IRCAR200906022
در سري مقاله هاي بدافزار قصد داريم تا شما را با انواع بدافزارهايي كه امروزه وجود دارند، آشنا سازيم. اين مقاله ها شامل دسته بندي انواع بدافزارهاي شناخته شده، تكنيكهاي مورد استفاده بدافزارها، روشهاي انتشار بدافزارها و تهديدات آنها براي سازمانهاي مختلف مي باشد.
به دليل طبيعت تغيير پذير، رو به رشد و گسترده اين مقوله، در اين مجال نمي توان به توضيح همه عناصر بدافزارها و همه انواع ممكن آنها پرداخت، ولي به هرحال مهمترين عناصر تشكيل دهنده بدافزارها، براي درك و فهم بهتر طبيعت آنها آورده شده است. همچنين در اين مقاله ها به چيزهاي ديگري كه بدافزار نيستند، مانند ابزارهاي جاسوسي، هرزنامه ها و ابزارهاي تبليغاتي نيز خواهيم پرداخت.
در بخش قبلي در مورد سير تكامل ويروسهاي رايانه اي و همچنين دسته بندي بدافزارها صحبت كرديم. در اين بخش، در مورد خصوصيات بدافزارها صحبت خواهيم كرد.
خصوصيات بدافزار
خصوصيات متنوع هر طبقه بندي از بدافزارها كه در قسمت قبلي در مورد آنها صحبت كرديم، بسيار شبيه به هم ظهور پيدا مي كنند. براي مثال هم ويروسها و هم كرمها ممكن است شبكه را به عنوان مكانيزم انتقال انتخاب كنند. با اين وجود، ويروس به دنبال فايلهايي براي آلوده سازي مي گردد در حالي كه كرم تنها سعي در كپي كردن خود در مكانهاي متعدد دارد. در ادامه خصوصيت هاي متداول بدافزارها را بيشتر شرح خواهيم داد. در اين قسمت در مورد محيط هاي هدف بدافزارها، اشياي حامل آنها و مكانيزم هاي انتشارشان صحبت خواهيم كرد و در قسمت بعدي در مورد انواع عمليات خرابكارانه، مكانيزم هاي فعال سازي و روشهاي دفاعي بدافزار ها توضيح خواهيم داد.
محيطهاي هدف
بدافزارها براي موفقيت در اجراي حملاتشان نيازمند برآورده شدن برخي از پيش نيازها هستند. در زير چندين نمونه از نيازمنديهاي بدافزارها كه رايج تر هستند، آورده شده است:
- دستگاه
برخي از بدافزارها، دستگاه هاي خاصي را هدف قرار مي دهند، مانند رايانه هاي شخصي، رايانه هاي مك اينتاش و غيره. - سيستم عامل
برخي بدافزارها براي مؤثر بودن نيازمند يك سيستم عامل خاص هستند. براي مثال ويروس CIH كه در دهه 90 رايج بود تنها بر رايانه هاي داراي ويندوز 95 يا 98 مؤثر واقع مي شد. - برنامه هاي كاربردي
گاهي اوقات بدافزارها براي انجام عمليات خرابكارانه يا تكثير خويش نيازمند برخي از برنامه هاي كاربردي خاص هستند. براي مثال ويروس LFM.926 كه در سال 2002 گسترش پيدا كرد، تنها در صورت نصب بودن برنامه Shockwave Flash بر روي رايانه، مي توانست حمله خود را آغاز كند.
اشياي حامل
در صورتي كه بدافزار يك ويروس باشد، سعي در هدف قرار دادن يك شئ حامل و آلوده كردن آن دارد (به شئ حامل ميزبان هم گفته مي شود). تعداد و انواع اشياي حامل بسيار متفاوت است، اما در زير تعدادي از حاملهايي كه بيشترين حملات بر روي آنها انجام گرفته اند، آورده شده است:
فايلهاي اجرايي:
اين نوع فايلها هدف ويروسهاي كلاسيك هستند كه با وصل كردن خود به يك برنامه ميزبان گسترش پيدا مي كنند. علاوه بر فايلهاي اجرايي متداول با پسوند .exe، فايلهايي با پسوند .com، .sys، .dll، .ovl، .ocx و .prg نيز براي اين منظور مورد استفاده قرار مي گيرند.
اسكريپت ها:
كدهاي مخربي كه از اسكريپت ها به عنوان فايلهاي حامل هدف استفاده مي كنند، با استفاده از زبانهاي اسكريپتي مانند Microsoft Visual Basic® Script، JavaScript، AppleScript، يا PerlScript ايجاد شده اند. پسوند اينگونه فايلها عبارت است از: .vbs، .js، .wsh، و .pl.
ماكروها:
اين حاملها فايلهايي هستند كه از زبانهاي اسكريپت نويسي ماكرو براي برنامه هاي كاربردي خاص مانند Word، Spreadsheet (مانند Excel) يا برنامه كاربردي پايگاه داده پشتيباني مي كنند. براي مثال ويروسها مي توانند از زبانهاي اسكريپتي در برنامه هايي مانند Microsoft word يا Lotus Ami جهت انجام كارهاي شيطنت آميز مانند تغيير رنگ متن يا سوئيچ بين فايلهاي مختلف تا اثرهايي خرابكارانه مانند فرمت كردن درايوهاي حافظه سخت استفاده كنند.
قطاع راه اندازي يا Boot Sector:
مكانهاي خاصي از حافظه رايانه مانند ركورد MBR يا ركورد راه اندازي DOS نيز مي توانند به عنوان حامل در نظر گرفته شوند، زيرا قادرند كدهاي خرابكار را به اجرا در آورند. زماني كه يك ديسك راه اندازي آلوده مي شود، گسترش ويروس از طريق راه اندازي رايانه هاي ديگر با استفاده از ديسك آلوده اتفاق مي افتد.
توجه: در صورتي كه ويروس هم فايلها و هم قطاع راه اندازي را هدف آلوده سازي قرار دهد، به آن ويروس چندبخشي يا multipartite virus اطلاق مي شود.
مكانيزمهاي انتشار
يك حمله مي تواند از يك روش يا روشهاي متنوع زيادي براي تكرار و گسترش بين رايانه ها استفاده كند. در اين بخش مكانيزمهاي متداولي را كه بدافزارها براي گسترش از آن استفاده مي كنند، مورد بررسي قرار مي دهيم.
حافظه هاي قابل حمل:
رايجترين و اصلي ترين انتقال دهنده ويروسها و ديگر بدافزارها تا به امروز فايلها هستند. عمده اين فايلها ابتدا از طريق فلاپي ها و سپس از طريق شبكه ها و امروزه از طريق حافظه هاي جديد فلش و Firewire منتقل مي شوند. با وجود اينكه نرخ آلودگي از طريق اين حافظه ها به سرعت نرخ آلودگي بدافزارهاي مبتني بر شبكه نيست ولي به هر حال اين تهديد هنوز هم وجود دارد و ريشه كن كردن كامل آن تقريباً امكان پذير نيست زيرا همواره نياز به انتقال داده ها بين سيستم هاي مختلف وجود دارد.
به اشتراك گذاري منابع از طريق شبكه:
از زماني كه رايانه ها توانستند از طريق شبكه به يكديگر اتصال پيدا كنند، نويسندگان بدافزار نيز مكانيزم انتقال جديدي را براي گسترش بدافزارهايشان پيدا كردند. توانايي اين مكانيزم در انتقال و گسترش كدهاي بدخواه چندين برابر حافظه هاي قابل حمل است. پياده سازي ضعيف امنيت در شبكه ها محيط مناسبي را براي تكرار و گسترش بدافزار ها بر روي تعداد زيادي رايانه كه به شبكه متصل مي شوند، پديد مي آورد. اين روش به سرعت جايگزين انتقال دستي از طريق حافظه هاي قابل حمل شد.
بررسي شبكه:
نويسندگان بدافزار از اين مكانيزم براي بررسي شبكه ها و پيدا كردن رايانه هاي آسيب پذير استفاده مي كنند يا از بين IP هاي موجود در شبكه تعدادي را به صورت تصادفي براي حمله انتخاب مي كنند. براي مثال، اين مكانيزم مي تواند يك كد فرصت طلب را با استفاده از يك پورت شبكه خاص براي دامنه اي از آدرسهاي IP با هدف يافتن رايانه هاي آسيب پذير، ارسال كند.
ارتباط نظير به نظير (P2P):
براي انتقال فايل از طريق P2P ابتدا كاربر بايد قسمت مشتري يك برنامه كاربردي P2P را بر روي رايانه نصب كند. برنامه كاربردي مذكور يكي از پورتهاي شبكه را كه توسط فايروال بسته نشده مورد استفاده قرار مي دهد كه معمولاً پورت 80 مي باشد. چنين برنامه هايي پورت مذكور را به جهت گذر از فايروال و انتقال مستقيم فايل مورد استفاده قرار مي دهند و در حال حاضر به راحتي بر روي اينترنت قابل دسترسي هستند. آنها شيوه انتقالي را فراهم مي كنند كه به نويسندگان بدافزار قدرت انتشار بلاواسطه فايلهاي آلوده را مي دهند.
ايميل:
بسياري از حمله هاي بدافزاري، ايميل را به عنوان مكانيزم انتقال خود بر مي گزينند. از آنجايي كه از طريق ايميل مي توان به صدها هزار كاربر بدون نياز به ترك رايانه دسترسي داشت، شيوه مذكور به عنوان يكي از مؤثرترين مكانيزمهاي انتشار شناخته مي شود. براي استفاده از اين مكانيزم كافي است كه كاربران را به شيوه هاي مختلفي ترغيب به باز كردن فايلهاي پيوست ايميل كرد و معمولاً هكرها اين كار را از طريق شيوه هاي مهندسي اجتماعي انجام مي دهند. به همين دليل بسياري از ويروسهاي گسترده و مشهور داراي مكانيزم انتقال ايميل بوده اند. بدافزار هايي كه ايميل را به عنوان شيوه انتشار خود بر مي گزينند به دو دسته اصلي تقسيم مي شوند:
- Mailer:
اين نوع از بدافزار خود را به تعداد محدودي آدرس ايميل ارسال مي كند. اين كار توسط با استفاده از نرم افزارهاي پست الكترونيكي مانند Outlook كه بر روي سرور ميزبان قرار دارد و يا با استفاده از موتور SMTP ساده اي كه در درون بدافزار تعبيه شده است، انجام مي شود. - Mass mailer:
اين نوع از بدافزار رايانه هاي آلوده را براي پيدا كردن آدرسهاي ايميل مورد جستجو قرار مي دهد و به اين ترتيب خود را به صورت گسترده به آن آدرسها ارسال مي كند. اين كار نيز با استفاده از نرم افزارهاي پست الكترونيكي مانند Outlook كه بر روي سرور ميزبان قرار دارند و يا با استفاده از موتور SMTP ساده اي كه در درون بدافزار تعبيه شده است، انجام مي شود.
سوءاستفاده از راه دور:
گاهي اوقات بدافزار ها براي انتشار خود، سعي در سوءاستفاده از آسيب پذيري موجود در يك سرويس يا برنامه كاربردي دارند. اين رفتار معمولاً در كرمها ديده مي شود. براي مثال كرم Slammer از يك آسيب پذيري در Microsoft SQL Server 2000 بهره مي جست. كرم مذكور با ايجاد يك سرريز بافر، امكان بازنويسي كد را در قسمتي از حافظه فراهم مي كرد كه اجازه اجراي سرويسهاي SQL را دارا بود. سرريز بافر زماني اتفاق مي افتد كه در بافر داده هايي بيشتر از ظرفيت آن انباشته شود. مهاجمان با بهره بردن از اين آسيب پذيري به برخي منابع سيستم دسترسي پيدا مي كنند. مايكروسافت آسيب پذيري مذكور را ماهها قبل از انتشار كرم Slammer شناسايي كرده و براي آن اصلاحيه صادر كرده بود ولي از آنجايي كه تعداد كمي از كاربران اصلاحيه را نصب كرده بودند كرم مزبور توانست به سرعت گسترش پيدا كند.
در بخش بعدي در مورد ديگر خصوصيات بدافزارها شامل انواع عمليات خرابكارانه اي كه انجام مي دهند، مكانيزم هاي فعال سازي و مكانيزم هاي دفاعي آنها بحث خواهيم كرد.
منبع: The Antivirus Defense-in-Depth Guide
- 8