داشت ولی در مقابل نقشی نفوذی دارد . به این شیوه سیستم شما در ظاهر به درستی عمل‌کرد خواهد کرد ولی عامل نفوذی به هکر دسترسی ریموت به سیستم شما را خواهد داد و سیستم شما به یک سیستم زامبی تبدیل خواهد شد .

هکرها چه استفاده‌ای از سیستم شما خواهند برد ؟

حتماً تاکنون می‌دانید که هکرها ممکن است اطلاعات کارت های اعتباری و رمزهای عبور شما به سرقت برده و … ولی برخی هکرها فقط قصد استفاده از منابع سیستم شما را دارند . این هکرها هزاران سیستم و یا حتی میلیون‌ها سیستم را در سراسر دنیا آلوده می‌کنند و از این طریق پدیده‌ای با نام بوتنت Botnet را ایجاد می‌کنند .
بوتنت چیزی نیست جز یک شبکه بکارگیری شده از کامپیوترها که توسط یک دستور ساده از مرکز (سیستم هکر) کنترل می‌شوند . این موضوع صحت دارد چیزی حدود ۳۰ تا ۵۰ درصد سیستم‌های کاربران (بیشتر کاربران عادی و مصرف کننده) بخشی از یک شبکه بوتنت هستند .
این بوتنت ها را می‌توان به منظور فعالیت‌های مخرب استفاده کرد . بوتنت ها را می‌توان به منظور ارسال اسپم ، کرک پسوردها ، حملات توزیع شده و گسترده Ddos و … مورد استفاده قرار داد . در نتیجه این فعالیت‌ها سیستم شما عمل‌کرد خوبی نخواهد داشت چرا که منابع سیستم شما جای دیگری درگیر هستند .
خوب مروری بر این موضوع خواهیم داشت که چگونه تشخیص دهیم سیستم ما آلوده شده است یا خیر و آیا هک شدیم یا خیر

گام اول : اجرای نرم افزارهای ضد بدافزار و آنتی ویروس

در اینجا آن‌ها را برنامه‌های AV می‌نامیم . بایستی برنامه‌ای قوی در اختیار داشته باشید تا ویروس ها ، بدافزارها ، تروجان ها ، کرم‌ها ، روت کیت ها و کیلاگر ها را شناسایی کند . برنامه‌های AV زیادی در دسترس هستند . مشکل اینجاست که حتی بهترین برند نرم افزاری چیزی حدود ۵ تا ۱۰ درصد از بدافزارها را شناسایی نخواهد کرد . چرا که هکرها هر روزه در حال ایجاد و توسعه بدافزارها هستند . در مقابل شرکت های آنتی ویروس دایما این بدافزارها را شناسایی کرده و برای آن‌ها امضای جدید ایجاد می‌کنند . در این فاصله همیشه درصد قابل توجهی بدافزار شناخته نشده باقی می‌ماند (آسیب پذیری ساعت صفر) که در نتیجه اگر سیستم شما گرفتار یکی از آن‌ها شود ، نرم‌افزار آنتی ویروس بی‌فایده خواهد بود .
ولی با این حال توصیه می‌شود یک برنامه آنتی ویروس شناخته شده و قدرتمند را به منظور حفاظت از سیستم خود انتخاب کنید . یکی از مهم‌ترین فاکتورهای یک آنتی ویروس خوب بروزرسانی دایم است . چرا که این آپدیت ها امضای برنامه‌های مخرب جدید را در بردارند . برای مصرف کننده گان عادی تشخیص یک آنتی ویروس خوب کار دشواری است در مقابل فروشندگان این نرم‌افزارها همگی ادعا می‌کنند بهترین سرویس را به مشتریان خود ارایه می‌کنند . ولی سازمان های بی‌طرفی وجود دارند که برنامه‌های آنتی ویروس را از جنبه‌های گوناگون ارزیابی می‌کنند . یکی از معروف ترین آن‌ها ویروس بولتین می‌باشد :

https://www.virusbtn.com/index

گام دوم : بررسی Task Manager

اولین کاری که پس از مشکوک شدن بایستی انجام دهید این است که Task Manager ویندوز را چک کنید . با فشردن Ctrl+Shift+Esc بخش مدیر وظیفه ویندوز باز می‌شود . زمانی که Task Manager باز شد به برگه Processes رفته و با پنجره مشابه زیر مواجه خواهید شد . به پایین پنجره به میزان مصرف CPU توجه کنید . در حالت عادی و بدون استفاده و سیستم نباید مصرف بالاتری از ۱۰ درصد را CPU را داشته باشد .

گام سوم : بررسی یکپارچگی ویندوز با ابزار System Integrity Checker

در صورتی که میزان مصرف پردازنده شما در حالت بدون استفاده بالا بود نشان دهنده این موضوع است که مشکلی وجود دارد . با استفاده از ابزار خط فرمان System Integrity Checker می‌توانید اطمینان حاصل کنید ک فایل‌های سیستمی شما با فایل‌های مخرب جایگزین نشده‌اند . به این منظور دستور زیر را در خط فرمان وارد کنید .

گام چهارم : بررسی ارتباطات شبکه با Netstat

در صورتی که بدافزار در سیستم شما وجود داشته باشد به منظور عمل‌کرد خود بایستی به نحوی و بر روی پورت بخصوصی از خارج سیستم توسط هکر کنترل شود . با کنترل ارتباطات شبکه سیستم خود می‌توانید مطمئن شوید شبکه شما ایمن است . به این منظور بایستی ارتباطات شبکه خود را بشناسید تا اتصالات نفوذ را شناسایی کنید . با استفاده از ابزار درون ساخت netstat درون خط فرمان ویندوز می‌توانید شبکه را بررسی کنید :

گام پنجم : بررسی اتصالات شبکه با ابزار وایرشارک

هرچند Netstat ابزار خوبی است ولی به منظور بررسی دقیق‌تر شبکه می‌توانید از وایرشارک استفاده کنید . وایرشارک یک ابزار شنود بسته های ورودی در شبکه می‌باشد که مدیران شبکه و متخصصان امنیتی از آن به منظور بررسی و مانیتورینگ شبکه استفاده می‌کنند . شما با استفاده از وایرشارک می‌توانید بسته های مشکوک را شناسایی کنید . آموزش استفاده از وایرشارک در حد چندین کتاب مطلب دارد ولی در اینجا شیوه ای ساده به منظور رسیدن به بسته های مشکوک را معرفی می‌کنیم . ابتدا ابزار وایرشارک را از اینجا دانلود و بر روی سیستم خود نصب کنید .

سپس ابزار را باز کرده و اتصال اصلی شبکه خود را به وایرشارک اضافه کنید .

یک اسکن چندین دقیقه‌ای را آغاز کنید . مشاهده می‌کنید که سیل عظیمی از بسته ها برای شما نمایش داده می‌شود (به ویژه در صورتی که سیستم شما درگیری ارتباطات شبکه ای زیادی باشد) .

برای اینکه بتوانید بسته ها را به آسانی از یکدیگر تشخیص دهید ، وایرشارک قابلیت کلیدی با نام فیلتر دارد . شما با استفاده از فیلتر ها می‌توانید نتایج بدست آمده را گلچین کنید تا به جواب دلخواه برسید . از آنجایی که هکرها به منظور جلوگیری از شناسایی شدن توسط نرم افزارهای آنتی ویروس از پورت های شماره بالاتر استفاده می‌کنند ، در نتیجه ابتدا بایستی پورت ها را فیلتر کنید . بعلاوه شما می‌خواهید فقط ارتباطات با آدرس آیپی سیستم خودتان را مشاهده کنید به همین منظور آدرس آیپی مبدأ را در فیلتر گنجانده و پورت ها را بین شماره پورت های ۱۵۰۰ تا ۶۰۰۰۰ قرار دهید . چگونه با وارد کردن فیلتر زیر و Apply کردن آن بر روی نتایج کپچر شده :

ip.src == 192.168.1.3 and tcp.port > 1500 and tcp.port < 60000

هرچند که چنین فیلتری در همه شرایط کافی نخواهد بود ولی ایده مناسبی را به شما می‌دهد .

پس از فیلتر کردن ، آدرس آیپی و پورت بسته های باقی‌مانده را چک کنید . آدرس های آیپی را درون مرورگر وارد کنید و مطمئن شوید که از منابع معتبری (نه سرور هکر) هستند .

در اینجا شیوه هایی برای تشخیص این موضوع که آیا هک شدیم یا خیر را بیان کردیم . با تمام این اوصاف بررسی و شناسایی آلودگی درون سیستم شما کار ساده‌ای نیست . مسلماً اکثر اشخاص ساده‌ترین تکنیک یعنی انتخاب یک آنتی ویروس خوب را بهترین راه می‌دانند ولی تکیه بر یک نرم‌افزار به هیچ وجه تضمین کننده امنیت سیستم نخواهد بود .

مطالعه بیشتر