همه چیز درباره بدافزار - 1

در سری مقاله های بدافزار قصد داریم تا شما را با انواع بدافزارهایی که امروزه وجود دارند، آشنا سازیم. این مقاله ها شامل دسته بندی انواع بدافزارهای شناخته شده، تکنیکهای مورد استفاده بدافزارها، روشهای انتشار بدافزارها و تهدیدات آنها برای سازمانهای مختلف می باشد. به دلیل طبیعت تغییر پذیر، رو به رشد و گسترده این مقوله، در این مجال نمی توان به توضیح همه عناصر بدافزارها و همه انواع ممکن آنها پرداخت، ولی به هرحال مهمترین عناصر تشکیل دهنده بدافزارها، برای درک و فهم بهتر طبیعت آنها آورده شده است. همچنین در این مقاله ها به چیزهای دیگری که بدافزار نیستند، مانند ابزارهای جاسوسی، هرزنامه ها و ابزارهای تبلیغاتی نیز خواهیم پرداخت.

سیر تکاملی ویروسهای رایانه ای

اولین ویروسهای کامپیوتری در اوایل دهه 80 ظاهر شدند و اکثراً فایلهای خود تکرار شونده ساده ای بودند که برای سرگرمی و خنده ایجاد شده بودند. در سال 1986 گزارش اولین ویروسی که سیستم عامل MS-DOS مایکروسافت را بر روی کامپیوترهای شخصی مورد هدف قرار داد، منتشر شد. در واقع ویروس Brain به عنوان اولین ویروس از این نوع شناخته می شود. همچنین اوایل سال 1986 شاهد اولین ویروس فایلی به نام Virdem و اولین تروجان (برنامه ای که به نظر مفید یا بی خطر می رسد ولی در واقع برای دزدی اطلاعات و یا صدمه زدن به رایانه میزبان طراحی شده است) به نام PC-Write بودیم. تروجان مذکور خود را به عنوان یک برنامه کاربردی و محبوب Word Processor جا زده بود. همچنان که افراد بیشتری از تکنولوژی ویروسها اطلاع پیدا می کردند، تعداد ویروسها، تعداد سکوهای(platform) هدف حملات، پیچیدگی ویروسها و تنوع آنها رو به افزایش پیدا کرد. در یک بازه زمانی ویروسها بر روی سکتورهای راه اندازی (boot sector ) تمرکزکرده و بعد از آن شروع به آلوده سازی فایلهای اجرایی کردند. در سال 1988 اولین کرم اینترنتی (نوعی از بدافزار که از یک کد خرابکار برای گسترش خودکار از یک رایانه به رایانه دیگر از طریق شبکه استفاده می کند) ظاهر شد. کرم Morris منجر به کند شدن قابل توجه ارتباطات اینترنتی شده که در پاسخ به این حمله و تعدادی حملات مشابه، گروه پاسخگویی به رخدادهای رایانه ای یا CERT(Computer Emergency Response Team) با نشانی اینترنتی www.cert.org به منظور حفظ ثبات اینترنت از طریق هماهنگی در پاسخگویی به رخدادها، پایه گذاری شد. گروه مذکور از طرف دانشگاه کارنگی ملون آمریکا پشتیبانی میشود. در سال 1990، Virus Exchange BBS، به عنوان محلی برای تبادل و به اشتراک گذاشتن دانش نویسندگان ویروس، راه اندازی شد. همچنین اولین کتاب در مورد نوشتن ویروس منتشر شد و اولین ویروس چندریختی (معمولاً به آن chameleon یا Casper اطلاق می شود) گسترش پیدا کرد. یک ویروس چندریختی نوعی از بدافزار است که از تعداد نامحدودی الگوریتم رمزنگاری برای مقابله با تشخیص استفاده می کند. ویروسهای چندریختی توانایی تغییر خود در هربار تکرار را دارا می باشند. این توانایی آنها را از دید برنامه های آنتی ویروس مبتنی بر امضا که برای تشخیص ویروسها طراحی شده اند، پنهان می دارد. به این ترتیب، در اوایل دهه 90 خبر اولین حمله ویروسی چندریختی با نام Tequila منتشر شد و سپس در سال 1992 اولین موتور ویروس چندریختی و ابزار ویروس نویسی پا به عرصه ظهور گذاشت. بعد از آن ویروسها روز به روز کاملتر شدند. برخی ویروسها شروع به دسترسی به دفترچه آدرسهای ایمیل و ارسال خود به آن آدرسها کردند؛ ویروسهای ماکرو خود را به فایلهای برنامه های کاربردی مانند آفیس متصل کرده و به آنها حمله می کنند؛ و ویروسهایی که مشخصاً برای سوءاستفاده از آسیب پذیری های سیستم عاملها و برنامه های کاربردی نوشته می شوند. ایمیلها، شبکه های به اشتراک گذاری فایل (P2P)، وب سایتها، درایوهای مشترک و آسیب پذیری های محصولات، همه و همه برای گسترش و حمله ویروسها مورد سوء استفاده قرار می گیرند. راههای نفوذ یا Backdoors (نقاط سری ورود به شبکه که توسط بدافزارها ایجاد می شوند) بر روی سیستم های آلوده ایجاد شدند تا راه را برای بازگشت مجدد نویسندگان ویروس و هکرها جهت اجرای نرم افزارهای دلخواه، باز کنند. در این مقاله منظور ما از هکر یک فرد برنامه نویس رایانه یا کاربر آن است که قصد دسترسی به یک رایانه یا شبکه را به صورت غیر قانونی دارد. بعضی از ویروسها دارای موتور ایمیل جاسازی شده هستند که رایانه آلوده را وادار می سازد تا مستقیماً از طریق ارسال ایمیل، ویروس را انتشار دهد. همچنین نویسندگان ویروس شروع به طراحی دقیق معماری حمله های خود با استفاده از مهندسی اجتماعی کرده اند. همراه با این تکامل بدافزارها، آنتی ویروسها نیز به خوبی تکامل پیدا کرده اند. در حال حاضر بیشتر آنتی ویروسهای موجود در بازار بر مبنای امضای ویروس یا همان شناسایی مشخصه های یک بدافزار برای تشخیص کدهای مضر، عمل می کنند. به همین دلیل در فاصله زمانی بین انتشار یک ویروس جدید و شناسایی امضای آن و پخش آن بین آنتی ویروسهای مختلف، یک رشد ناگهانی در میزان آلوده سازی ویروس مشاهده می شود. اما به محض تشخیص امضای آن، روند آلوده سازی سیر نزولی پیدا می کند. برای اطلاعات تکمیلی در مورد تاریخچه ویروسها به مقاله ویروس قسمت اول - سرگذشت ویروس که در وب سایت ماهر منتشر شده است، مراجعه فرمایید.

لیست سفید روشی جدید برای مقابله با ویروسها

آنتی ویروس ها نشان داده اند که در حفاظت از رایانه ها در برابر ویروس ها کم آورده اند، لذا کارشناسان امر فناوری جدیدی به نام لیست سفید سازی را به بازار عرضه کرده اند که روش جدیدی را برای مقابله با بدافزارها به کار می برد.
لیست سفید و لیست سیاه من را به یاد جدول خوب ها و بدها که مبصر بر روی تخته می‌نوشت تا معلم را متوجه اتفاقات پشت پرده ی کلاس کند، می اندازد. انواع زیادی از لیست سفید و سیاه وجود دارد از همان خوب ها و بدهای مبصر ما گرفته تا لیست معتبر و غیر معتبر مشتریان بانک تا ... لیست سفید و سیاه برنامه های رایانه ای. در دنیای امنیت رایانه، لیست سفید، در برابر لیست سیاه که لیستی از برنامه های شرور است، به لیستی از برنامه های معتبر اطلاق می شود. در واقع، رایانه ها فرض می کنند هر برنامه ای آلوده و شرور است مگر اینکه خلافش ثابت شود یعنی اسم آن در لیست سفید مشاهده شود.
آنتی ویروس ها نشان داده اند که در حفاظت از رایانه ها در برابر ویروس ها کم آورده اند، لذا کارشناسان امر فناوری جدیدی به نام "لیست سفید سازی" را به بازار عرضه کرده اند که روش جدیدی را برای مقابله با بدافزارها به کار می برد. به این ترتیب که برنامه های معتبر را ثبت کرده و از اجرای دیگر برنامه ها ممانعت به عمل می آورد. به علت ماهیت این فناوری جدید، از آن در برابر دیگر تهدیدها مانند ابزارهای جاسوسی، ابزارهای تبلیغاتی، نرم افزارهای بدون گواهینامه و هر نوع برنامه های تأیید نشده ی دیگری نیز استفاده می شود. هم چنین به خوبی می تواند با ممانعت از دسترسی انواع تأیید نشده ی آنها به رایانه از پس کنترل وسایل جانبی نیز برآید.

همه چیز درباره Mariposa

در ماه می سال 2009، شرکت امنیتی Defence Intelligence که یک شرکت خصوصی کانادایی است، خبر شناسایی یک شبکه رایانه های خرابکار (botnet) جدید را به نام Mariposa برای برخی از شرکت های امنیتی سرشناس مانند پاندا، پلیس اسپانیا و FBI به صورت محرمانه ارسال کرد. در پی کشف مذکور، تحقیقات چند ماهه ای با هدف از کار انداختن شبکه خرابکار مذکور که چیزی نمانده بود تا به بزرگترین شبکه رایانه های خرابکار در تاریخ رایانه تبدیل شود، انجام شد. در اولین گام یک کارگروه Mariposa با نام اختصاری MWG، متشکل از شرکت امنیتی Defense Intelligence، مرکز امنیت اطلاعات Georgia، شرکت امنیتی پاندا و برخی متخصصان و آژانس های امنیتی بین المی که نخواسته اند نامشان فاش شود، تشکیل شد. هدف از این کارگروه، اجرای عملیاتی بود که از یک طرف botnet مذکور را ریشه کن سازد و از طرف دیگر مجرمان را تحویل قانون دهد. بعد از جمع آوری و تحلیل اطلاعات مرتبط با botnet مذکور، افراد درگیر در پروژه سعی کردند تا کنترل Mariposa را از دست مجرمان خارج کرده و آن را تصاحب کنند. آنها همچنین تلاش کردند تا مجرمان پشت پرده را شناسایی کنند ولی این کار بسیار پیچیده و سخت بود زیرا صاحبان Mariposa همواره از طریق یک VPN (Virtual Private Network) ناشناس به سرورهای کنترل و فرماندهی متصل می شدند و لذا شناسایی IP حقیقی آنها غیر ممکن بود. متخصصان امنیتی کارگروه تحقیقاتی Mariposa، جهت انجام اقدامات فوق، ابتدا سرورهای کنترل و فرماندهی (Command & Control (C&C)) را که فرمان های جدید از طریق آنها برای اعضای شبکه ارسال می شود، شناسایی کردند. متخصصان امنیتی از این طریق توانستند انواع فعالیت هایی را که از طریق شبکه

به روز رسانی Debian برای chromium-browser

میزان حساسیت: بسیار مهم

نرم افزارهای تحت تاثیر:

Debian GNU/Linux 5.0

 

توضیح:

Debian یک به روز رسانی برای chromium-browser عرضه کرده است. این به روز رسانی چندین آسیب پذیری را برطرف می کند که برخی دارای تاثیر ناشناخته بوده و برخی دیگر می توانند توسط افراد خرابکار مورد سوء استفاده قرار گیرند تا از محدودیت های امنیتی خاص عبور نمایند و کنترل سیستم قربانی را در اختیار بگیرند.

 

راهکار:

بسته های به روز رسانی را از طریق apt-get package manager اعمال نمایید.

 

منابع:

DSA 2166-1:

http://lists.debian.org/debian-security-announce/2011/msg00032.html

 

Secunia:

http://secunia.com/advisories/43368/

به روزرسانی SUSE برای libtiff

میزان حساسیت: بسیار مهم

نرم افزارهای تحت تاثیر:

SUSE Linux Enterprise Server (SLES) 10

SUSE Linux Enterprise Server (SLES) 11

 

 

توضیح:

SUSE یک به روزرسانی برای libtiff ارائه کرده است. این به روزرسانیدو آسیب پذیری را برطرف کرده است که می تواند توسط افراد بداندیش مورد سوء استفاده قرار گیرد تا کنترل سیستم قربانی را در اختیار بگیرند.

 

راهکار:

بسته های به روزرسانی را از طریق zypper package manager اعمال نمایید.

 

منابع:

SUSE-SU-2011:0189-1:
https://hermes.opensuse.org/messages/7654705

SUSE-SU-2011:0189-2:
https://hermes.opensuse.org/messages/7742631

Secunia

http://secunia.com/advisories/43810/

 

تحلیل شبکه بات بانکی (GameOverZeus)

در هفته گذشته بات نت Game over zeus با اجرای قوانین بین المللی و با همکاری مراکز، شرکت ها و سازمان های فعال در زمینه بدافزار شناسایی و به حالت تعلیق درآمد. آنچه اهمیت دارد آن است که از لحاظ فنی باز پس گرفتن کنترل بات ها غیرممکن نیست، بنابراین شناسایی، رفع آلودگی سیستم های قربانی و زامبی ها به این گونه بات ها بسیار پراهمیت است. درحال حاضر بیش از یک میلیون کامپیوتر توسط Game over zeus آلوده شده اند.

 ساختار بات نت

شبکه بات شبکه‌ای از میزبان‌های آلوده است که تحت کنترل یک مرکز فرمان دهی واحد بوده و با دریافت فرامین از این مرکز اقدامات متناسبی را انجام می‌دهند. شبکه‌های بات تهدیدی جدی علیه امنیت منابع اینترنتی بوده و معمولا انگیزه‌های مالی و سیاسی مهمی پشت آن‌ها وجود دارد. در سال‌های اخیر فروش شبکه‌های بات شکل تجاری به خود گرفته است. برخی شبکه‌های بات علاوه بر استفاده در به اشتراک گذاری منابع در حملات منع دسترسی، می‌توانند همانند یک تروجان جهت دزدی اطلاعات کاربر نیز مورد استفاده قرار گیرند.

بات دستورات خود را از سرور کنترل و فرمان که توسط رییس بات هدایت می‌شود، دریافت می‌نماید. رییس بات به فردی گفته می‌شود که تمامی امور یک شبکه بات از ایجاد تا کنترل را به دست دارد، بدین ترتیب که بات را پیکربندی می‌کند، روش‌هایی که برای مصالحه کردن سیستم قربانی به کار می‌رود را مشخص می‌کند و آن‌ها را پیاده سازی می‌نماید. سپس بات را بر روی سیستم قربانی نصب می‌نماید و در نهایت بات ها را از طریق کانال کنترلی هدایت و رهبری می‌کند و دستورات حمله را صادر می‌نماید. بات نت ها معمولاً بدون هیچ شواهد غیرقابل مشاهده عمل می کنند و می توانند برای سال ها عملیاتی باقی بمانند.

 

مهمترین تهدیدات تاریخ اینترنت

روز چهارشنبه دوم سپتامبر، چهلمین سالروز تولد اینترنت بود. در حقیقت چهل سال پیش در چنین روزی برای اولین بار دو کامپیوتر به یکدیگر متصل شدند. گروهی از محققان شرکت امنیتی Symantec در گزارشی به مناسبت این روز، فهرستی از «تهدیدات مهم در تاریخ اینترنت» را منتشر کرده اند. این فهرست، لیست جالب توجهی است ولی در عین حال ممکن است به نظر برخی، بعضی تهدیدات از قلم افتاده باشند و یا در مقابل، بعضی تهدیدات جدی گرفته شده باشند. در ادامه فهرست تهیه شده توسط Symantec در این گزارش را مطالعه می کنید:

الگوریتمهای جدید CAPTCHA

اخیراً روشهای جدید Captcha مبتنی بر تصویر ارائه شده اند که عبور از آنها برای ما انسانها ساده تر و برای رایانه ها غیرممکن شده است. در یکی از این روشها از قدرت تشخیص انسانها در تمییز اجسام از یکدیگر در حالت سه بعدی و دو بعدی و همچنین در زوایای مختلف استفاده می شود. روش دیگر بر تشخیص یک تصویر متفاوت از بین چندین تصویر مشابه استوار است و شکستن آن برای رایانه های فعلی غیرممکن می باشد. روشی که در بیشتر وب سایتها برای جداسازی ورودیهایی که کامپیوترها تولید کرده اند از ورودیهای انسانی به کار می رود، Captcha یا Completed Automated Public Turing نام دارد. در این روشها، معمولاً ترکیبی از الفبا، اعداد و کاراکترهای دیگر را تولید می کنند به طوری که یک انسان بتواند آنها را تشخیص دهد، ولی شناسایی اجزای آن برای رایانه ها مشکل باشد. همان طور که رباتهای کامپیوتری تولید کننده ورودیها هوشمندتر می شوند، روشهای Captcha نیز آزاردهنده تر می شوند به طوری که عبور از برخی از آنها برای ما انسانها نیز دشوار می نماید. به همین دلیل متخصصان این قضیه به دنبال روشهایی هستند که استفاده از آنها برای انسانها ساده تر و برای کامپیوترها تقریباً غیر ممکن باشد. یکی از روشهای جایگزین، استفاده از عکسهای سه بعدی در اینگونه تستها است که تشخیص آنها برای انسانها ساده بوده و در حال حاضر تکنولوژی شکستن آن برای رایانه ها موجود نمی باشد. در این روش که 3D Captcha نام دارد، از قدرت تشخیص انسانها برای تمییز اجسام سه بعدی در زوایای مختلف استفاده می شود. در زیر نمونه ای از این تست را که وب سایت Yuniti.com از آن استفاده می کند، مشاهده می کنید (وب سایت مذکور ابداع کننده این الگوریتم Captcha می باشد):