سوء استفاده از آسیب پذیری اصلاح نشده در مایکروسافت ورد

فایل های مخرب RTF می توانند کدی را اجرا نمایند. شرکت مایکروسافت برای رفع این مشکل یک راه حل موقت را منتشر کرده است.

همه چیز درباره بدافزار - 1

در سری مقاله های بدافزار قصد داریم تا شما را با انواع بدافزارهایی که امروزه وجود دارند، آشنا سازیم. این مقاله ها شامل دسته بندی انواع بدافزارهای شناخته شده، تکنیکهای مورد استفاده بدافزارها، روشهای انتشار بدافزارها و تهدیدات آنها برای سازمانهای مختلف می باشد. به دلیل طبیعت تغییر پذیر، رو به رشد و گسترده این مقوله، در این مجال نمی توان به توضیح همه عناصر بدافزارها و همه انواع ممکن آنها پرداخت، ولی به هرحال مهمترین عناصر تشکیل دهنده بدافزارها، برای درک و فهم بهتر طبیعت آنها آورده شده است. همچنین در این مقاله ها به چیزهای دیگری که بدافزار نیستند، مانند ابزارهای جاسوسی، هرزنامه ها و ابزارهای تبلیغاتی نیز خواهیم پرداخت.

سیر تکاملی ویروسهای رایانه ای

اولین ویروسهای کامپیوتری در اوایل دهه 80 ظاهر شدند و اکثراً فایلهای خود تکرار شونده ساده ای بودند که برای سرگرمی و خنده ایجاد شده بودند. در سال 1986 گزارش اولین ویروسی که سیستم عامل MS-DOS مایکروسافت را بر روی کامپیوترهای شخصی مورد هدف قرار داد، منتشر شد. در واقع ویروس Brain به عنوان اولین ویروس از این نوع شناخته می شود. همچنین اوایل سال 1986 شاهد اولین ویروس فایلی به نام Virdem و اولین تروجان (برنامه ای که به نظر مفید یا بی خطر می رسد ولی در واقع برای دزدی اطلاعات و یا صدمه زدن به رایانه میزبان طراحی شده است) به نام PC-Write بودیم. تروجان مذکور خود را به عنوان یک برنامه کاربردی و محبوب Word Processor جا زده بود. همچنان که افراد بیشتری از تکنولوژی ویروسها اطلاع پیدا می کردند، تعداد ویروسها، تعداد سکوهای(platform) هدف حملات، پیچیدگی ویروسها و تنوع آنها رو به افزایش پیدا کرد. در یک بازه زمانی ویروسها بر روی سکتورهای راه اندازی (boot sector ) تمرکزکرده و بعد از آن شروع به آلوده سازی فایلهای اجرایی کردند. در سال 1988 اولین کرم اینترنتی (نوعی از بدافزار که از یک کد خرابکار برای گسترش خودکار از یک رایانه به رایانه دیگر از طریق شبکه استفاده می کند) ظاهر شد. کرم Morris منجر به کند شدن قابل توجه ارتباطات اینترنتی شده که در پاسخ به این حمله و تعدادی حملات مشابه، گروه پاسخگویی به رخدادهای رایانه ای یا CERT(Computer Emergency Response Team) با نشانی اینترنتی www.cert.org به منظور حفظ ثبات اینترنت از طریق هماهنگی در پاسخگویی به رخدادها، پایه گذاری شد. گروه مذکور از طرف دانشگاه کارنگی ملون آمریکا پشتیبانی میشود. در سال 1990، Virus Exchange BBS، به عنوان محلی برای تبادل و به اشتراک گذاشتن دانش نویسندگان ویروس، راه اندازی شد. همچنین اولین کتاب در مورد نوشتن ویروس منتشر شد و اولین ویروس چندریختی (معمولاً به آن chameleon یا Casper اطلاق می شود) گسترش پیدا کرد. یک ویروس چندریختی نوعی از بدافزار است که از تعداد نامحدودی الگوریتم رمزنگاری برای مقابله با تشخیص استفاده می کند. ویروسهای چندریختی توانایی تغییر خود در هربار تکرار را دارا می باشند. این توانایی آنها را از دید برنامه های آنتی ویروس مبتنی بر امضا که برای تشخیص ویروسها طراحی شده اند، پنهان می دارد. به این ترتیب، در اوایل دهه 90 خبر اولین حمله ویروسی چندریختی با نام Tequila منتشر شد و سپس در سال 1992 اولین موتور ویروس چندریختی و ابزار ویروس نویسی پا به عرصه ظهور گذاشت. بعد از آن ویروسها روز به روز کاملتر شدند. برخی ویروسها شروع به دسترسی به دفترچه آدرسهای ایمیل و ارسال خود به آن آدرسها کردند؛ ویروسهای ماکرو خود را به فایلهای برنامه های کاربردی مانند آفیس متصل کرده و به آنها حمله می کنند؛ و ویروسهایی که مشخصاً برای سوءاستفاده از آسیب پذیری های سیستم عاملها و برنامه های کاربردی نوشته می شوند. ایمیلها، شبکه های به اشتراک گذاری فایل (P2P)، وب سایتها، درایوهای مشترک و آسیب پذیری های محصولات، همه و همه برای گسترش و حمله ویروسها مورد سوء استفاده قرار می گیرند. راههای نفوذ یا Backdoors (نقاط سری ورود به شبکه که توسط بدافزارها ایجاد می شوند) بر روی سیستم های آلوده ایجاد شدند تا راه را برای بازگشت مجدد نویسندگان ویروس و هکرها جهت اجرای نرم افزارهای دلخواه، باز کنند. در این مقاله منظور ما از هکر یک فرد برنامه نویس رایانه یا کاربر آن است که قصد دسترسی به یک رایانه یا شبکه را به صورت غیر قانونی دارد. بعضی از ویروسها دارای موتور ایمیل جاسازی شده هستند که رایانه آلوده را وادار می سازد تا مستقیماً از طریق ارسال ایمیل، ویروس را انتشار دهد. همچنین نویسندگان ویروس شروع به طراحی دقیق معماری حمله های خود با استفاده از مهندسی اجتماعی کرده اند. همراه با این تکامل بدافزارها، آنتی ویروسها نیز به خوبی تکامل پیدا کرده اند. در حال حاضر بیشتر آنتی ویروسهای موجود در بازار بر مبنای امضای ویروس یا همان شناسایی مشخصه های یک بدافزار برای تشخیص کدهای مضر، عمل می کنند. به همین دلیل در فاصله زمانی بین انتشار یک ویروس جدید و شناسایی امضای آن و پخش آن بین آنتی ویروسهای مختلف، یک رشد ناگهانی در میزان آلوده سازی ویروس مشاهده می شود. اما به محض تشخیص امضای آن، روند آلوده سازی سیر نزولی پیدا می کند. برای اطلاعات تکمیلی در مورد تاریخچه ویروسها به مقاله ویروس قسمت اول - سرگذشت ویروس که در وب سایت ماهر منتشر شده است، مراجعه فرمایید.

لیست سفید روشی جدید برای مقابله با ویروسها

آنتی ویروس ها نشان داده اند که در حفاظت از رایانه ها در برابر ویروس ها کم آورده اند، لذا کارشناسان امر فناوری جدیدی به نام لیست سفید سازی را به بازار عرضه کرده اند که روش جدیدی را برای مقابله با بدافزارها به کار می برد.
لیست سفید و لیست سیاه من را به یاد جدول خوب ها و بدها که مبصر بر روی تخته می‌نوشت تا معلم را متوجه اتفاقات پشت پرده ی کلاس کند، می اندازد. انواع زیادی از لیست سفید و سیاه وجود دارد از همان خوب ها و بدهای مبصر ما گرفته تا لیست معتبر و غیر معتبر مشتریان بانک تا ... لیست سفید و سیاه برنامه های رایانه ای. در دنیای امنیت رایانه، لیست سفید، در برابر لیست سیاه که لیستی از برنامه های شرور است، به لیستی از برنامه های معتبر اطلاق می شود. در واقع، رایانه ها فرض می کنند هر برنامه ای آلوده و شرور است مگر اینکه خلافش ثابت شود یعنی اسم آن در لیست سفید مشاهده شود.
آنتی ویروس ها نشان داده اند که در حفاظت از رایانه ها در برابر ویروس ها کم آورده اند، لذا کارشناسان امر فناوری جدیدی به نام "لیست سفید سازی" را به بازار عرضه کرده اند که روش جدیدی را برای مقابله با بدافزارها به کار می برد. به این ترتیب که برنامه های معتبر را ثبت کرده و از اجرای دیگر برنامه ها ممانعت به عمل می آورد. به علت ماهیت این فناوری جدید، از آن در برابر دیگر تهدیدها مانند ابزارهای جاسوسی، ابزارهای تبلیغاتی، نرم افزارهای بدون گواهینامه و هر نوع برنامه های تأیید نشده ی دیگری نیز استفاده می شود. هم چنین به خوبی می تواند با ممانعت از دسترسی انواع تأیید نشده ی آنها به رایانه از پس کنترل وسایل جانبی نیز برآید.

تحلیل شبکه بات بانکی (GameOverZeus)

در هفته گذشته بات نت Game over zeus با اجرای قوانین بین المللی و با همکاری مراکز، شرکت ها و سازمان های فعال در زمینه بدافزار شناسایی و به حالت تعلیق درآمد. آنچه اهمیت دارد آن است که از لحاظ فنی باز پس گرفتن کنترل بات ها غیرممکن نیست، بنابراین شناسایی، رفع آلودگی سیستم های قربانی و زامبی ها به این گونه بات ها بسیار پراهمیت است. درحال حاضر بیش از یک میلیون کامپیوتر توسط Game over zeus آلوده شده اند.

 ساختار بات نت

شبکه بات شبکه‌ای از میزبان‌های آلوده است که تحت کنترل یک مرکز فرمان دهی واحد بوده و با دریافت فرامین از این مرکز اقدامات متناسبی را انجام می‌دهند. شبکه‌های بات تهدیدی جدی علیه امنیت منابع اینترنتی بوده و معمولا انگیزه‌های مالی و سیاسی مهمی پشت آن‌ها وجود دارد. در سال‌های اخیر فروش شبکه‌های بات شکل تجاری به خود گرفته است. برخی شبکه‌های بات علاوه بر استفاده در به اشتراک گذاری منابع در حملات منع دسترسی، می‌توانند همانند یک تروجان جهت دزدی اطلاعات کاربر نیز مورد استفاده قرار گیرند.

بات دستورات خود را از سرور کنترل و فرمان که توسط رییس بات هدایت می‌شود، دریافت می‌نماید. رییس بات به فردی گفته می‌شود که تمامی امور یک شبکه بات از ایجاد تا کنترل را به دست دارد، بدین ترتیب که بات را پیکربندی می‌کند، روش‌هایی که برای مصالحه کردن سیستم قربانی به کار می‌رود را مشخص می‌کند و آن‌ها را پیاده سازی می‌نماید. سپس بات را بر روی سیستم قربانی نصب می‌نماید و در نهایت بات ها را از طریق کانال کنترلی هدایت و رهبری می‌کند و دستورات حمله را صادر می‌نماید. بات نت ها معمولاً بدون هیچ شواهد غیرقابل مشاهده عمل می کنند و می توانند برای سال ها عملیاتی باقی بمانند.

 

چگونه از شر Conficker خلاص شویم؟

ویروس Conficker که با نامهای kido، Downup و Downadup نیز شناخته می شود، با سوءاستفاده از یک آسیب پذیری ویندوز که در ماه اکتبر سال گذشته اصلاحیه ای برای آن منتشر شده است، به رایانه ها نفوذ پیدا کرده و دردسرهایی را برای رایانه قربانی ایجاد می کند. هر چند سازندگان ویروس مزبور هنوز استفاده خطرناکی از شبکه رایانه های آلوده نکرده اند، اما طبق نظر محققان کرم Conficker همچنان یک خطر بالقوه محسوب شده و لازم است به کاربران رایانه آگاهی لازم در مورد ویروس مذکور و راههای مقابله با آن داده شود. کاربران بسیاری گمان می کنند که رایانه شان توسط ویروس Conficker آلوده شده است و با توجه به اینکه ویروس مذکور پس از آلوده سازی سیستم، مانع از اتصال به وب سایتهای آنتی ویروس می شود، مشکل اصلی چگونگی پاکسازی رایانه آلوده است. در صورتی که شما هم یکی از قربانیان Conficker هستید، نگران نباشید زیرا در این گزارش قصد داریم کاربران خود را برای پاکسازی رایانه شان یاری رسانیم. در گام اول باید از آلودگی رایانه خود توسط این ویروس اطمینان حاصل کنید. این ویروس علامتهایی که برای یک کاربر عادی قابل درک باشد، بر روی رایانه ایجاد نمی کند. لذا ساده ترین راه برای تشخیص آلودگی آزمایش امکان دسترسی به وب سایتهای آنتی ویروس است، زیرا همان طور که گفتیم این ویروس مانع از دسترسی قربانیان به وب سایتهای آنتی ویروس می شود. اخیراً یک نمودار تصویری ساده جهت تشخیص آلودگی ابداع شده است که با مراجعه به آن می توانید از نفوذ Conficker به رایانه خود اطلاع حاصل کنید. یکی دیگر از علامتهای آلودگی با Conficker، غیر فعال شدن سرویسهای Automatic updates، Background Intelligent Transfer Service، Windows Defender، Error Reporting Service بدون اطلاع کاربر است. در صورتی که شما مدیر شبکه هستید، از دیگر علامتهای آلودگی، ترافیک بالای غیرعادی بر روی شبکه محلی و همچنین پاسخگویی کند کنترل کننده های دامنه به درخواست های کاربران است. قبلاً توضیح دادیم که این ویروس با استفاده از یک آسیب پذیری در ویندوز به رایانه ها نفوذ پیدا می کند و مایکروسافت یک اصلاحیه امنیتی به نام MS08-067(KB 958644) را در سال گذشته برای آن ارائه کرده است. درست است کسانی که اصلاحیه فوق را به موقع دریافت و نصب کرده اند از این ویروس در امان هستند، اما این فکر که لیست به روزرسانی های ویندوز را چک کنیم و در صورت وجود داشتن این اصلاحیه خیالمان راحت شود، ایده خوبی محسوب نمی شود چرا که Conficker یک نسخه جعلی از این اصلاحیه را بر روی رایانه قربانی قرار می دهد. در صورتی که از آلوده بودن رایانه خود اطمینان حاصل کردید، گام بعدی دریافت یکی از چندین ابزار پاکسازی رایگان می باشد. ابزارهای مخصوص پاکسازی Conficker عبارتند از: McAfee’s Stinger، Eset’s Win32/Conficker Worm Removal Tool ، Symantec’s W32.Downadup Removal Tool و Sopho’s Conficker Cleanup Tool. در صورتی که امکان دسترسی به یک رایانه غیر آلوده برای شما فراهم می باشد، توصیه می کنیم ابتدا ارتباط رایانه خود با اینترنت را قطع کنید و سپس از طریق رایانه غیر آلوده یکی از ابزارهای فوق را دریافت کرده و با استفاده از CD و یا حافظه فلش آن را بر روی رایانه خود نصب کنید. گام بعدی غیرفعال کردن AutoRun ویندوز می باشد، زیرا یکی از متداول ترین راههای نفوذ Conficker از این طریق می باشد. شرکت Eset که یکی از معتبرترین شرکتهای فعال در زمینه امنیت فناوری اطلاعات است ادعا می کند، یکی از هر 15 تهدید امنیتی که در سال 2008 تشخیص داده، مربوط به AutoRun ویندوز بوده است. متأسفانه غیر فعال کردن این خصوصیت ویندوز به راحتی امکان پذیر نیست زیرا حتی اگر آن را از طریق ابزارهای متداول غیرفعال کنید، به جای صرف نظر کردن کامل از فایلهای autorun، باز هم قسمت زیادی از فایل autorun.inf را مرور می کند. برای غیرفعال کردن کامل این امکان، لازم است متن زیر را در یک فایل Notepad کپی کنید. دقت کنید که از اولین براکت سمت چپ تا آخرین گیومه متن در یک خط قرار بگیرد.



این فایل را با نام StopAutoRun.REG ذخیره کنید، سپس بر روی فایل دو بار کلیک کنید. به این ترتیب شما امکان Autorun را کاملاً غیرفعال می کنید، ولی از طرفی امکان اجرای CD ها و DVD ها را به محض قرار دادن آنها در درایو نخواهید داشت. البته این مسئله در مقابل بستن یک نقص امنیتی نسبتاً خطرناک بهای معقولی به نظر می رسد. بعد از این رایانه شما پاک شده است، ولی باز هم کارهایی را باید انجام دهید و آن هم تغییر عادت در کار با رایانه و اینترنت است. عادت کنید اصلاحیه های امنیتی نرم افزارهای خود و به خصوص ویندوز را در اولین فرصت دریافت و نصب کنید. عادت کنید بر روی هر لینکی در اینترنت که پیشنهاد اسکن رایگان رایانه شما در مورد ویروسها را می دهد، کلیک نکنید و در انتها توجه داشته باشید که صرف نصب کردن یک آنتی ویروس خوب بر روی رایانه کافی نیست و باید آن را مرتباً به روز رسانی کنید تا امکان تشخیص ویروسهای جدید را دارا باشد.

مرورگر خود را امن کنید- قسمت دوم

امروزه مرورگرهایی مانند IE Explorer 7 و Mozilla Firefox تقریباً بر روی همه رایانه ها نصب می شوند و از آنجایی که اغلب اوقات مورد استفاده کاربران قرار می گیرند، ایمن سازی آنها یکی از ضروریات محسوب می شود. متأسفانه در اکثر موارد، مرورگرهایی که به صورت پیش فرض همراه با سیستم عامل نصب می شوند، دارای تنظیمات ایمنی نیستند و عدم ایمن سازی مرورگر، به سرعت منجر به بروز مشکلاتی از قبیل نصب پنهانی هرزنامه ها گرفته تا در اختیار گرفتن رایانه توسط نفوذگران می شود. قابل ذکر است که تعداد حمله های نرم افزاری که با استفاده از آسیب پذیری مرورگرها به وقوع می پیوندند، روز به روز در حال افزایش است. یکی از مرورگرهای بسیار متداول در ایران، مرورگر مایکروسافت یا Internet Explorer است که به صورت پیش فرض همراه با سیستم عامل ویندوز نصب می شود و حذف آن ممکن نیست. این مرورگر علاوه بر پشتیبانی از جاوا، اسکریپتها و سایر انواع محتوای پویا، تکنولوژی ActiveX را نیز پشتیبانی می کند. طبیعتاً آسیب پذیری مرورگری که از ActiveX استفاده می کند، بسیار بیشتر از مرورگر فاقد این امکان است. توجه کنید که استفاده از یک مرورگر دیگر، IE یا دیگر اجزای ویندوز را از روی سیستم پاک نمی کند و نرم افزارهایی مانند کلاینت ایمیل ها ممکن است از IE، WebBrowser ActiveX control (WebOC) و یا IE HTML rendering engine (MSHTML) استفاده کنند. بنابراین برای ایمن سازی IE7، ابتدا باید بعضی از امکانات آن را غیر فعال سازید. در زیر چندین گام برای غیر فعال سازی برخی ویژگیها در IE بیان شده است. توجه کنید که ممکن است برخی گزینه های منوها در نسخه های مختلف نرم افزار متفاوت باشند یا اینکه بسته به سیستم عامل میزبان، در محلهای متفاوتی قرار گرفته باشند. برای تغییر تنظیمات، بر روی گزینه Tools در نوار منو کلیک کرده و سپس Internet Options را انتخاب کنید.

مرورگر خود را امن کنید- قسمت اول

امروزه مرورگرهایی مانند Internet Explorer 7 و Mozilla Firefox تقریباً بر روی همه رایانه ها نصب می شوند و از آنجایی که اغلب اوقات مورد استفاده کاربران قرار می گیرند، ایمن سازی آنها یکی از ضروریات محسوب می شود. متأسفانه مرورگرهایی که به صورت پیش فرض همراه با سیستم عامل نصب می شوند، در اکثر موارد دارای تنظیمات ایمنی نیستند و عدم ایمن سازی مرورگر، خیلی سریع منجر به بروز مشکلاتی از قبیل نصب پنهانی هرزنامه ها گرفته تا در اختیار گرفتن رایانه توسط نفوذگران می شود. قابل ذکر است که تعداد حمله های نرم افزاری که با استفاده از آسیب پذیری مرورگرها به وقوع می پیوندند، روز به روز در حال افزایش است. عوامل مختلفی در افزایش چشمگیر حمله های امنیتی از طریق مرورگرها دخیلند که برخی از مهمترین آنها در ذیل آورده شده است:

برنامه نویسی امن با زبان C – ورودی / خروجی (IO) – قسمت اول

عنصر اصلی در برنامه‌نویسی امن با زبان‌های مختلف برنامه‌نویسی، مستندسازی خوب و استفاده از استانداردهای قابل اجرا است. استانداردهای کدنویسی، برنامه نویسان را ترغیب به پیروی از مجموعه‌ای متحدالشکل از قوانین و راهنمایی‌ها می‌کند که بر اساس نیازمندی‌های پروژه و سازمان تعیین شده است، نه بر اساس سلایق و مهارت‌های مختلف برنامه‌نویسان. به محض تعیین استانداردهای مذکور، می توان از آن به عنوان معیاری برای ارزیابی کدهای منبع، چه به صورت دستی و چه به صورت اتوماتیک استفاده کرد.

از استانداردهای معروف در این زمینه می‌توان به استانداردCERT برای کدنویسی امن اشاره کرد که یک سری از قوانین و پیشنهادات را برای کدنویسی امن با زبان‌های برنامه‌نویسی C، C++ و جاوا ارائه می‌دهد. هدف از این قوانین و پیشنهادات، حذف عادت‌های کدنویسی ناامن و رفتارهای تعریف نشده است که منجر به آسیب‌پذیری‌های قابل سوءاستفاده می‌شود. به کارگیری استانداردهای مذکور منجر به تولید سیستم‌های با کیفیت بالاتر می‌شود که در برابر حملات بالقوه، پایدارتر و مقاوم‌تر هستند.

در مقاله "آشنایی با استاندارد CERT برای برنامه‌نویسی امن"، کلیات استاندارد CERT در زمینه مزبور را توضیح دادیم و در سری مقاله‌های برنامه‌نویسی امن به زبان C به صورت تخصصی‌تر شیوه برنامه‌نویسی امن با این زبان را مورد بررسی قرار می‌دهیم. قابل ذکر است که در این استاندارد 89 قانون و 134 پیشنهاد برای برنامه‌نویسی امن با زبان C ارائه شده است که در این سری مقالات، مهمترین آنها را که در سطح یک قرار دارند، شرح خواهیم داد. برای کسب اطلاعات بیشتر در مورد سطح‌بندی قوانین و پیشنهادات به مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن" مراجعه فرمایید. در مقاله حاضر به پیشنهادات و قوانین ارائه شده سطح اول در مورد ورودی - خروجی خواهیم پرداخت.