
این نوع بدافزار بدون حتی یک کلیک رایانه شما را آلوده میکند!
در ابتدای سال 1398، مجرمان سایبری شروع به کار بر روی سلاح جدیدی از مجموعه سلاحهای خود کردند. این سلاح جدید، قطعه نرمافزاری جدیدی بود که میتوانست برای انتشار بدافزار، دستکاری و برنامهریزی شود و هزاران نفر را آلوده نماید.
نام این سلاح: “جاوا اسکریپت بود.”
بهرهبرداری از جاوا اسکریپت در حملات سایبری اتفاق جدیدی نیست، اما فرکانس رو به رشد بردار این حمله، جدید است. این روند، نظرات بسیاری از محققان امنیتی را تحت تأثیر قرار میدهد. بدافزاری که از طریق فایلهای جاوا اسکریپت منتشر میشود، نیازی به تعامل کاربر ندارد. بهتر است بگوییم، کاربری همچون شما یا من، ممکن است حتی با یک مرور ساده اینترنتی آلوده شود.
بنابراین، ما در دپارتمان فراست خود را موظف دانستیم تا به طور ساده بدافزار جاوا اسکریپت را شرح دهیم، تا هر کسی بتواند یاد بگیرد که چگونه از دادههای خود در برابر این تهدید محافظت کند.
راهنمای زیر شامل شش قسمت است که کاربران معمولی نیز میتوانند از آن بهره گیرند:
- تفاوتهای بین جاوا و جاوا اسکریپت را بیاموزید
- بیاموزید که چگونه بدافزار جاوا اسکریپت عمل میکند
- دریابید که چرا مجرمان سایبری روی حملات جاوا اسکریپت تمرکز دارند
- کشف کنید که چگونه بدافزار جاوا اسکریپت منتشر میشود
- با انواع بدافزارهایی که از جاوا اسکریپت برای انتشار خوداستفاده میکنند، آشنا شوید
- دریابید که چگونه از خود در برابر بدافزارهایی که از جاوا اسکریپت استفاده میکنند محافظت نمایید
1.تفاوتهای بین جاوا و جاوا اسکریپت را بیاموزید.
قبل از همه، مجبوریم از عبارتهای درست استفاده کنیم. بیشتر کاربران جاوا را با جاوا اسکریپت اشتباه میگیرند، زیرا نامهای مشابهی دارند. این عدم خلاقیت در نامگذاری من را نیز گاهی دچار اشتباه میکند، حال زمان آن رسیده تا یک بار برای همیشه این نامها را درست در ذهنمان ذخیره کنیم.
جاوا اسکریپت یک زبان برنامهنویسی است که توسط Netscape Inc. توسعه یافته و قسمتی از محیط برنامهنویسی جاوا نیست.
جاوا اسکریپت علاوه بر HTML و CSS یکی از سه فناوری اساسی مورد استفاده برای ساخت محتوای وب است.
این زبان توسط بسیاری از وبسایتها استفاده شده است و همچنین تمام مرورگرهای جدید بدون پلاگین، آن را پشتیبانی میکنند.
به علاوه جاوا اسکریپت را در فایلهای PDF یا ویجتهای دسکتاپ، مانند گجت آبوهوا در ویندوز7 میتوانید بیابید.
در زیر مثالی را مشاهده میکنید:
در زیر، شکل فایلهای جاوا اسکریپت را در رایانه خود، مشاهده میکنید(پسوند این فایلها .js است):
جاوا یک زبان برنامه نویسی همه منظوره است که توسط Sun Microsystems تولید شده است ( این شرکت در حال حاضر متعلق به شرکت Oracle است).
جاوا خلاصه شده جاوا اسکریپت نیست و خود زبان/ محیط برنامهنویسی کاملاً متفاوتی است.
بنابراین فقط این موضوع را به خاطر داشته باشید که این دو زبان در اصل مسائل متفاوتی را در بردارند و به هیچ وجه به هم ارتباطی ندارند.
2.بدانید بدافزار جاوا اسکریپت چگونه کار میکند؟
حال که دانستید جاوا اسکریپت چیست، زمان این است که بدانید مجرمان سایبری چگونه از این زبان برنامهنویسی در حملات خود سوءاستفاده میکنند.
نکته این جاست که جااواسکریپت به سازندگان وبسایت این امکان را میدهد، زمانی که کاربری از وبسایت آنها بازدید میکند، هر کدی را که میخواهند به اجرا گذارند.
در اصل، توسعه دهندگان وبسایت ممکن است خوب یا بد باشند. علاوه بر آن، مجرمان سایبری به طور مرتب کدها را در وبسایتهای بیشماری تغییر میدهند تا عملکرد خرابکارانه خود را به اجرا در آورند.
البته، جاوا اسکریپت یک زبان برنامهنویسی نا امن نیست. مشکل این جاست که اشکالات کدها یا پیاده سازی نامناسب میتواند درهای پنهانی ایجاد کنند که مهاجمان میتوانند از آنها بهرهبرداری کنند.
همه آنچه که اتفاق میافتد این است:
زمانی که شما از وبسایتی دیدن میکنید، یک سری از فایلهای جاوا اسکریپت (js.) به طور خودکار بر روی رایانه شما دانلود میشوند. این فایلها درون مرورگر شما اجرا میشوند، بنابراین میتوانید:
- محتوای سایتی که در آن هستید را ببینید
- اعمال مختلفی انجام دهید، مانند: فرمی را پر کنید یا فایلی را از وبسایت دانلود کنید
- تبلیغات آنلاین (بنرها) روی وبسایت و غیره را میبینید.
از آنجا که مرور اینترنتی، یکی از بزرگترین عادتهایی است که کاربران دارند، مجرمان اینترنتی دقیقاً این عادت را هدف قرار دادهاند. مهاجمان آنلاین همواره کاربران را به سمت وبسایتهای آلوده هدایت میکنند. این وبسایتها، هم میتوانند ساخته خود مهاجمان باشند و هم اینکه وبسایتی قانونی باشند که آن را هک کردهاند.
بنا به گفته شرکت امنیتی Sophos تقریبا “82 درصد سایتهای مخرب، سایتهای مجاز هک شده میباشند!”
آنچه یک وبسایت آلوده را معرفی میکند:
- مجرمان سایبری، کد جاوا اسکریپت مخرب را به درون وبسایت آلوده تزریق کردهاند.
- مهاجمان از طریق اجرای کدهای مخرب جاوا اسکریپت در تبلیغات/بنرهای آنلاین نمایش داده شده بر روی وبسایت آن را به خطر انداختهاند.
- مهاجمان سایبری محتوای خرابکارانه یا نرمافزار مخرب را از یک سرور راه دور، بارگذاری میکنند.
- در نتیجه درحالی که شما بیخبر، از یک وبسایت آلوده دیدن میکنید، فایل جاوا اسکریپت مخرب روی رایانه شما دانلود میشود
به این حمله یک حمله drive-by گفته میشود و به طور کلی شامل 9 مرحله است:
- شما، به عنوان یک کاربر، ناخواسته وبسایت آلوده را بازدید میکنید.
- فایل جاوا اسکریپت مخرب روی رایانه شما دانلود میشود.
- آنها در مرورگر شما اجرا شده و آلودگی را ایجاد میکنند.
- فایلهای جاوا اسکریپت آلوده ترافیک شما را به سمت یک سرور مورد بهرهبرداری هدایت میکنند.
- کیت بهرهبرداری استفاده شده در این حمله ( که بر روی سرور مورد بهرهبرداری قرار داده شده) در سیستم شما به دنبال آسیبپذیریهای نرمافزاری میگردد.
- به محض یافتن آسیبپذیری، از آن برای دسترسی به عملکرد رایانه شما استفاده میکنند.
- این گونه به کیت بهرهبرداری اجازه داده میشود تا کد را اجرا کند و به اختیار مدیر، فایلهای اضافی دیگری از اینترنت دانلود نماید.
- در گام بعد، بدافزار بر روی رایانه، دانلود خواهد شد و به اجرا در میآید.
- بدافزار میتواند عملیات آسیبرسانی به رایانه را آغاز کند. همچنین میتواند اطلاعات رایانه آلوده را جمعآوری کرده و به سرورهایی ارسال کند که در کنترل مجرمان سایبری هستند.
تنها چند ثانیه زمان میبرد تا همه این مراحل به اجرا برسند! و برای تکمیل این چرخه یعنی آلودگی به بدافزار، حتی نیازی به یک کلیک شما هم نیست.
وقتی که برای اولین بار درباره این نوع حملات بدافزاری به آنها میگفتم همه دوستان من به سختی مرا باور میکردند، اما هنوز هم این نوع حملات مدام اتفاق میافتند. بنابراین اگر میخواهید باور کنید که حقیقت دارد، این مطلب را دوباره بخوانید. جنبه دیگری که هر کسی را درباره حملات drive-by نگران میکند این است که این حملات از دید کاربر پنهان هستند. همه مراحلی که در بالا شرح داده شدند در پس زمینه اتفاق میافتند و به شدت سریع!
داستان به همینجا ختم نمیشود!
3.دریابید که چرا مجرمان سایبری روی حملات جاوا اسکریپت تمرکز دارند؟
همانطور که احتمالاً تا اینجا متوجه شدهاید، مجرمان سایبری دوست دارند تا به دو چیز دسترسی پیدا کنند: پول و داده. هک کردن وبسایتها روشی است که مهاجمان میتوانند، سریع و کمهزینه، به اطلاعات میلیونها کاربر حتی بدون اطلاع خود کاربران دست یابند.
آن روزها که مجرمان سایبری تنها به خاطر اینکه مهارتهایشان را به رخ بکشند، دست به آلوده ساختن وبسایتها میزدند به پایان رسیده است. آنها حتی دیگر به تخریب چهرههای معروف نیز علاقهای ندارند، امروزه هدف مجرمان سایبری تجارت از این راه است.
وبسایتهای آلوده کارایی خود را در بسیاری موقعیتها نشان دادهاند. جاوا اسکریپت تنها یکی از دستاوردهای بزرگ در جرائم سایبری است.
آمار زیر میتواند به درک شما از فرصتهای عظیمی که مجرمان آنلاین در اختیار دارند، کمک نماید:
جاوا اسکریپت در 93.6 % تمام وبسایتها استفاده شده است.
امروزه، وب به میزان زیادی به جاوا اسکریپت برای نمایش محتوا وابسته است و به کاربران سراسر دنیا کمک میکند تا کارهای بیشتری در فضای آنلاین انجام دهند. بدون این زبان برنامهنویسی و امکاناتش، استفاده کنونی ما از وب امکانپذیر نیست.
احمقانه خواهد بود اگر سازندگان بدافزارها از این فرصت عظیم پول درآوردن، بهراحتی بگذرند.
دستورالعمل، ساده به نظر میرسد:
مجرمان سایبری وبسایتهای قانونی و پرترافیک را آلوده میسازند و از آنها برای منحرف کردن کاربران به سمت صفحات وب مخرب استفاده میکنند. قربانیان نمیدانند که چه اتفاقی در حال روی دادن است، بنابراین بدافزار به میلیونها رایانه سرایت میکند. آلودگی، اغلب رایانهها را بهصورت یک باتنت به هم مرتبط میکند، که بعدها در سایر حملات از آنها استفاده میشود.
و چرخه همینطور ادامه پیدا میکند …
علت افزایش علاقه به استفاده از جاوا اسکریپت در حملات بدافزاری اینترنت این است که با استفاده از این فایلها، سادهتر میتوان ترافیک منحرف شده را پنهان کرد. این تمایل رو به رشد به استفاده از جاوا اسکریپت در آلودگیهای بدافزاری که از سالهای پیش آغاز شده تا کنون آسیبهای زیادی را باعث شده است.
4.بدافزارهای جاوا اسکریپت چگونه گسترش مییابند؟
در حملات کنونی، 8 راه عمده وجود دارد که در آنها جاوا اسکریپت برای انتشار بدافزار مورد استفاده قرار میگیرد:
- تزریق کد جاوا اسکریپت مخرب؛ در وبسایتهای مجاز برای انحراف کاربران به وبسایتهای مملو از بدافزار استفاده میشود و یا برای بهرهبرداری از سرورهایی به کار میرود که منجر به آلودگی به بدافزار میشود. در اینجا مثالهای مفیدی دراین باره آورده شده است:
این کد در زمان مشاهده پیام، به طور خودکار فعال میشد. سپس جاوا اسکریپت میتوانست برای آلوده ساختن حساب، تغییر تنظیمات و ارسال یا فوروارد ایمیل، بدون دخالت کاربر استفاده شود.
- آی فریمهای پنهان(Hidden iFrames)، که بدافزار جاوا اسکریپت را از سایتهای آلوده بارگذاری میکنند، پس از آن بدافزار تلاش میکند، کد را در مرورگر به اجرا در آورد تا منجر به آلودگی رایانه شود.
- تزریق کد جاوا اسکریپت مخرب در شبکههای تبلیغاتی آنلاین، که در بنرهای تبلیغاتی آنلاین ظاهر میشود و همچنین به طور پنهانی کاربران را به وبسایتهای مخرب هدایت میکند.
- درایو-بای-دانلودها، که از فایلهای جاوا اسکریپت مخرب برای اجرای آلودگیهای بدافزاری استفاده میکنند.
- پیوستهای مخرب جاوا اسکریپت، که درون یک برنامه ویندوز به اجرا در میآیند و میتوانند آلودگیهای درون مرورگر را فعال کنند.
یک برنامه سیستمی استاندارد به نام WScript.exe (یا همراه آن، CScript.exe، برای اسکریپتهای خط فرمان بدون رابط گرافیکی) اسکریپت شمارا بارگذاری میکند، آن را به WSH میدهد و بعد آن را با تمام توان، مانند یک برنامه قابلاجرای معمولی، به اجرا میگذارد.
- دانلودهای آلوده از طریق کدهای آلوده جاوا اسکریپت فعال میشوند؛ مانند محصولات قلابی آنتیویروس که یکی از رایجترین کلاهبرداریهای اینترنتی است. این آلودگیها میتوانند بهصورت غیر قابل بازگشت باشند.
- پلاگینها و افزونههای مرورگر؛ یا اینکه میتوانند آلوده شوند و یا اینکه میتوانند محتوای خارجی از منابع بیرونی را همراه با بدافزار دانلود کنند.
- نرمافزار جعلی پیامهای پاپآپ، که کلاهبرداران سایبری میتوانند با آنها به آسانی خود را واقعی و اغواکننده نشان دهند.
از لحاظ آماری، حملات آنلاین، تا کنون بردار شماره یک آلودگیهای بدافزاری بودهاند. همانطور که مشاهده میکنید، مجرمان سایبری برای انجام اقدامات خرابکارانه خود با کمبود راه و روش مواجه نیستند. اما ما نیز در روشهای حفاظتی با کمبود مواجه نیستیم. بنابراین برای مطالعه بهترین روشهای حفاظتی در برابر بدافزار جاوا اسکریپت، بقیه مطلب را بخوانید.
5.با انواع بدافزارهایی که از جاوا اسکریپت برای انتشار خود استفاده میکنند، آشنا شوید.
همانطور که جاوا اسکریپت فراگیر و گسترده است، بدافزارهای بسیاری نیز برای انتشار از طریق آن وجود دارند. مجرمان اینترنتی خیلی خوب خود را با زمان، پیش میبرند. آنها بهسرعت اولین باج افزاری را که به طور حتم از طریق جاوا اسکریپت منتشر میشود با نام Ransom32 تولید کردند، نسل جدید Ransom32 یک پیچیدگی دارد:
این باج افزار به طور کامل در جاوا اسکریپت، HTML و CSS توسعه داده شده بود که پس از بستهبندی مجدد آنها برای لینوکس و MacOS X، برای آلودگیهای چند محیطی(multi platform) نیز در دسترس است. با استفاده از جااواسکریپت یک قدم به تهدید “یک بار بنویس همه را آلوده کن” ( “write once infect all ”threat) نزدیکتر میشویم، که این همان چیزی است که باید از آن حذر کرد.
بعد از Ransom32، باج افزاری جدیدی به نام RAA ظهور کرد. این باج افزار ویژگی اعجابآوری داشت:
نرمافزار دیگری دانلود نمیشد، بنابراین وقتی که بدافزار JS/Ransom-DDL وارد شبکه شما میشد، قادر بود تا دادههای شما را به هم ریخته و یک پیام باج افزاری را بهصورت پاپآپ ظاهر نماید.
اما باج افزار تنها بدافزاری نیست که از طریق فایلهای جاوا اسکریپت آلوده میتواند منتشر شود. سایر انواع نرمافزارهای مخربی که از این راه منتشر میشوند عبارتند از بدافزارهای مالی (برای مثال Shylock) یا بدافزاری که رایانهها را بهصورت باتنت درمیآورد. زمانی که مهاجمان کد را درون یک وبسایت تزریق میکنند یا کدی را به دلخواه خود دستکاری میکنند، میتوانند هر بدافزاری را که میخواهند درون رایانه قربانی جای دهند.
6. دریابید که چگونه از خود در برابر بدافزارهایی که از جاوا اسکریپت استفاده میکنند محافظت نمایید؟
کاربرانی که هر روز از اینترنت استفاده میکنند میتوانند چند قانون ساده را برای در امان ماندن از بدافزار جاوا اسکریپت همانند تهدیدات دیگر به کار گیرند. این قوانین عبارتند از :
- نرمافزارهای خود را همیشه به روز نگه دارید(مرورگرها، اپلیکیشن ها، سیستمعامل و غیره)
- از یک محصول آنتیویروس قوی با قابلیتهای پیشرفته استفاده کنید
- یک فیلترکننده ترافیک به منظور حفاظت پیشگیرانه تأمین کند
- بر روی لینک ایمیلهای نامعلوم و ناخواسته (اسپمها) کلیک نکنید
- هرگز ضمیمههای موجود در ایمیلهای اسپم را باز نکنید
- از وبسایتهای مشکوک بر حذر باشید
و اگر میخواهید قدم بزرگتری برای امنیت خود بردارید، تنظیماتی وجود دارند که میتوانند مرورگر کروم شما را تنظیم نمایند، اگر میخواهید برای همه سایتها جاوا اسکریپت خود را خاموش یا روشن کنید:
- روی منوی کروم در گوشه بالا سمت راست مرورگر کلیک کنید
- Settings را انتخاب کنید
- روی گزینه Show advanced settings کلیک کنید
- در بخش Privacy روی دکمه Content settings کلیک نمایید
- در بخش “Javascript” گزینه “Do not allow any site to run JavaScript” یا “Allow all sites to run JavaScript recommended” را انتخاب کنید
اگر شما “Do not allow any site to run JavaScript” را انتخاب کنید، قادر خواهید بود تا چند سایت مجاز و مطمئن را جدا کرده و استثنا قائل شوید، و از آنها نهایت استفاده را ببرید.
اگر کاربر فایرفاکس هستید، میتوانید از اکستنشن NoScript یا NoScript extension استفاده نمایید:
اکستنشن NoScript در فایرفاکس، امنیت بیشتری برای مرورگر فایرفاکس، Seamonkey و مرورگرهای بر پایه موزیلا ایجاد میکند. این افزونه رایگان و منبع آزاد، اجازه میدهد تا جاوا اسکریپت، جاوا، فلش و سایر پلاگینها به شرط اینکه جزو سایتهای معتبری باشند که شما انتخاب کردهاید، اجرا شوند (مانند سایت بانکی آنلاین شما).
نتیجهگیری
اگر حملات بدافزاری که در این جا به آنها اشاره شد باعث شوند خود را در برابر این حملات، درمانده حس کنید، باید گفت هیچ دلیلی برای این حس وجود ندارد. فرایند کلی ممکن است برای مجرمان سایبری دشوار شود، اما راههای حفاظتی بسیاری در دسترس هستند. نباید در برابر ترسی که از این حملات دارید تسلیم شوید و بگویید هیچ راهی برای مقابله با آنها وجود ندارد.
خود را تحت آموزش قرار دهید، یک سیستم حفاظت چند لایه ایجاد نمایید و با این کار؛ شما از بیشتر کاربران اینترنتی امنیت بیشتری خواهید داشت.
جاوا اسکریپت های که سایت ها در کامپیوتر دانلود می کنن،توی کدوم قسمت ذخیره می شن؟
چحوری میشه جاوا اسکریپت هارو پاک کرد؟
با تشکر.