فا

‫ همه چيز درباره بدافزار - 1

IRCAR200905020
در سري مقاله هاي بدافزار قصد داريم تا شما را با انواع بدافزارهايي كه امروزه وجود دارند، آشنا سازيم. اين مقاله ها شامل دسته بندي انواع بدافزارهاي شناخته شده، تكنيكهاي مورد استفاده بدافزارها، روشهاي انتشار بدافزارها و تهديدات آنها براي سازمانهاي مختلف مي باشد. به دليل طبيعت تغيير پذير، رو به رشد و گسترده اين مقوله، در اين مجال نمي توان به توضيح همه عناصر بدافزارها و همه انواع ممكن آنها پرداخت، ولي به هرحال مهمترين عناصر تشكيل دهنده بدافزارها، براي درك و فهم بهتر طبيعت آنها آورده شده است. همچنين در اين مقاله ها به چيزهاي ديگري كه بدافزار نيستند، مانند ابزارهاي جاسوسي، هرزنامه ها و ابزارهاي تبليغاتي نيز خواهيم پرداخت.

سير تكاملي ويروسهاي رايانه اي

اولين ويروسهاي كامپيوتري در اوايل دهه 80 ظاهر شدند و اكثراً فايلهاي خود تكرار شونده ساده اي بودند كه براي سرگرمي و خنده ايجاد شده بودند. در سال 1986 گزارش اولين ويروسي كه سيستم عامل MS-DOS مايكروسافت را بر روي كامپيوترهاي شخصي مورد هدف قرار داد، منتشر شد. در واقع ويروس Brain به عنوان اولين ويروس از اين نوع شناخته مي شود. همچنين اوايل سال 1986 شاهد اولين ويروس فايلي به نام Virdem و اولين تروجان (برنامه اي كه به نظر مفيد يا بي خطر مي رسد ولي در واقع براي دزدي اطلاعات و يا صدمه زدن به رايانه ميزبان طراحي شده است) به نام PC-Write بوديم. تروجان مذكور خود را به عنوان يك برنامه كاربردي و محبوب Word Processor جا زده بود. همچنان كه افراد بيشتري از تكنولوژي ويروسها اطلاع پيدا مي كردند، تعداد ويروسها، تعداد سكوهاي(platform) هدف حملات، پيچيدگي ويروسها و تنوع آنها رو به افزايش پيدا كرد. در يك بازه زماني ويروسها بر روي سكتورهاي راه اندازي (boot sector ) تمركزكرده و بعد از آن شروع به آلوده سازي فايلهاي اجرايي كردند. در سال 1988 اولين كرم اينترنتي (نوعي از بدافزار كه از يك كد خرابكار براي گسترش خودكار از يك رايانه به رايانه ديگر از طريق شبكه استفاده مي كند) ظاهر شد. كرم Morris منجر به كند شدن قابل توجه ارتباطات اينترنتي شده كه در پاسخ به اين حمله و تعدادي حملات مشابه، گروه پاسخگويي به رخدادهاي رايانه اي يا CERT(Computer Emergency Response Team) با نشاني اينترنتي www.cert.org به منظور حفظ ثبات اينترنت از طريق هماهنگي در پاسخگويي به رخدادها، پايه گذاري شد. گروه مذكور از طرف دانشگاه كارنگي ملون آمريكا پشتيباني ميشود. در سال 1990، Virus Exchange BBS، به عنوان محلي براي تبادل و به اشتراك گذاشتن دانش نويسندگان ويروس، راه اندازي شد. همچنين اولين كتاب در مورد نوشتن ويروس منتشر شد و اولين ويروس چندريختي (معمولاً به آن chameleon يا Casper اطلاق مي شود) گسترش پيدا كرد. يك ويروس چندريختي نوعي از بدافزار است كه از تعداد نامحدودي الگوريتم رمزنگاري براي مقابله با تشخيص استفاده مي كند. ويروسهاي چندريختي توانايي تغيير خود در هربار تكرار را دارا مي باشند. اين توانايي آنها را از ديد برنامه هاي آنتي ويروس مبتني بر امضا كه براي تشخيص ويروسها طراحي شده اند، پنهان مي دارد. به اين ترتيب، در اوايل دهه 90 خبر اولين حمله ويروسي چندريختي با نام Tequila منتشر شد و سپس در سال 1992 اولين موتور ويروس چندريختي و ابزار ويروس نويسي پا به عرصه ظهور گذاشت. بعد از آن ويروسها روز به روز كاملتر شدند. برخي ويروسها شروع به دسترسي به دفترچه آدرسهاي ايميل و ارسال خود به آن آدرسها كردند؛ ويروسهاي ماكرو خود را به فايلهاي برنامه هاي كاربردي مانند آفيس متصل كرده و به آنها حمله مي كنند؛ و ويروسهايي كه مشخصاً براي سوءاستفاده از آسيب­ پذيري هاي سيستم عاملها و برنامه هاي كاربردي نوشته مي شوند. ايميلها، شبكه هاي به اشتراك گذاري فايل (P2P)، وب سايتها، درايوهاي مشترك و آسيب­پذيري هاي محصولات، همه و همه براي گسترش و حمله ويروسها مورد سوء استفاده قرار مي گيرند. راههاي نفوذ يا Backdoors (نقاط سري ورود به شبكه كه توسط بدافزارها ايجاد مي شوند) بر روي سيستم هاي آلوده ايجاد شدند تا راه را براي بازگشت مجدد نويسندگان ويروس و هكرها جهت اجراي نرم افزارهاي دلخواه، باز كنند. در اين مقاله منظور ما از هكر يك فرد برنامه نويس رايانه يا كاربر آن است كه قصد دسترسي به يك رايانه يا شبكه را به صورت غير قانوني دارد. بعضي از ويروسها داراي موتور ايميل جاسازي شده هستند كه رايانه آلوده را وادار مي سازد تا مستقيماً از طريق ارسال ايميل، ويروس را انتشار دهد. همچنين نويسندگان ويروس شروع به طراحي دقيق معماري حمله هاي خود با استفاده از مهندسي اجتماعي كرده اند. همراه با اين تكامل بدافزارها، آنتي ويروسها نيز به خوبي تكامل پيدا كرده اند. در حال حاضر بيشتر آنتي ويروسهاي موجود در بازار بر مبناي امضاي ويروس يا همان شناسايي مشخصه هاي يك بدافزار براي تشخيص كدهاي مضر، عمل مي كنند. به همين دليل در فاصله زماني بين انتشار يك ويروس جديد و شناسايي امضاي آن و پخش آن بين آنتي ويروسهاي مختلف، يك رشد ناگهاني در ميزان آلوده سازي ويروس مشاهده مي شود. اما به محض تشخيص امضاي آن، روند آلوده سازي سير نزولي پيدا مي كند. براي اطلاعات تكميلي در مورد تاريخچه ويروسها به مقاله ويروس قسمت اول - سرگذشت ويروس كه در وب سايت ماهر منتشر شده است، مراجعه فرماييد.

بدافزار چيست؟

واژه بدافزار معادل malware انگليسي است كه يك خلاصه براي Malicious Software يا نرم افزار بدخواه مي باشد. واژه بدافزار به ويروس، كرم، تروجان و هر برنامه ديگري كه با نيت اعمال خرابكارانه ايجاد شود، اطلاق مي شود. اما تفاوت ويروس و كرم در چيست؟ اين دو چه تفاوتي با تروجان دارند؟ آيا برنامه هاي كاربردي آنتي ويروس بر عليه كرمها و تروجانها نيز اقدام مي كنند يا فقط به جنگ با ويروسها مي روند؟ همه اين سؤالها از يك منبع سرچشمه مي گيرند و آن هم دنياي پيچيده و گيج كننده كدهاي بدخواه است. تعداد بيشمار و تنوع زياد در كدهاي بدخواه موجود، طبقه بندي دقيق آنها را مشكل مي سازد. در بحث هاي كلي در مورد آنتي ويروسها، تعاريف ساده زير براي طبقه بندي آنها به كار مي رود:
  • تروجان يا اسب تروا:
    برنامه اي است كه ظاهراً مفيد يا بي خطر به نظر مي رسد ولي شامل كدهاي پنهاني است كه براي سوءاستفاده يا صدمه زدن به سيستمي كه بر روي آن اجرا مي شود، به كار مي رود. اسبهاي تروا معمولاً از طريق ايميل هايي كه هدف و كاركرد برنامه را چيزي غير از حقيقت آن نشان مي دهند، براي كاربران ارسال مي شوند. به چنين برنامه هايي كدهاي تروجان هم گفته مي شود. اسب تروا زماني كه اجرا مي شود يك عمليات خرابكارانه را بر سيستم اعمال مي كند. در اين مقاله، واژه عمليات خرابكارانه يا Payload اصطلاحي است براي مجموعه اي از كنشهايي كه يك حمله بدافزاري بعد از آلوده كردن سيستم، بر روي رايانه قرباني انجام مي دهد.
  • كرم:
    يك كرم در واقع كد خرابكاري است كه خود را انتشار مي دهد و قادر است به صورت خودكار در شبكه ها گسترش پيدا كند. يك كرم مي تواند دست به اعمال مضري مانند مصرف پهناي باند شبكه يا مصرف منابع محلي سيستم بزند و منجر به حملات انكار سرويس شود. برخي از كرمها مي توانند بدون مداخله كاربر اجرا شده و گسترش پيدا كنند در حالي كه برخي از كرمها نياز دارند كاربر آنها را مستقيماً اجرا كرده تا بتوانند گسترش پيدا كنند. كرمها علاوه بر تكرار خود قادرند يك عمليات خرابكارانه را نيز بر سيستم قرباني اعمال كنند.
  • ويروس:
    يك ويروس قطعه كدي است كه براي تكثير خودكار نوشته شده است. يك ويروس تلاش مي كند تا از رايانه اي به رايانه ديگر گسترش پيدا كند و اين كار را معمولاً از طريق اتصالش به يك برنامه ميزبان انجام مي دهد. ويروسها ممكن است خساراتي به سخت افزار، نرم افزار يا داده ها وارد آورند. زماني كه برنامه ميزبان اجرا مي شود، برنامه ويروس نيز اجرا مي شود و برنامه هاي ديگري را نيز آلوده كرده و به عنوان ميزبانهاي جديد از آنها استفاده مي كند. گاهي اوقات ويروس، عمليات خرابكارانه ديگري را نيز روي سيستم انجام مي دهد.
تعاريف فوق براي طبقه بندي هاي مختلف بدافزار ما را قادر مي سازد تا تفاوتهاي بين آنها را در يك فلوچارت ساده نشان دهيم. نمودار زير آيتم هايي را نشان مي دهد كه به ما كمك مي كنند تشخيص دهيم يك اسكريپت در كدام طبقه مي گنجد.



شكل فوق به ما كمك مي كند تا تفاوت بين هر كدام از كدهاي خرابكار معمول را تشخيص داده و طبقه بندي آن را شناسايي كنيم. البته طبقه بندي هاي متفاوتي در مورد بدافزارها وجود دارند كه در اين مقاله پرطرفدارترين آن آورده شده است. به هرحال بايد در نظر داشته باشيم كه ممكن است در يك حمله به كدي برخورد كنيم كه در بيش از يكي از اين طبقه بندي ها بگنجد. به اين حمله ها blended threats يا تهديد تركيبي گفته مي شود كه شامل بيش از يك نوع بدافزار شده و از بردارهاي حمله چندگانه استفاده مي كنند. حمله هايي از اين نوع مي توانند با سرعت بيشتري گسترش پيدا كنند. يك بردار حمله مسيري است كه بدافزار مي تواند از آن براي پيش بردن حمله استفاده كند. به همين دليل مقابله با حمله هاي تركيبي كار مشكلي است. در زير توضيحات مفصل تري در مورد هر يك از انواع بدافزار آورده ايم تا عناصر اصلي هر كدام از آنها را روشن تر سازيم.

تروجان

اسب تروا از آنجايي كه خود را انتشار نمي دهد به عنوان يك ويروس رايانه اي يا كرم نيز در نظر گرفته نمي شود. به هر حال معمولاً براي كپي كردن يك تروجان بر روي يك سيستم هدف، از يك ويروس يا كرم رايانه اي استفاده مي شود. به پروسه فوق dropping گفته مي شود. هدف اصلي يك اسب تروا خراب كردن كار كاربر يا عمليات معمولي سيستم است. براي مثال تروجان ممكن است يك در پشتي را در سيستم باز كند تا هكر بتواند به سرقت اطلاعات پرداخته يا پيكربندي سيستم را تغيير دهد. دو اصطلاح معادل ديگر نيز وجود دارند كه منظور از آنها همان تروجان است و عبارتند از RAT و Rootkit.

تروجان دسترسي از راه دور يا Remote Access Trojans

برخي از تروجان ها به هكر اجازه كنترل از راه دور سيستم را مي دهند. به اين برنامه ها RAT يا در پشتي نيز گفته مي شود. نمونه هايي از RAT ها عبارتند از: Back Orifice، Cafeene و SubSeven. براي اطلاعات بيشتر در اين مورد مي توانيد به مقاله اي از مايكروسافت در همين زمينه مراجعه نماييد.

روتكيت يا Rootkit

اصطلاح فوق براي مجموعه اي از برنامه هاي نرم افزاري به كار مي رود كه هكر از آنها براي به دست آوردن دسترسي از راه دور غير مجاز به رايانه هدف بهره مي برد. اين برنامه ها معمولاً از تكنيك هاي متفاوتي مانند نظارت بر كليدهاي فشرده شده بر روي صفحه كليد، تغيير فايلهاي ثبت رويداد يا نرم افزارهاي كاربردي سيستم، ايجاد يك در پشتي بر روي سيستم و حمله به رايانه هاي ديگر از طريق شبكه استفاده مي كنند. روتكيت ها معمولاً شامل يك سري ابزار سازمان يافته هستند كه براي هدف قرار دادن سيستم عامل خاصي تنظيم شده اند. اولين روتكيت ها در اوايل دهه 90 ميلادي مشاهده شدند و در آن زمان سيستم عاملهاي Sun و لينوكس هدف اصلي حملات بودند. در حال حاضر روتكيت ها براي اغلب سيستم عاملها از جمله سيستم عامل هاي مايكروسافت وجود دارند. توجه: دقت داشته باشيد كه ممكن است RAT ها و ابزارهاي ديگري كه روتكيت ها را تشكيل مي دهند، حق دسترسي قانوني را براي كنترل از راه دور يا نظارت دارا باشند. به هرحال اين ابزارها خطر كلي را در محيطي كه استفاده مي شوند، افزايش مي دهند.

كرمها

اگر كد خرابكار خود را تكثير كند ديگر از نوع تروجان محسوب نمي شود، بنابراين سؤال بعدي كه براي تعريف دقيقتر بدافزار، بايد پاسخ داده شود اين است: " آيا كد مورد نظر مي تواند بدون نياز به يك حامل تكثير پيدا كند؟" در واقع آيا اين كد مي تواند بدون نياز به آلوده كردن يك فايل اجرايي، تكرار شود؟ اگر پاسخ به اين سؤال بله باشد، كد مذكور يكي از انواع كرمهاي رايانه اي است. بيشتر كرمها سعي در كپي كردن خودشان در يك رايانه ميزبان دارند و سپس از كانالهاي ارتباطي رايانه مذكور براي گسترش خود استفاده مي كنند. براي مثال كرم Sasser ابتدا با استفاده از يك آسيب پذيري سيستم هدف را آلوده مي ساخت و سپس از طريق اتصالات شبكه رايانه قرباني گسترش پيدا مي كرد. در چنين حملاتي در صورتي كه آخرين به روز رساني هاي امنيتي را بر روي سيستم خود نصب كرده (جلوگيري از آلودگي) و فايروالها را به جهت بستن درگاه هاي شبكه اي كه كرم از آنها استفاده مي كند، فعال سازيد(جلوگيري از انتشار)، حمله مذكور عقيم خواهد ماند.

ويروسها

اگر كد خرابكار يك نسخه از خود را به منظور تكرار شدن در يك فايل ديگر، پرونده يا سكتور بوت حافظه قرار دهد، آن را به عنوان يك ويروس در نظر مي گيريم. اين كپي مي تواند يك نسخه برابر اصل يا يك نسخه تغيير يافته باشد. همان طور كه قبلاً هم توضيح داديم، ويروس غالباً شامل يك سري عمليات خرابكارانه مانند قرار دادن يك تروجان بر روي رايانه قرباني يا پاك كردن اطلاعات آن مي شود. به هر حال، اگر يك ويروس تنها خود را تكثير كند و شامل عمليات خرابكارانه نيز نشود، باز هم به عنوان يك بدافزار در نظر گرفته مي شود، زيرا خود ويروس ممكن است در زمان تكثير باعث خرابي داده ها، اشغال منابع سيستم و مصرف پهناي باند شبكه شود. در بخش بعدي، در مورد خصوصيات بدافزارها صحبت خواهيم كرد.
منبع:
The Antivirus Defense-in-Depth Guide

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0