کالبدشکافی سناریوهای هکرها قبل از حمله

پیش از آنکه کامپیوتر‌ها به خانه‌ها راه پیدا کنند، مفهوم نفوذ نه با کد، بلکه با صدا شکل گرفته بود. در اواخر دهه ۱۹۵۰، افرادی در قالب جریان (Phreake) «فریک» با دستکاری فرکانس‌های صوتی، سیستم‌های مخابراتی را فریب می‌دادند. در همین فضا، «جو انگریسیا» نشان داد که حتی پیچیده‌ترین سیستم‌ها نیز دارای نقاط ضعف هستند؛ ایده‌ای که بعد‌ها به یکی از پایه‌های فکری دنیای هک تبدیل شد. هم‌زمان، در محیط‌هایی مانند MIT، واژه «هکر» بیشتر به معنای خلاقیت و نوآوری به‌کار می‌رفت. اما با گسترش شبکه‌ها، این مفهوم دستخوش تغییر شد و نفوذ به یک چالش امنیتی جدی بدل گشت؛ چالشی که امروز با لایه‌هایی به‌مراتب پیچیده‌تر ادامه دارد. همان منطقی که روزی در فریب یک سیستم ساده دیده می‌شد، اکنون در سطحی پیشرفته‌تر تکرار می‌شود؛ پیش از آغاز حمله، همه‌چیز از پیش آماده شده است.

هکر‌ها چگونه اهداف خود را زیر نظر می‌گیرند؟

توسعه منابع؛ مرحله‌ای پنهان، اما تعیین‌کننده

مهاجمان پس از مرحله شناسایی، وارد فاز «توسعه منابع» (Resource Development) می‌شوند؛ مرحله‌ای که در آن تلاش می‌کنند بدون جلب توجه؛ ابزارها، دسترسی‌ها و زیرساخت‌های موردنیاز برای حمله را آماده کنند. این منابع می‌تواند شامل دسترسی‌های آماده، حساب‌های کاربری، سرور‌ها یا حتی زیرساخت‌های از پیش آلوده باشد. مهم‌ترین راهکار دفاعی در این مرحله، «رصد مستمر» است.

سازمان‌ها باید با بهره‌گیری از سامانه‌های پایش مداوم (Monitoring) و تحلیل رفتار کاربران و شبکه (UEBA)، هرگونه دسترسی غیرعادی یا ایجاد منابع مشکوک را شناسایی کنند. همچنین اجرای اصل «حداقل دسترسی» (Least Privilege) باعث می‌شود حتی در صورت دستیابی مهاجم به بخشی از سیستم، دامنه نفوذ او محدود باقی بماند.

خرید دسترسی آماده؛ میانبر ورود مهاجمان به شبکه

یکی از روش‌های رایج مهاجمان، خرید دسترسی‌هایی است که پیش‌تر هک شده‌اند. شبکه‌هایی موسوم به «کارگزاران دسترسی اولیه» این امکان را فراهم کرده‌اند که مهاجمان بدون صرف زمان برای نفوذ اولیه، مستقیماً وارد سیستم‌های آلوده شوند. این دسترسی‌ها می‌تواند از طریق در‌های پشتی مانند Web Shell (برنامه‌های مخربی که توسط مهاجم روی سرور قربانی بارگذاری می‌شوند) یا از طریق سرویس‌های دسترسی راه دور فراهم شده باشد. در برخی موارد، سیستم‌ها به‌گونه‌ای آماده‌سازی می‌شوند که امکان نصب بدافزار‌های جدید برای خریداران وجود داشته باشد. چنین رویکردی، هزینه و زمان حمله را کاهش داده و تمرکز مهاجم را به مراحل بعدی منتقل می‌کند.

رابرت موریس، متخصص رمزنگاری: سه قانون طلایی برای اطمینان از امنیت رایانه؛ رایانه نداشته باش، به برق وصلش نکن و از آن استفاده نکن.

برای مقابله با این تهدید، استفاده از احراز هویت چندمرحله‌ای (MFA) ضروری است؛ چرا که بسیاری از این دسترسی‌ها مبتنی بر نام کاربری و رمز عبور افشاشده هستند. علاوه بر این، پایش مستمر ورود‌ها (Login Monitoring)، شناسایی ورود از موقعیت‌های جغرافیایی غیرعادی و به‌کارگیری سیاست‌های «Zero Trust» می‌تواند از سوءاستفاده از این دسترسی‌ها جلوگیری کند.

تأمین زیرساخت؛ ستون پنهان عملیات

اجرای حملات سایبری بدون زیرساخت ممکن نیست. مهاجمان برای پیشبرد عملیات خود از سرورها، دامنه‌ها و سرویس‌های آنلاین استفاده می‌کنند؛ منابعی که ممکن است خریداری، اجاره یا حتی از طریق سرویس‌های رایگان تهیه شوند. در کنار این موارد، بات‌نت‌ها نیز به‌عنوان ابزاری آماده در اختیار مهاجمان قرار دارند. این زیرساخت‌ها به آنها امکان می‌دهد فعالیت‌های خود را در میان ترافیک عادی پنهان کرده و در صورت نیاز، به‌سرعت آنها را تغییر دهند.

در این بخش، استفاده از سامانه‌های تشخیص و جلوگیری از نفوذ (IDS/IPS) و همچنین فیلتر کردن ترافیک خروجی (Egress Filtering)، می‌تواند ارتباط با زیرساخت‌های مخرب را شناسایی و مسدود کند. بهره‌گیری از «تهدیدشناسی» (Threat Intelligence) برای شناسایی دامنه‌ها و IP‌های مشکوک نیز نقش مهمی در قطع زنجیره حمله ایفا می‌کند.

حساب‌های کاربری؛ نفوذ از مسیر اعتماد

در بسیاری از حملات، مسیر ورود از طریق یک حساب کاربری معتبر هموار می‌شود. به همین دلیل، مهاجمان تلاش می‌کنند به حساب‌های موجود دسترسی پیدا کرده و از آنها به‌عنوان هویتی قابل اعتماد استفاده کنند. این دسترسی‌ها می‌تواند از طریق فیشینگ، خرید اطلاعات ورود، حملات حدس رمز عبور یا حتی همکاری افراد داخلی به‌دست بیاید. در برخی موارد، مهاجمان با تکمیل یا اصلاح اطلاعات حساب، آن را واقعی‌تر جلوه داده و برای مراحل بعدی آماده می‌کنند.

جیم زاوینسکی(Jamie Zawinski)، معروف به jwz از بنیانگذاران نرم افزار آزاد: اگر به یک هکر اسباب بازی جدید دهید، اولین کاری که انجام می دهد، جدا کردن قطعاتش و فهمیدن آنکه چطور کار میکند، است

آموزش کاربران در برابر حملات فیشینگ، استفاده از رمز‌های عبور قوی و منحصر‌به‌فرد و فعال‌سازی احراز هویت چندمرحله‌ای (MFA)، از مهم‌ترین اقدامات دفاعی در برابر این نوع نفوذ است. علاوه بر این، بررسی دوره‌ای سطح دسترسی‌ها و حذف حساب‌های بلااستفاده می‌تواند سطح ریسک را کاهش دهد. پیاده‌سازی سامانه‌های تشخیص رفتار غیرعادی، به شناسایی سریع‌تر سوءاستفاده از حساب‌ها نیزکمک می‌کند.

زیرساخت‌های هک‌شده؛ پنهان شدن در دل اعتماد

در کنار ایجاد زیرساخت‌های جدید، استفاده از زیرساخت‌های از پیش هک‌شده نیز یکی از روش‌های رایج مهاجمان است. این زیرساخت‌ها می‌تواند شامل سرورها، دامنه‌ها یا حتی سرویس‌های معتبر اینترنتی باشد. مزیت این رویکرد، کاهش احتمال شناسایی است؛ چرا که حمله از بستری انجام می‌شود که در ظاهر قابل اعتماد به نظر می‌رسد. این منابع می‌توانند برای اجرای حملات، راه‌اندازی کمپین‌های فیشینگ، ایجاد شبکه‌های واسط یا تشکیل بات‌نت مورد استفاده قرار گیرند.

در چنین شرایطی، اتکا کردن به معتبر بودن یک سرویس کافی نیست. سازمان‌ها باید از مدل «Zero Trust» بهره ببرند و هر ارتباط حتی از منابع ظاهراً قابل اعتماد را اعتبارسنجی کنند. تحلیل رفتار ترافیک شبکه (Network Behavior Analysis) و استفاده از گواهی‌های دیجیتال معتبر می‌تواند به شناسایی فعالیت‌های غیرعادی کمک کند.

هکرها منتظر حضور شما در فضای مجازی هستند

حملات سایبری پیش از آنکه به‌صورت عملی آغاز شوند، در مرحله‌ای خارج از دید کاربران طراحی و آماده‌سازی می‌شوند. تاکتیک «توسعه منابع» به مهاجمان این امکان را می‌دهد که با صرف کمترین هزینه، بیشترین اثرگذاری را داشته باشند. در چنین فضایی، صرف آگاهی کافی نیست؛ آنچه اهمیت دارد، تبدیل این شناخت به اقدام عملی است. هرچه این مرحله زودتر شناسایی شود، احتمال متوقف کردن حمله پیش از وقوع، به‌مراتب بیشتر خواهد بود.