
Reverse Engineering the Tools of the Underground Economy
در سالهای اخیر، حملات سایبری فلجکننده علیه زیرساختهای حیاتی مانند خطوط لوله سوخترسانی کلونیال پایپلاین و دهها بیمارستان و مرکز درمانی در سراسر جهان، توجه افکار عمومی را به پدیدهای هولناک جلب کرد: اقتصاد زیرزمینی جرایم سایبری. این حوادث ناگوار، پیامدهای ملموس، مخرب و واقعی انواع بدافزارها و به ویژه باجافزارها را به تصویر کشیدند؛ زمانی که شهروندان عادی مجبور شدند برای دریافت سوخت در صفهای طولانی منتظر بمانند و بیماران از عدم کارکرد زیرساختهای حیاتی بیمارستانها به وحشت افتادند. برای بسیاری از مردم، اصطلاح وب تاریک یا همان دارک وب، حس ابهام، توطئه و حتی ترس را تداعی میکند. اما آیا تا به حال از خود پرسیدهاید که وب تاریک واقعاً چیست و چه جریانی در عمق آن در حال حرکت است؟
کتاب کالبدشکافی تاریکخانه دیجیتال شما را به یک سفر واقعی و بیواسطه به درون این اقتصاد مخفی میبرد. هر روز در انجمنهای زیرزمینی وب تاریک، میلیونها اطلاعات کاربری سرقتشده، ابزارهای ساخت بدافزار و کیتهای نفوذ خرید و فروش میشوند. این کتاب چاپی و فیزیکی، به عنوان یک مرجع کاملاً تحلیلی و مهندسی، به شما آموزش میدهد که چگونه ابزارهای معاملهشده در این بازارها را مهندسی معکوس و تحلیل کنید. هدف این اثر نهتنها ارائه درک فنی عمیق از معماری هر بدافزار، بلکه تحلیل همهجانبه بستر عملیاتی و نقش آنها در چشمانداز دفاع سایبری است. این کتاب ارزشمند، نزدیکترین فرصت ممکن برای نفوذ به ذهن تفکر مجرمان سایبری و شناخت دقیق ساختار معاملات آنها است.
برای درک ساختار زیرزمینی اینترنت، ابتدا باید تفاوت لایههای مختلف شبکه را به درستی درک کنیم. اینترنت از سه لایه اصلی تشکیل شده است که عملکرد کاملاً متفاوتی دارند.
وب آشکار همان بخشی از شبکه است که همه ما روزانه از آن استفاده میکنیم. موتورهای جستجوی بزرگ با استفاده از برنامههای خودکار به نام خزنده، به طور مداوم صفحات مختلف اینترنت را جستجو و اطلاعات آنها را استخراج میکنند تا در پایگاه داده خود ذخیره نمایند؛ فرآیندی که به آن نمایهسازی میگویند. وبسایتها میتوانند با استفاده از یک فایل متنی به نام راهنمای رباتها در ریشه سایت خود، مشخص کنند که کدام بخشها نباید نمایهسازی شوند، هرچند خزندههای مخرب معمولاً این توصیهها را نادیده میگیرند.
وب عمیق به بخشهایی از اینترنت گفته میشود که توسط موتورهای جستجو نمایهسازی نمیشوند. محتوای این لایه اصلاً ماهیت مجرمانه ندارد؛ بلکه شامل صفحات محافظتشده با رمز عبور، پورتالهای دانشگاهی غیرقابل دسترس، حسابهای بانکی آنلاین و صفحات پشت دیوار پرداخت است. شما برای ورود به این سایتها به ابزار خاصی نیاز ندارید و از مرورگرهای معمولی استفاده میکنید، اما باید نشانی دقیق صفحه را در اختیار داشته باشید. بخشی از انجمنهای گفتگوی معرفیشده در این کتاب در این دسته قرار میگیرند.
وب تاریک لایهای کاملاً متمایز است که به طور ویژه برای میزبانی از بازارهای غیرقانونی، فروش ابزارهای مخرب و خدمات مشکوک طراحی شده است. دسترسی به این لایه نیازمند نرمافزار تخصصی به نام تور (Tor) است. مرورگرهای عادی به دلیل عدم پشتیبانی از سیستم حل نام دامنه اختصاصی وب تاریک، قادر به یافتن آدرس آیپی این سایتها نیستند. این کتاب فیزیکی مکانیزمهای دقیق عملکرد این لایه را به چالش میکشد.
کلمات کلیدی:این کتاب چاپی یک منبع بینظیر برای تمام کسانی است که میخواهند دانش خود را در زمینه شناخت رفتارهای بازیگران تهدید و ساختار بازارهای زیرزمینی توسعه دهند.
اگر شما یک مهندس نرمافزار یا برنامهنویس هستید که به حوزه بدافزارها و مهندسی معکوس علاقه دارید، پروژهها و کارگاههای این کتاب برای شما فوقالعاده مفید خواهند بود. بیشتر مباحث فنی کتاب شامل تحلیل کدهایی به زبانهای سی، جاوا، سیشارپ، راست و گو است. هرچند نیازی نیست در تمام این زبانها متخصص باشید، اما داشتن توانایی خواندن و درک منطق کدهای برنامهنویسی برای پیشبرد مباحث کتاب ضروری است. متخصصان ارشد مهندسی معکوس نیز میتوانند از این اثر برای درک بستر تجاری پشت این ابزارها و دلایل استفاده مهاجمان از روشهای پیچیده ضد مهندسی معکوس بهره ببرند.
ساختار آموزشی این کتاب فیزیکی دقیقاً منطبق بر مراحل یک حمله سایبری واقعی طراحی شده است؛ یعنی حرکت گامبهگام از لحظه نفوذ اولیه تا زمان فعالسازی بارگذاری مخرب نهایی یا همان باجافزار. هر فصل شامل یک مطالعه موردی عمیق برای کالبدشکافی یک ابزار واقعی است.
فصل اول کتاب یک دید کلی از تجارت الکترونیک پنهان، هویت معاملهکنندگان، کالاهای مبادلاتی و ساختار انجمنها ارائه میدهد. شما در این بخش روشهای ایمن دسترسی به این سایتها با استفاده از مرورگر تور و سیستمعاملهای امنیتی مانند هوونیکس را میآموزید. همچنین مدل زنجیره کشتار سایبری که شالوده تحلیلهای کتاب است، در این فصل معرفی میشود.
بررسی گامهای نخستین یک حمله سایبری از طریق کسب دسترسی به سیستمهای هدف. این فصل به کالبدشکافی ابزارهای تجاریشده در دارک وب مانند کیتهای فیشینگ و برنامههای حملات بروتفورس میپردازد. واسطهای دسترسی اولیه، بازیگران کلیدی هستند که دسترسی سازمانها را به سایر مجرمان میفروشند. تحلیل ابزارهای معروفی مانند زدفیشر و گریتنس از مباحث جذاب این بخش است.
پس از کسب دسترسی اولیه، مهاجمان باید بدافزار اصلی خود را روی سیستم قربانی مستقر کنند. این فصل به بررسی عملکرد بارگذارها و شبکههای روباتیک یا همان باتنتها میپردازد. شما چالشهای تحلیل بدافزار را با کالبدشکافی بارگذار بانیلودر و ساختار داخلی باتنت معروف میرای و کوزانسترا خواهید آموخت.
این فصل به تحلیل بدافزارهای سارق یا استیلرها میپردازد که به صورت پنهان به جمعآوری گذرواژهها، کوکیهای مرورگر و حتی کیف پولهای دیجیتال میپردازند. این ابزارها شریان اصلی اقتصاد سرقت هویت هستند. مطالعه موردی این فصل به کالبدشکافی بدافزار مشهور راکون استیلر اختصاص دارد.
بررسی عمیقتر سرقت اطلاعات حساس از طریق تروجانهای بانکی در محیطهای ویندوز و اندروید. شما در این بخش با تروجان بانکی اندرویدی سربروس و ابزار ماژولار و خطرناک تریکبات آشنا میشوید و مکانیزمهای تزریق کدهای مخرب به مرورگر را برای سرقت اطلاعات بانکی بررسی میکنید.
مهاجمان برای دور زدن سیستمهای دفاعی و آنتیویروسها، از ابزارهای مبهمسازی مانند پکرها و کرایپترها استفاده میکنند. این ابزارها طول عمر بدافزار را در سیستم قربانی افزایش میدهند. در این فصل، شما با مکانیزمهای دور زدن سیستمهای تشخیص رفتار آشنا میشوید و فرآیند آنپک کردن یک فایل اجرایی را به صورت عملی یاد میگیرید.
بررسی این موضوع که چگونه مهاجمان ابزارهای قانونی تیمهای قرمز (مانند چارچوبهای فرماندهی و کنترل) را برای هدایت حملات خود به کنترل میگیرند. در این بخش، بازارهای فروش نسخههای کرکشده این ابزارها تحلیل میشود و نسخه لینوکسی بدافزار ورمیلیون استرایک مورد کالبدشکافی قرار میگیرد.
ادامه بحث سوءاستفاده از ابزارهای امنیت هجومی در حملات واقعی. این فصل به بررسی نحوه تبادل اطلاعات درباره کیتهای پس از نفوذ در دارک وب و توسعه ماژولهای اختصاصی میپردازد. مطالعه موردی این فصل شامل تحلیل سه ماژول کاربردی از ابزار ایمپکت برای حرکت عرضی در شبکه و روشهای شناسایی آنها توسط مدافعان است.
مهاجمان برای پنهانسازی فعالیتهای خود و دور زدن سیستمهای نظارتی، از ابزارهای قانونی موجود در خود سیستمعامل استفاده میکنند؛ تکنیکی که به آن استفاده از ابزارهای بومی میگویند. در این فصل، اسناد افشا شده از گروه باجافزاری کونتی تحلیل میشود و روشهای شناسایی ابزار استیلبیت متعلق به گروه باجافزاری لاکبیت بررسی میگردد.
مرحله نهایی و مخربترین بخش حمله: تزریق باجافزار. این فصل تاریخچه، تکامل فنی و ساختار تجاری گروههای ارائهدهنده باجافزار به عنوان سرویس را بررسی میکند. مفاهیم ریاضی و رمزنگاری مورد نیاز برای پیادهسازی یک الگوریتم رمزگذاری بینقص در این بخش آموزش داده میشود و دو نسخه متمایز از باجافزار سودینوکیبی مهندسی معکوس میشود.
زیرساختهای بزرگ سازمانی معمولاً بر پایه لینوکس و سیستمهای مجازیسازی مدیریت میشوند؛ به همین دلیل این بسترها به اهدافی حیاتی برای مهاجمان تبدیل شدهاند. این فصل دلایل سادگی ساختار این باجافزارها را در مقایسه با نسخههای ویندوزی بررسی میکند و به تحلیل کدهای باجافزار لینوکسی آلفا میپردازد.
بخش پایانی کتاب به جمعبندی تمام مفاهیم آموختهشده، تحلیل کلان چشمانداز جرایم دیجیتال و ارائه پیشبینیهای تحلیلی درباره نحوه تکامل باجافزارها و ابزارهای نفوذ در سالهای آینده اختصاص دارد.
بزرگترین مزیت این کتاب چاپی، وجود بخش اختصاصی تمرینها در پایان هر فصل فنی است. این تمرینها به شما کمک میکنند تا مهارتهای مهندسی نرمافزار خود را برای تحلیل کدهای واقعی بدافزارها به کار بگیرید. برخی از این تمرینها شامل موارد زیر است:
تحلیل کدهای اثبات مفهوم برای آسیبپذیری معروف و تاریخی لوجیفورشل.
بررسی مستقیم کدهای منبع باتنت میرای برای درک نحوه شناسایی دستگاههای اینترنت اشیاء آسیبپذیر از طریق پروتکل تلنت.
کالبدشکافی کدهای منبع بدافزار سفایر استیلر به عنوان یک نمونه متنباز کاربردی.
تمرین فشردهسازی یک فایل اجرایی ویندوز با ابزارهای عمومی و تحلیل آثار به جا مانده از آن روی دیسک.
تحلیل کدهای افشا شده از باجافزار ویندوزی بابوک و ابزار رمزگشایی آن برای درک خطاهای برنامهنویسی مهاجمان.
مطالعه کدهای منبع بدافزارها، یادگیری تکنیکهای مهندسی معکوس و بررسی ساختارهای پیچیده شبکه به تمرکز بسیار بالایی نیاز دارد. خواندن خطوط طولانی کد به زبانهای سی یا راست از روی صفحات نمایشگر نهتنها خستهکننده است، بلکه توانایی ذهن را در تحلیل ارتباط میان توابع کاهش میدهد. نسخه چاپی این کتاب فیزیکی با کیفیت چاپ عالی کدهای برنامهنویسی، نمودارهای زنجیره کشتار سایبری و جداول تحلیلی، یک تجربه یادگیری عمیق و کلاسیک را به شما هدیه میدهد.
این کتاب چاپی به عنوان یک مرجع ارزشمند بر روی میز کار هر تحلیلگر بدافزار، مهندس امنیت شبکه و کارشناس تست نفوذ خواهد درخشد. داشتن این کتاب فیزیکی به شما اجازه میدهد در زمان تحلیل یک حادثه واقعی در سازمان خود، فوراً به بخش مربوطه مراجعه کرده و الگوهای رفتاری مهاجمان را بازخوانی کنید. این اثر یک سرمایهگذاری بیبدیل برای ارتقای تخصص شما به بالاترین سطوح تحلیل امنیتی است.
نمونه چاپ کتاب موجود نیست.
نظرات کاربران (0)