همه چیز درباره بدافزار - 1

در سری مقاله های بدافزار قصد داریم تا شما را با انواع بدافزارهایی که امروزه وجود دارند، آشنا سازیم. این مقاله ها شامل دسته بندی انواع بدافزارهای شناخته شده، تکنیکهای مورد استفاده بدافزارها، روشهای انتشار بدافزارها و تهدیدات آنها برای سازمانهای مختلف می باشد. به دلیل طبیعت تغییر پذیر، رو به رشد و گسترده این مقوله، در این مجال نمی توان به توضیح همه عناصر بدافزارها و همه انواع ممکن آنها پرداخت، ولی به هرحال مهمترین عناصر تشکیل دهنده بدافزارها، برای درک و فهم بهتر طبیعت آنها آورده شده است. همچنین در این مقاله ها به چیزهای دیگری که بدافزار نیستند، مانند ابزارهای جاسوسی، هرزنامه ها و ابزارهای تبلیغاتی نیز خواهیم پرداخت.

سیر تکاملی ویروسهای رایانه ای

اولین ویروسهای کامپیوتری در اوایل دهه 80 ظاهر شدند و اکثراً فایلهای خود تکرار شونده ساده ای بودند که برای سرگرمی و خنده ایجاد شده بودند. در سال 1986 گزارش اولین ویروسی که سیستم عامل MS-DOS مایکروسافت را بر روی کامپیوترهای شخصی مورد هدف قرار داد، منتشر شد. در واقع ویروس Brain به عنوان اولین ویروس از این نوع شناخته می شود. همچنین اوایل سال 1986 شاهد اولین ویروس فایلی به نام Virdem و اولین تروجان (برنامه ای که به نظر مفید یا بی خطر می رسد ولی در واقع برای دزدی اطلاعات و یا صدمه زدن به رایانه میزبان طراحی شده است) به نام PC-Write بودیم. تروجان مذکور خود را به عنوان یک برنامه کاربردی و محبوب Word Processor جا زده بود. همچنان که افراد بیشتری از تکنولوژی ویروسها اطلاع پیدا می کردند، تعداد ویروسها، تعداد سکوهای(platform) هدف حملات، پیچیدگی ویروسها و تنوع آنها رو به افزایش پیدا کرد. در یک بازه زمانی ویروسها بر روی سکتورهای راه اندازی (boot sector ) تمرکزکرده و بعد از آن شروع به آلوده سازی فایلهای اجرایی کردند. در سال 1988 اولین کرم اینترنتی (نوعی از بدافزار که از یک کد خرابکار برای گسترش خودکار از یک رایانه به رایانه دیگر از طریق شبکه استفاده می کند) ظاهر شد. کرم Morris منجر به کند شدن قابل توجه ارتباطات اینترنتی شده که در پاسخ به این حمله و تعدادی حملات مشابه، گروه پاسخگویی به رخدادهای رایانه ای یا CERT(Computer Emergency Response Team) با نشانی اینترنتی www.cert.org به منظور حفظ ثبات اینترنت از طریق هماهنگی در پاسخگویی به رخدادها، پایه گذاری شد. گروه مذکور از طرف دانشگاه کارنگی ملون آمریکا پشتیبانی میشود. در سال 1990، Virus Exchange BBS، به عنوان محلی برای تبادل و به اشتراک گذاشتن دانش نویسندگان ویروس، راه اندازی شد. همچنین اولین کتاب در مورد نوشتن ویروس منتشر شد و اولین ویروس چندریختی (معمولاً به آن chameleon یا Casper اطلاق می شود) گسترش پیدا کرد. یک ویروس چندریختی نوعی از بدافزار است که از تعداد نامحدودی الگوریتم رمزنگاری برای مقابله با تشخیص استفاده می کند. ویروسهای چندریختی توانایی تغییر خود در هربار تکرار را دارا می باشند. این توانایی آنها را از دید برنامه های آنتی ویروس مبتنی بر امضا که برای تشخیص ویروسها طراحی شده اند، پنهان می دارد. به این ترتیب، در اوایل دهه 90 خبر اولین حمله ویروسی چندریختی با نام Tequila منتشر شد و سپس در سال 1992 اولین موتور ویروس چندریختی و ابزار ویروس نویسی پا به عرصه ظهور گذاشت. بعد از آن ویروسها روز به روز کاملتر شدند. برخی ویروسها شروع به دسترسی به دفترچه آدرسهای ایمیل و ارسال خود به آن آدرسها کردند؛ ویروسهای ماکرو خود را به فایلهای برنامه های کاربردی مانند آفیس متصل کرده و به آنها حمله می کنند؛ و ویروسهایی که مشخصاً برای سوءاستفاده از آسیب پذیری های سیستم عاملها و برنامه های کاربردی نوشته می شوند. ایمیلها، شبکه های به اشتراک گذاری فایل (P2P)، وب سایتها، درایوهای مشترک و آسیب پذیری های محصولات، همه و همه برای گسترش و حمله ویروسها مورد سوء استفاده قرار می گیرند. راههای نفوذ یا Backdoors (نقاط سری ورود به شبکه که توسط بدافزارها ایجاد می شوند) بر روی سیستم های آلوده ایجاد شدند تا راه را برای بازگشت مجدد نویسندگان ویروس و هکرها جهت اجرای نرم افزارهای دلخواه، باز کنند. در این مقاله منظور ما از هکر یک فرد برنامه نویس رایانه یا کاربر آن است که قصد دسترسی به یک رایانه یا شبکه را به صورت غیر قانونی دارد. بعضی از ویروسها دارای موتور ایمیل جاسازی شده هستند که رایانه آلوده را وادار می سازد تا مستقیماً از طریق ارسال ایمیل، ویروس را انتشار دهد. همچنین نویسندگان ویروس شروع به طراحی دقیق معماری حمله های خود با استفاده از مهندسی اجتماعی کرده اند. همراه با این تکامل بدافزارها، آنتی ویروسها نیز به خوبی تکامل پیدا کرده اند. در حال حاضر بیشتر آنتی ویروسهای موجود در بازار بر مبنای امضای ویروس یا همان شناسایی مشخصه های یک بدافزار برای تشخیص کدهای مضر، عمل می کنند. به همین دلیل در فاصله زمانی بین انتشار یک ویروس جدید و شناسایی امضای آن و پخش آن بین آنتی ویروسهای مختلف، یک رشد ناگهانی در میزان آلوده سازی ویروس مشاهده می شود. اما به محض تشخیص امضای آن، روند آلوده سازی سیر نزولی پیدا می کند. برای اطلاعات تکمیلی در مورد تاریخچه ویروسها به مقاله ویروس قسمت اول - سرگذشت ویروس که در وب سایت ماهر منتشر شده است، مراجعه فرمایید.

بدافزار چیست؟

واژه بدافزار معادل malware انگلیسی است که یک خلاصه برای Malicious Software یا نرم افزار بدخواه می باشد. واژه بدافزار به ویروس، کرم، تروجان و هر برنامه دیگری که با نیت اعمال خرابکارانه ایجاد شود، اطلاق می شود. اما تفاوت ویروس و کرم در چیست؟ این دو چه تفاوتی با تروجان دارند؟ آیا برنامه های کاربردی آنتی ویروس بر علیه کرمها و تروجانها نیز اقدام می کنند یا فقط به جنگ با ویروسها می روند؟ همه این سؤالها از یک منبع سرچشمه می گیرند و آن هم دنیای پیچیده و گیج کننده کدهای بدخواه است. تعداد بیشمار و تنوع زیاد در کدهای بدخواه موجود، طبقه بندی دقیق آنها را مشکل می سازد. در بحث های کلی در مورد آنتی ویروسها، تعاریف ساده زیر برای طبقه بندی آنها به کار می رود:

• تروجان یا اسب تروا:
  برنامه ای است که ظاهراً مفید یا بی خطر به نظر می رسد ولی شامل کدهای پنهانی است که برای سوءاستفاده یا صدمه زدن به سیستمی که بر روی آن اجرا می شود، به کار می رود. اسبهای تروا معمولاً از طریق ایمیل هایی که هدف و کارکرد برنامه را چیزی غیر از حقیقت آن نشان می دهند، برای کاربران ارسال می شوند. به چنین برنامه هایی کدهای تروجان هم گفته می شود. اسب تروا زمانی که اجرا می شود یک عملیات خرابکارانه را بر سیستم اعمال می کند. در این مقاله، واژه عملیات خرابکارانه یا Payload اصطلاحی است برای مجموعه ای از کنشهایی که یک حمله بدافزاری بعد از آلوده کردن سیستم، بر روی رایانه قربانی انجام می دهد.
• کرم:
  یک کرم در واقع کد خرابکاری است که خود را انتشار می دهد و قادر است به صورت خودکار در شبکه ها گسترش پیدا کند. یک کرم می تواند دست به اعمال مضری مانند مصرف پهنای باند شبکه یا مصرف منابع محلی سیستم بزند و منجر به حملات انکار سرویس شود. برخی از کرمها می توانند بدون مداخله کاربر اجرا شده و گسترش پیدا کنند در حالی که برخی از کرمها نیاز دارند کاربر آنها را مستقیماً اجرا کرده تا بتوانند گسترش پیدا کنند. کرمها علاوه بر تکرار خود قادرند یک عملیات خرابکارانه را نیز بر سیستم قربانی اعمال کنند.
• ویروس:
  یک ویروس قطعه کدی است که برای تکثیر خودکار نوشته شده است. یک ویروس تلاش می کند تا از رایانه ای به رایانه دیگر گسترش پیدا کند و این کار را معمولاً از طریق اتصالش به یک برنامه میزبان انجام می دهد. ویروسها ممکن است خساراتی به سخت افزار، نرم افزار یا داده ها وارد آورند. زمانی که برنامه میزبان اجرا می شود، برنامه ویروس نیز اجرا می شود و برنامه های دیگری را نیز آلوده کرده و به عنوان میزبانهای جدید از آنها استفاده می کند. گاهی اوقات ویروس، عملیات خرابکارانه دیگری را نیز روی سیستم انجام می دهد.

تعاریف فوق برای طبقه بندی های مختلف بدافزار ما را قادر می سازد تا تفاوتهای بین آنها را در یک فلوچارت ساده نشان دهیم. نمودار زیر آیتم هایی را نشان می دهد که به ما کمک می کنند تشخیص دهیم یک اسکریپت در کدام طبقه می گنجد.

شکل فوق به ما کمک می کند تا تفاوت بین هر کدام از کدهای خرابکار معمول را تشخیص داده و طبقه بندی آن را شناسایی کنیم. البته طبقه بندی های متفاوتی در مورد بدافزارها وجود دارند که در این مقاله پرطرفدارترین آن آورده شده است. به هرحال باید در نظر داشته باشیم که ممکن است در یک حمله به کدی برخورد کنیم که در بیش از یکی از این طبقه بندی ها بگنجد. به این حمله ها blended threats یا تهدید ترکیبی گفته می شود که شامل بیش از یک نوع بدافزار شده و از بردارهای حمله چندگانه استفاده می کنند. حمله هایی از این نوع می توانند با سرعت بیشتری گسترش پیدا کنند. یک بردار حمله مسیری است که بدافزار می تواند از آن برای پیش بردن حمله استفاده کند. به همین دلیل مقابله با حمله های ترکیبی کار مشکلی است. در زیر توضیحات مفصل تری در مورد هر یک از انواع بدافزار آورده ایم تا عناصر اصلی هر کدام از آنها را روشن تر سازیم.

تروجان

اسب تروا از آنجایی که خود را انتشار نمی دهد به عنوان یک ویروس رایانه ای یا کرم نیز در نظر گرفته نمی شود. به هر حال معمولاً برای کپی کردن یک تروجان بر روی یک سیستم هدف، از یک ویروس یا کرم رایانه ای استفاده می شود. به پروسه فوق dropping گفته می شود. هدف اصلی یک اسب تروا خراب کردن کار کاربر یا عملیات معمولی سیستم است. برای مثال تروجان ممکن است یک در پشتی را در سیستم باز کند تا هکر بتواند به سرقت اطلاعات پرداخته یا پیکربندی سیستم را تغییر دهد. دو اصطلاح معادل دیگر نیز وجود دارند که منظور از آنها همان تروجان است و عبارتند از RAT و Rootkit.

تروجان دسترسی از راه دور یا Remote Access Trojans

برخی از تروجان ها به هکر اجازه کنترل از راه دور سیستم را می دهند. به این برنامه ها RAT یا در پشتی نیز گفته می شود. نمونه هایی از RAT ها عبارتند از: Back Orifice، Cafeene و SubSeven. برای اطلاعات بیشتر در این مورد می توانید به مقاله ای از مایکروسافت در همین زمینه مراجعه نمایید.

روتکیت یا Rootkit

اصطلاح فوق برای مجموعه ای از برنامه های نرم افزاری به کار می رود که هکر از آنها برای به دست آوردن دسترسی از راه دور غیر مجاز به رایانه هدف بهره می برد. این برنامه ها معمولاً از تکنیک های متفاوتی مانند نظارت بر کلیدهای فشرده شده بر روی صفحه کلید، تغییر فایلهای ثبت رویداد یا نرم افزارهای کاربردی سیستم، ایجاد یک در پشتی بر روی سیستم و حمله به رایانه های دیگر از طریق شبکه استفاده می کنند. روتکیت ها معمولاً شامل یک سری ابزار سازمان یافته هستند که برای هدف قرار دادن سیستم عامل خاصی تنظیم شده اند. اولین روتکیت ها در اوایل دهه 90 میلادی مشاهده شدند و در آن زمان سیستم عاملهای Sun و لینوکس هدف اصلی حملات بودند. در حال حاضر روتکیت ها برای اغلب سیستم عاملها از جمله سیستم عامل های مایکروسافت وجود دارند. توجه: دقت داشته باشید که ممکن است RAT ها و ابزارهای دیگری که روتکیت ها را تشکیل می دهند، حق دسترسی قانونی را برای کنترل از راه دور یا نظارت دارا باشند. به هرحال این ابزارها خطر کلی را در محیطی که استفاده می شوند، افزایش می دهند.

کرمها

اگر کد خرابکار خود را تکثیر کند دیگر از نوع تروجان محسوب نمی شود، بنابراین سؤال بعدی که برای تعریف دقیقتر بدافزار، باید پاسخ داده شود این است: " آیا کد مورد نظر می تواند بدون نیاز به یک حامل تکثیر پیدا کند؟" در واقع آیا این کد می تواند بدون نیاز به آلوده کردن یک فایل اجرایی، تکرار شود؟ اگر پاسخ به این سؤال بله باشد، کد مذکور یکی از انواع کرمهای رایانه ای است. بیشتر کرمها سعی در کپی کردن خودشان در یک رایانه میزبان دارند و سپس از کانالهای ارتباطی رایانه مذکور برای گسترش خود استفاده می کنند. برای مثال کرم Sasser ابتدا با استفاده از یک آسیب پذیری سیستم هدف را آلوده می ساخت و سپس از طریق اتصالات شبکه رایانه قربانی گسترش پیدا می کرد. در چنین حملاتی در صورتی که آخرین به روز رسانی های امنیتی را بر روی سیستم خود نصب کرده (جلوگیری از آلودگی) و فایروالها را به جهت بستن درگاه های شبکه ای که کرم از آنها استفاده می کند، فعال سازید(جلوگیری از انتشار)، حمله مذکور عقیم خواهد ماند.

ویروسها

اگر کد خرابکار یک نسخه از خود را به منظور تکرار شدن در یک فایل دیگر، پرونده یا سکتور بوت حافظه قرار دهد، آن را به عنوان یک ویروس در نظر می گیریم. این کپی می تواند یک نسخه برابر اصل یا یک نسخه تغییر یافته باشد. همان طور که قبلاً هم توضیح دادیم، ویروس غالباً شامل یک سری عملیات خرابکارانه مانند قرار دادن یک تروجان بر روی رایانه قربانی یا پاک کردن اطلاعات آن می شود. به هر حال، اگر یک ویروس تنها خود را تکثیر کند و شامل عملیات خرابکارانه نیز نشود، باز هم به عنوان یک بدافزار در نظر گرفته می شود، زیرا خود ویروس ممکن است در زمان تکثیر باعث خرابی داده ها، اشغال منابع سیستم و مصرف پهنای باند شبکه شود. در بخش بعدی، در مورد خصوصیات بدافزارها صحبت خواهیم کرد.
منبع:
The Antivirus Defense-in-Depth Guide