در این مطلب به بررسی روشی می پردازیم که یکی از معروف ترین متدهای مورد استفاده ی Malware ها به حساب می آید. شاید شما این تجربه را داشته باشید که سیستمی آلوده به یک ویروس، Malware یا ... شده و هر چقدر شما تلاش می کنید تا با رفتن به سایت یکی از آنتی ویروس ها، یک نسخه trial از آنها را تهیه کنید و سیستم خود را scan کنید، موفق نمی شوید. اگر چنین تجربه ای را داشته اید، باید بدانید که ممکن هست قربانی حمله ای که در این مطلب عنوان می شود شده باشید.

حمله ای که در اصل اتفاق می افتد بدین شرح است، ابتدا شما از روش های گوناگونی سیستم خود را آلوده به یک ویروس، Malware یا ... کرده اید. مثلا ممکن هست از طریق اتصال یک USB آلوده این اتفاق برای شما افتاده باشد و یا شاید از طریق باز کردن آدرس مخربی در browser درگیر ویروس شده باشید. یکی از کارهایی که اکثر ویروس ها بعد از این که روی سیستم قربانی اجرا شدند، انجام می دهند این هست که تنظیمات سیستم قربانی را به گونه ای تغییر می دهند که هرگاه قربانی خواست صفحات وب آنتی ویروس های مختلف مثل AVG، Kaspersky و ... را باز بکند، هیچ صفحه ای به وی نمایش داده نشود. بدین ترتیب ویروس ها می توانند اغلب برای مدت زمان بیشتری بر روی سیستم قربانیان خود قرار بگیرند.

اما این که چگونه ویروس ها این کار را انجام می دهند، موضوعی هست که در این مطلب به آن پرداخته می شود و یک نمونه هم برای درک بهتر بررسی می شود.

 سناریوی مورد نظر:

سناریویی را در نظر بگیرید که قربانی با اتصال یک USB ، سیستم خود را به ویروس آلوده کرده است. مهاجمی که فایل مخرب ویروس را طراحی کرده است، پس از اجرای آن بر روی سیستم قربانی، از اتصال سیستم وی به سایت های Kaspersky.com، avg.com و mcafee.com جلوگیری می کند. نحوه ی اجرای این حمله در ادامه آمده است.

 نحوه اجرای حمله:

مهاجم فایل مخرب ویروس خود را به گونه ای طراحی می کند که پس از اجرا شدن بر روی سیستم قربانی، فایل proxy.pac ای که در تصویر زیر مشاهده می شود را در تنظیمات proxy سیستم قربانی وارد نماید. (در صورتی که با مفهوم PAC و حملات آن آشنایی ندارید، پیشنهاد می شود مطلب استفاده از فایل های PAC برای شنود اطلاعات را مطالعه بفرمایید. )

دستوری که در تصویر مشاهده می شود، در اصل هر درخواستی برای هر کدام از سه دامنه avg.com، Kaspersky.com و یا mcafee.com توسط browser یا user-agent های سیستم قربانی ایجاد شود را، به یک port دلخواهی که احتمال می دهیم بر روی سیستم قربانی جزو port های بسته به حساب آید، redirect می کند. بدین صورت هیچ گاه قربانی از طریق browser هایی که بر روی سیستم خود دارد، نمی تواند به سایت آنتی ویروس های مذکور دست یابد. اما چنان چه قربانی بخواهد هر دامنه دیگری به جز این سه مورد را در سیستم خود مشاهده کند، هیچ مشکلی وجود نخواهد داشت.

برای نمونه، در تصویر زیر می بینیم که بعد از اعمال شدن فایل proxy.pac بر روی سیستم قربانی، آدرس http://www.kaspersky.com به قربانی نمایش داده نمی شود:

اما همان طور که در تصویر زیر مشاهده می شود، قربانی برای استفاده از موتور جستجوی Google هیچ اختلالی را متوجه نخواهد شد:

البته این نکته را هم باید عنوان کنیم که روش مذکور، روشی نیست که فقط مهاجمان از آن استفاده بکنند، بلکه حتی یکی از روش های متداولی هست که مدیران شبکه می توانند از آن برای محدود کردن دسترسی کاربران به سایت هایی مثل facebook و Instagram یا ... استفاده کنند.