بدافزارها (malware)، برنامههای رایانهای هستند که به علت آنکه کاربر را آزار میدهند یا خساراتی به وجود میآورند به بدافزار مشهورند. افراد باید در محیط نت امنیت داشته باشند درصورتیکه واقعیت چیز دیگری را نشان میدهد.
امروزه جنایتکاران سایبری حرفهایتر و سازمان یافتهتر شده و بر هجوم اسپمهایشان مصرتر شدهاند. آنها از تاکتیکهای جدیدی ازجمله لینکهای بهروزآوری خودکار در ایمیلهای مخرب یا پسوندهای جدید برای سوءاستفاده در رایانههای قدیمی استفاده میکنند. مطالعات اخیر نشان داده است، حملات سایبری در سالهای اخیر افزایشیافته و همچنان رو به افزایش است.
یافتههای حاصل از گزارش دیگری که در سال جاری منتشر شد، نشان داد که تعداد حملات باجافزارها در نیمه اول سال 2017 در مقایسه با نیمه اول سال 2016 تقریبا 2 برابر شده است و احتمالا شاهد گسترش حملات سایبری در کشورهای مختلف خواهیم بود.
نصب نرمافزار آنتیویروس بر روی سیستمهای رایانهای از جمله روشهای متداول برای شناسایی و حذف بدافزارها است. تقریباً تمام آنتیویروسها دارای یک پایگاه داده هستند که امضاهای بدافزارهای شناسایی شده در آن وجود دارد. شیوه عملکرد آنتیویروسها معمولاً به این صورت است که در صورت شناسایی فایلی که با یکی از این امضاها مطابقت داشته باشد، آن فایل را از روی سیستم مربوطه حذف میکنند. از این رو آنتیویروسها قابلیت شناسایی انواع جدیدی از بدافزارها از جمله بدافزارهای چندوجهی را ندارند. بدافزارهای چندوجهی (Polymorphic Malware) که با تازگی توسط طراحان بدافزارها ابداع شدهاند به راحتی میتوانند آنتیویروسها و سایر راهکارهای امنیتی را دور بزنند.
طراحان بدافزارها جهت ایجاد چنین فایلهایی از رویکردهای چندوجهی که شامل انجام تغییرات مختصر در فایل بدافزارها است به منظور پیشگیری از شناسایی آنها استفاده میکنند. در این مطلب از فراست این بدافزارهای چندوجهی و نحوه مقابله با آنها را با هم بررسی میکنیم.
انواع بدافزار
از سالیان گذشته تاکنون مجرمان سایبری همواره در حال تلاش برای ابداع روشهای جدید جهت نفوذ به سیستمها و شبکههای رایانهای بودهاند. از آنجا که ورود بدافزار به سیستمهای کاربران میتواند خسارات جبرانناپذیری را در پی داشته و حتی به اعتبار شرکتها نیز لطمه وارد کند؛ بنابراین توصیه میشود تمام کاربران با انواع بدافزارها و روشهای نفوذ آنها آشنا شده و به صورت مداوم دانش خود را در این زمینه افزایش دهند.
1. ویروسها
کاربران معمولاً چنین تصور میکنند که ویروس نام دیگر بدافزار است در حالی که اینطور نیست و ویروسها تنها یکی از انواع بدافزارها به شمار میروند. ویروسهای رایانهای فایلهای سالم سیستم میزبان (یا اشارهگرهای آنها) را آلوده میکنند. پس از اجرای یک فایل آلوده به ویروس در سیستم قربانی آنها اقدام به تخریب فایلهای سالم آن سیستم مینمایند.
امروزه ویروسها حداکثر 10 درصد از بدافزارها را تشکیل میدهند. در بین انواع بدافزارها فقط آنها قابلیت آلودهسازی و تخریب سریع تمام فایلها را دارند. البته شایان ذکر است که امکان پاکسازی این نوع از بدافزارها به راحتی با نصب یک آنتیویروس معتبر وجود دارد.
2. کرمها
کرمها قبل از ویروسهای رایانهای ابداع شدند. در اواخر دهه 90 میلادی با ظهور ایمیل، کرمهای رایانهای هم به وجود آمدند. در اوایل پیدایش آنها حدود یک دهه کارشناسان امنیت کامپیوتر با کرمهای مخرب که در قالب فایلهای ضمیمه ایمیلها منتشر میشدند، دست و پنجه نرم کردند. هنگامی که کاربری یک فایل پیوست آلوده به کرم را باز میکرد، اندکی بعد کل شبکه سازمان آلوده میشد!
کرمهای رایانهای قابلیت خودتکثیری دارند یعنی به راحتی و بدون نیاز به انجام کار خاصی از سوی کاربران گسترش مییابند؛ در حالی که ویروسها در صورتی اجرا میشوند که اقدامی توسط کاربر صورت پذیرد. کرمها برای انتشارشان از سایر فایلها و نرمافزارها سوءاستفاده میکنند. برای مثال کرم SQL Slammer از یک آسیبپذیری در Microsoft SQL برای ایجاد مشکل سرریز بافر استفاده میکرد. متأسفانه تمام سرورهای SQL متصل به اینترنت که بهروزرسانی نشده بودند در کمتر از 10 دقیقه تحت تأثیر این حمله قرار گرفتند. رکوردی که با وجود گذشت سالهای متمادی همچنان چشمگیر و بیسابقه محسوب میشود.
چند سال پیش نیز تعداد بسیار زیادی از کاربران ایمیل در سطح جهان تحت تأثیر پیامدهای مخرب کرم Iloveyou قرار گرفتند. این کرم با ارسال پیامهای مکرر میتوانست پردازش زیادی را بر روی سیستمها ایجاد کرده و شبکهها را از کار بیاندازد. این کرم پیامدهای مخرب بسیار زیادی را به همراه داشت. MS Blaster نیز از دیگر کرمهای رایانهای معروف است که مخاطرات امنیتی زیادی را به بار آورد.
3. تروجانها
به تدریج کرمهای رایانهای جای خود را به یکی از انواع بدافزارها به نام تروجان دادند که تبدیل به سلاح مورد علاقه مهاجمان شده بودند. تروجانها به ظاهر، نرمافزارهای سالم هستند در حالی که در باطن میتوانند اقدامات مخربی را بر ضد کاربران انجام دهند. امروزه مهاجمان سایبری بیشتر از تروجانها برای نفوذ به سیستمها و شبکههای رایانهای استفاده میکنند.
تروجانها جهت انجام عملیات مدنظرشان باید نخست توسط قربانی اجرا شوند. این بدافزارها معمولاً از طریق ایمیل یا وبسایتها منتشر میشوند. آنتیویروسهای جعلی که با نمایش پیامی ادعا میکنند سیستم کاربر آلوده شده و باید یک نرمافزار خاص برای پاکسازی سیستم بر روی آن نصب شود، از جمله مشهورترین انواع تروجانها هستند.
تروجان دسترسی از راه دور (RAT[1]) نیز از محبوبیت بسیار بالایی در بین مجرمان سایبری برخوردار است. مهاجمان با استفاده از RATها رایانه قربانی را تحت کنترل خویش گرفته و با نفوذ در شبکه مربوطه تلاش میکنند سیستمهای بیشتری را آلوده کنند. بعضی از RATها به راحتی میتوانند سامانههای امنیتی را دور بزنند. در بازارهای زیرزمینی صدها نمونه از این تروجانها به صورت آماده وجود دارد. بنابراین مهاجمان حتی نیازی به نوشتن کد آنها هم ندارند.
هکرها به صورت مداوم ابزارهای ایجاد تروجان را تولید و عرضه کرده و با فریب کاربران اقدام به سرقت اطلاعات آنها میکنند. ماهانه میلیونها تروجان با استفاده از این روش منتشر میشوند. اگرچه طراحان ضدبدافزارها و متخصصان امنیتی همه تلاششان را برای مبارزه با تروجانها انجام میدهند اما با توجه به تعداد بسیار زیاد آنها شناسایی و پاکسازی همه تروجانها کار سختی است.
4. بدافزارهای ترکیبی
ممکن است بدافزارها در قالب ترکیبی از نرمافزارهای مخرب متداول اجرا شده و اجزای آنها شامل تروجانها، کرمها و حتی ویروسها باشد. چنین بدافزارهایی ظاهراً حکم تروجان را برای کاربر نهایی دارند اما به محض اجرا مشابه کرم عمل کرده و به سرعت به سایر بخشهای سیستم نفوذ میکنند. بدافزارها تلاش میکنند سیستمعامل را به صورتی تغییر دهند که کنترل کامل سیستم را در اختیار خودشان گرفته و سامانههای امنیتی را نیز دور بزنند. برای مقابله با چنین بدافزارهایی ابتدا باید یک نرمافزار آنتیویروس معتبر را بر روی سیستمتان نصب نموده، سپس اقدام به اسکن کل سیستم نمایید.
باتنتها هم نوع دیگری از حملات سایبری هستند که از بدافزارها (عموماً ترکیبی از تروجان و کرم) برای در اختیار گرفتن سیستم قربانیان خود استفاده میکنند. نفوذگران تلاش میکنند سیستمهای آلوده را از طریق باتنتها در یک شبکه مخرب بزرگ عضو کنند. گردانندگان آنها دارای یک یا چند سرور فرماندهی و کنترل (C&C) بوده و فرمانها را از طریق این سرورها برای سیستمهای قربانیشان که زامبی نامیده میشود، میفرستند. مجرمان سایبری میتوانند باتنتها را اجاره کرده و از آنها برای انجام اهداف مخرب استفاده میکنند.
5. باجافزار
در چند سال اخیر بدافزارهایی که اطلاعات کاربران را گروگان گرفته و از آنها برای دسترسی مجدد به فایلهایشان باجخواهی میکنند، درصد قابل توجهی از بدافزارها را به خود اختصاص داده و همچنان نیز رو به رشد هستند. این نوع از انواع بدافزارها که تحت عنوان باجافزارها شهرت یافتهاند؛ شرکتها، سازمانها و بسیاری از کاربران را درگیر حملات خود کرده و خسارتهای جبرانناپذیری را رقم زدهاند.
باجافزارها نیز مشابه تروجانها از طریق روشهای مهندسی اجتماعی منتشر میشوند. آنها بلافاصله پس از اجرا اقدام به شناسایی و رمزنگاری فایلهای کاربران میکنند. هماکنون تعداد محدودی از این بدافزارها از رویکرد «منتظر ماندن و بررسی شرایط» استفاده میکنند. راهبر بدافزار میتواند با چندین ساعت نظارت بر روی رفتار کاربر پیش از شروع فرایند رمزنگاری، بهترین مبلغ برای اخاذی از وی را تشخیص داده و نسخههای پشتیبان را هم آلوده و رمزنگاری نماید.
از آنجا که پس از اجرای حملات باجافزاری برگرداندن شرایط به حالت قبل در صورت نداشتن نسخه پشتیبان معتبر و سالم از اطلاعات تقریباً غیرممکن است؛ بنابراین بهتر است با افزایش سطح آگاهی و استفاده از رویکردهای فناورانه از اجرای چنین حملاتی جلوگیری نمایید. بر اساس مطالعات انجام شده حدود یک چهارم از قربانیان اقدام به پرداخت باج به مهاجمان کرده و متأسفانه حدود 30 درصد از آنها نیز دوباره به فایلهایشان دسترسی پیدا نکردهاند. به هر حال باید توجه داشت که برگرداندن فایلهای رمزگشایی شده به حالت قبل نیازمند ابزارهای خاص، یافتن و دسترسی به کلیدهای رمزگشایی و البته کمی شانس است. از این رو بهتر است همواره از فایلهای مهمتان یک نسخه پشتیبان تهیه کرده تا مجبور نشوید برای همیشه آنها را از دست بدهید.
6. بدافزار بدون فایل
بدافزارهای سنتی از طریق فایلهای آلوده یا برنامههای مخرب به سیستمهای جدید منتقل شده و آنها را آلوده میکنند. نوع جدیدی از انواع بدافزارها وجود دارد که از هیچ فایل خاصی استفاده نمیکنند. این بدافزارها که به آنها بدافزارهای بدون فایل گفته میشود، بیش از 50 درصد از بدافزارها را تشکیل داده و تعداد آنها نیز همچنان رو به افزایش است. بدافزارهای بدون فایل، در حافظه سیستم قربانی قرار گرفته و برای اجرای خود از اشیای غیرفایل سیستمعامل مثل کلیدهای رجیستری، APIها یا کارهای زمانبندی شده استفاده میکنند.
حملات بدون فایل معمولاً با بهرهبرداری غیرمجاز از یک برنامه سالم فعالیت خود را شروع کرده و در نهایت به یک زیرپردازش جدید تبدیل میشوند یا از ابزارهای معمولی سیستمعامل (مثل پاورشل مایکروسافت) سوءاستفاده میکنند. تشخیص این حملات و مقابله با آنها کار چندان سادهای نیست. توصیه میشود با رویکردها و روشهای مورد استفاده در حملات بدون فایل آشنا شده و اطلاعات خود را در این زمینه افزایش دهید تا بتوانید از آلودگی سیستمتان به این نوع از بدافزارها جلوگیری نمایید.
7. آگهیافزار
این نوع از بدافزارها تبلیغات ناخواسته و احتمالاً مخرب را به کاربران نمایش میدهند. آنها میتوانند جستجوهای وب کاربر را به صفحات ظاهراً مشابهی که حاوی تبلیغ محصولات مختلف و خاصی هستند، هدایت کنند.
8. تبلیغات مخرب
تبلیغات مخرب (Malvertising) که متفاوت با آگهیافزارها (Adware) هستند از طریق استفاده از شبکههای تبلیغاتی یا تبلیغات سالم، جهت انتقال بدافزار به رایانه کاربران و آلودگی شبکهها استفاده میکنند. برای مثال ممکن است یک مجرم سایبری جهت درج تبلیغات در یک وبسایت سالم هزینه پرداخت کند. زمانی که کاربری بر روی چنین تبلیغی کلیک میکند، کد تعبیه شده در این آگهی او را به سمت یک وبسایت مخرب هدایت کرده یا یک بدافزار بر روی سیستم کاربر نصب میشود. گاهی وقتها ممکن است بدافزار تعبیه شده در تبلیغات، از طریق رویکرد «درایوبای دانلود» به صورت خودکار و بدون نیاز به انجام کار خاصی توسط کاربر اجرا شود.
مجرمان سایبری با هدف درآمدزدایی، شبکههای تبلیغاتی را که مسئول نمایش تبلیغات در وبسایتهای مختلف هستند، آلوده میکنند. برای مثال وبسایتهای محبوبی مثل نیویورک تایمز، اسپاتیفای و بورس لندن از جمله مسیرهای انتشار آگهیهای مخرب توسط هکرها بوده و امنیت کاربران را در معرض خطر قرار میدهند. چنین تبلیغات مخربی میتوانند عاملی برای انتشار انواع بدافزارهای درآمدزا از جمله باجافزارها، تروجانهای بانکی یا اسکریپتهای کریپتوماینینگ باشند.
9. جاسوسافزار
جاسوسافزارها معمولاً توسط افرادی استفاده میشوند که قصد نظارت بر روی فعالیتهای دیگران را دارند. مجرمان سایبری در حملات هدفمند از جاسوسافزارها برای سرقت اطلاعات کاربران استفاده میکنند. اگرچه قصد و هدف آگهیافزار یا جاسوسافزار به اندازه بدافزارهایی مثل تروجان دسترسی از راه دور مخرب نیست اما آنها میتوانند از طریق روشهای مهندسی اجتماعی و نرمافزارهای بهروزرسانی نشده به سیستم قربانی نفوذ کنند. از این رو وجود جاسوسافزار یا آگهیافزار میتواند ناشی از وجود آسیبپذیریهای امنیتی باشد که باید در اسرع وقت برطرف شود.
آلودگی بدون فایل چیست؟
همانطور که از نام این نوع آلودگی کاملاً مشخص است به آلودگی بدافزار یا ویروسی گفته میشود که از فایل یا پردازشی، استفاده نمیکند.
برای فهمیدن کامل آنها، به خلاصهای از بررسی کارکرد آنتیویروسهای مرسوم میپردازیم:
• آلودگی، فایلها را روی هارد قرار میدهد.
• آنتیویروس، فایلهای آلوده را آنالیز میکند (به عبارت دیگر پی لود (payload))
• اگر شناسایی شد، آنتیویروس، فایلهای مخرب را قرنطینه یا پاک میکند.
اما گونه دیگری از آلودگیها، بدون فایل هستند، زیرا هیچ فایلی روی سیستم ارسال نمیشود. اما نتیجه چیست؟
• یک آنتیویروس قدیمی نمیتواند آلودگی را شناسایی کند.
• بدون اعمال اقدامات حفاظتی اضافی، حملهکننده بهسادگی میتواند انواع خرابیها را در کامپیوتر قربانی ایجاد کند.
در این مقاله به بررسی خرابی آلودگیهای بدون فایل میپردازیم و نحوه حفاظت در برابر آنها را بیان میکنیم.
چرا مجرمین سایبری از بدافزار بدون فایل استفاده میکنند؟
مجرمین سایبری، مجهز و بسیار خلاق هستند و اینگونه آلودگیها اثباتی برای این گفته ما است.
در این حملات، هکرهای مخرب به دنبال موارد زیر هستند:
• مخفیکاری – توانایی برای جلوگیری از کشف شدن در مدتزمان طولانی بهوسیله محصولات امنیتی.
• افزایش دسترسی – توانایی برای بهرهوری از آسیبپذیریای که میتواند دسترسی ادمین را (administrator) به سیستم بدهد، بنابراین مجرمین سایبری میتوانند هر اقدامی را که میخواهند، انجام دهند.
• جمعآوری اطلاعات – جمعآوری هر چه بیشتر اطلاعات درباره قربانی و کامپیوتر او (تا در آینده در حملات دیگر استفاده شود.)
• ماندگاری – توانایی برای نگهداشتن بدافزار در سیستم و دیده نشدن آن برای مدتزمان بسیار زیاد.
کاری که سازندگان بدافزار برای آلودگی بدون فایل انجام میدهند این است که بدافزار را به مدت طولانی در سیستم مخفی نگه میدارند. در اینجا مخفی نگهداشتن آلودگی برای اجرای عملیات خرابکارانه ملاک است.
هنگامی که کیت بهرهوری که آلودگی بدون فایل را حمل میکند وارد سیستم شد، بدافزار میتواند هدفش را نهایی کند.
در حقیقت این یک بدافزار معمولی نیست!
علاوه بر این، مجرمین سایبری میتوانند جوری بدافزارهای بدون فایل را برنامهنویسی کنند که بعد از نوشتن بهصورت مستقیم درون رم (RAM) کاملاً دائمی شود. زیرا از این طریق میتوانند خودشان را در جایی پنهان کنند که آنتیویروسهای مرسوم نتوانند آنها را اسکن کنند یا بیابند. اینگونه آلودگیهای دائمی و مخفی میتوانند مشکل اساسی برای کامپیوتر شما باشند:
1. بدافزار مقیم در حافظه (Memory-resident malware) – اینگونه بدافزارِ شبه بدون فایل، میتواند از فضای مموریِ یک پردازش یا فایل معتبر ویندوز استفاده کند. کد مخربش را داخل فضای مموری بارگذاری میکند و تا زمانی که پیدا شود در آنجا باقی میماند. شاید این مورد کاملاً از نوع بدافزار بدون فایل نباشد اما میتوانیم آن را در این دسته قرار دهیم.
2. روت کیت ها (Rootkits) – اینگونه بدافزار خودش را پشت یک کاربر کامپیوتر مخفی میکند تا بتواند به اکانت ادمین دسترسی پیدا کند. روت کیتها اغلب اوقات در کرنل قرار میگیرند، بنابراین با وجود اسکن شدن و ریست شدن کامپیوتر، کماکان دوام دارند. پنهانکاری آن بسیار عجیب و غیرطبیعی است و پاک کردن آن تقریباً غیرممکن میباشد. اما با اینکه اینگونه بدافزار نیز کاملاً از انواع آلودگی بدون فایل نیست، اما در همین دسته جای میگیرد.
3. بدافزار رجیستری ویندوز (Windows registry) – بدافزارهای جدید بدون فایل میتوانند در رجیستری جای گیرند. رجیستری ویندوز جایی است که تنظیمات سطح پایین سیستمعامل و اپلیکیشنهای مشخص در آن جای میگیرند. به عنوان یک کاربر معمولی، فهمیدن و حرکت در بخشهای مختلف رجیستری، سخت است. اما نویسندگان بدافزار حتی کش سیستمعامل را نیز برای ماندن در سیستم هک کردهاند. درست است که اینگونه بدافزار بدون فایل، کدی در فایل رجیستری اجرا میکند، اما هنگامی که مأموریتش را انجام داد، خودش را نابود میکند.
آیا میدانستید آنتیویروسهای رایج نمیتوانند بدافزارهای بدون فایل را کشف/پاک کنند؟
اما صبر کنید! موضوع حتی از این جالبتر نیز میشود!
آلودگی بدافزار بدون فایل اولین بار در آبان 2014 مشاهده شد، که نام آن Poweliks Trojan بود. این بدافزار برای نخستین بار طوری طراحی شده بود که “نوعی کلاهبرداری مبتنی بر کلیک” (Click-fraud) ایجاد کند اما درگذر زمان بسیار تکامل یافت.
اینگونه آلودگی، چشماندازی جدید برای سازندگان بدافزار ایجاد کرد. آنها اکنون میتوانند:
• بدافزارهای جدیدی بسازند که بتوانند سیستم را بدون اینکه دیده شوند، آلوده سازند.
• از طریق توزیع بدافزارهای موفق بدون فایل، سود ببرند.
• بدافزارِ “دزدی اطلاعات یک بار مصرف” را اجرا کنند تا اطلاعاتی درباره کامپیوتر آلوده، قبل از آلوده کردن آن با بدافزار دیگر به دست آورند.
• پی لود را بعد از بهرهوری به رجیستری انتقال دهند تا بتواند بهصورت دائم در آنجا بماند.
• برای پیدا کردن و در اختیار گرفتن سریعتر آسیبپذیریها از کیتهای بهرهوری ماژولار، انعطافپذیر و مناسب استفاده کنند.
• از آسیبپذیری روز صفر( Zero- Day) استفاده کنند تا بتوانند تعداد بیشتری از کامپیوترها را آلوده سازند.
• پول سریع و راحتی از طریق آلوده کردن ماشین با باج افزار به دست آورند.
شاید شما در این نقطه بپرسید:
آیا هیچگونه ایرادی در استفاده از بدافزار بدون فایل وجود ندارد؟
بله وجود دارد!
به دلیل اینکه بدافزار بدون فایل در رم کامپیوتر اجرا میشود، فقط هنگامی که کامپیوتر شما روشن است میتواند کار کند. یعنی حملهکنندگان، فرصت کمتری برای اجرای حمله و نفوذ به سیستمعامل دارند.
این موضوع صحیح است که اگر ما کامپیوترمان را به مدتزمان بیشتری روشن نگاه داریم، سبب میشود که مجرمین سایبری زمان بیشتری برای آلوده کردن کامپیوترمان داشته باشند.
آلودگی بدون فایل چگونه کار میکند؟
در اینجا یک سناریوی واقعی را درباره نحوه آلوده کردن بدافزار بدون فایل نشان میدهیم.
- شما از گوگل کرومی استفاده میکنید که پلاگین فلش روی آن نصب است. البته میتواند هر مرورگر دیگری که از جاوا اسکریپت پشتیبانی میکند باشد.
- پلاگین فلش شما بروز نیست، چون برای آن آپدیت نصب نکردهاید.
- شما وارد سایتی میشوید که کیت بهرهوری Angler را ارائه میدهد.
- این کیت بهرهوری شروع به اسکن برای آسیبپذری میکند و یک آسیبپذیری در پلاگین فلش شما پیدا میکند. بنابراین بلافاصله شروع به اجرای پی لود در مموری کروم میکند.
- اگر برای مثال پی لودِ (payload) بدافزار، نوعی باج افزار باشد، به “سرور کنترل و فرمانی(Command & Control servers) که تحت کنترل حملهکننده است ” متصل میشود تا کلید رمزنگاری را دریافت کند
- گام آخر، رمزنگاری داده روی کامپیوتر شما است، این باج افزار کامپیوتر شما را قفل میکند و برای باز کردن آن درخواست باج میکند.
همانطور که میبینید، پی لود (بخشی از بدافزار که عمل مخرب را انجام میدهد) بهصورت مستقیم به پردازشی که قصد بهرهوری از آن را داریم، تزریق میشود و در رم کامپیوتر اجرا میگردد.
حملهکنندگان برای اینکه از دیده شدن بهوسیله آنتیویروسهای مرسوم در امان بمانند، برنامه بدافزار را روی دیسک نصب نمیکنند، چون از طریق اسکن امضا (Signature) مشاهده میشود.
راهحلهای آنتیویروسی مرسوم، هنگامی میتوانند پی لودهای مخرب را کشف کنند که روی دیسک قرار گیرند یا روی رم اجرا گردند (البته به ندرت)، اما تنها در زمانی که بهرهوری صورت گرفته است.
اکنون ببینیم چگونه پاولیکس (Poweliks) یکی از اولین بدافزارهای کشف شده، میتواند کامپیوتر را با باج افزار آلوده کند، در حالی که “کلاهبرداری مبتنی بر کلیک” (click-fraud) را نیز اجرا میکند.
پاولیکس شامل لیست کلمات کلیدی پیشفرضی است تا درخواستهایی برای تبلیغات تولید کند. این تهدید جوری وانمود میکند که قربانی بهصورت قانونی این کلمات کلیدی را جستجو کرده است و سپس با یک شبکه تبلیغاتی ارتباط برقرار میکند تا قربانی را به آنجا متصل کند. پاولیکس درخواستی به URLی که از طریق شبکه تبلیغاتی ارائه شده، ارسال میکند و سپس هزینهای برای دانلود تبلیغات (کلیک روی تبلیغات) دریافت میکند….
برخی از درخواستهای تبلیغاتی که پاولیکس دریافت میکند میتواند منجر به نمایش صفحات وب مخرب روی کامپیوتر قربانی شود. این مورد سبب میشود که فرصتی برای ورود بقیه بدافزارها ایجاد شود. برای مثال یکی از سایتهایی که بهوسیله پاولیکس مرور شد، تبدیل به تروجان شد. در حقیقت Cryptowall روی این کامپیوتر نصب شد.
گاهی اوقات کلاهبرداری مبتنی بر کلیک با تبلیغ افزار ترکیب میشود.
در حالی که تبلیغات به قربانیان نشان داده نمیشوند، دانلود و پردازش تبلیغات نیازمند پردازش و مصرف پهنای باند شبکه است، که میتواند منجر به آلودگیهای دیگر قربانیان شود. این مورد میتواند منجر به تعداد بسیار زیادی تهدیدات روی کامپیوتر قربانی شود، یا حتی کامپیوتر قربانی به دلیل ورود باج افزار، کاملاً قفل شود.
من به نحوه کار کردن بدافزارهای بدون فایل پی بردم، شما نیز یاد بگیرید.
کیتهای بهرهوری (اکسپلویت کیتها) – وجود این موارد برای آلودگی بدون فایل الزامی هستند.
در هر آلودگی بدافزار بدون فایل، کیتهای بهرهوری نقش مهمی ایفا میکنند. کیتهای بهرهوری برنامههای نرمافزاری هستند که برای پیدا کردن ضعفها و مشکلات در اپلیکیشن ها جهت نفوذ به کامپیوتر یا هر سیستم دیگری استفاده میشوند.
در حال حاضر کیت بهرهوری Angler را معرفی کردیم و یک دلیلی برای این کار وجود دارد. این کیت بدون فایل میتواند آلودگیهای بدون فایل را ارسال کند، بسیار انعطافپذیر است و نرخ کشف پایینی توسط آنتیویروسها دارد. به این معنی است که میتواند محدوده وسیعی از بدافزارها را بدون دیده شدن گسترش دهد (بدافزارهایی مثل تروجآنهای بانکی تا باج افزارها)
دو فاکتور اساسی برای افزایش آلودگی بدافزار بدون فایل وجود دارد:
1. حقیقت این است که “کیتهای بهرهوری تحت عنوان یک سرویس” بسیار رایج شدهاند و مجرمین سایبری همه تلاش خود را برای استفاده مناسب از آنها میکنند.
2. حقیقت بعدی این است که سازندگان بدافزار روزانه 230.000 بدافزار جدید تولید میکنند. که دست حملهکنندگان را برای استفاده از آنها باز میگذارد.
Angler تنها کیت بهرهوری که مجرمین سایبری از آن استفاده میکنند، نمیباشد. اگرچه یکی از محبوبترین آنها است
در اواخر بهمن 2015، تیم ما کمپینی را که از بدافزار کاوتر (Kovter، تروجانی بدون فایل) استفاده میکرد، و هر دو ویژگی مخفی ماندن و ماندگاری را در خود داشت و در کمپین اسپم IRS علیه قربانیان بی اطلاع مورد استفاده قرار گرفته بود آنالیز کرد
همانطور که اغلب اوقات اتفاق میافتاد، کاوتر فضا را برای ورود بقیه بدافزارها از جمله CoreBOT (بدافزاری که از سرقت اطلاعات به بدافزار مالی رشد کرد.) باز میکرد.
مجرمین سایبری به سرعت در حال پیشرفت هستند، زیرا هدف اصلی آنها به دست آوردن پول است. مقدار زیادی پول با سرعتی زیاد.
به همین دلیل هنگامی که کیتهای بهرهوری تجاری شامل تکنیکهای آلوده سازی بدون فایل، توزیع شدند، حتی بسیاری از متخصصین امنیت سایبری را متعجب کرد. باور آن بسیار سخت بود که مجرمین سایبری دوام را قربانی کنند تا کشف حملاتشان سخت شود. برای دزدیدن مقدار زیادی اطلاعات یا خالی کردن اکانت بانکی، آنها نیازمند زمان زیادی هستند. این افراد از زمان استفاده میکنند تا مکانیزم دفاعی کاربر را با موفقیت رد کنند و دادهها را جمعآوری کنند
اما حقیقت این است که در سالهای اخیر، همهچیز فرق کرده است و در سالهای آتی این نوع بدافزارها بیشتر دیده خواهند شد.
نحوه حفاظت کامپیوتر از آلودگی بدون فایل
در اوایل ارایه این بدافزار بدون فایل، سبب شد که کامپیوترها بهکندی کار کنند، زیرا از رم برای اجرای حمله استفاده میکردند. بنابراین پیدا کردن آنها بهسادگی صورت میگرفت.
اما مجرمین سایبری به سرعت تاکتیکهایشان را بهبود بخشیدند و این بدافزار را جوری برنامهنویسی کردند که آلودگی بدون فایل، قابلشناسایی نباشد.
بنابراین بهترین راه برای حفاظت شما از آلودگی بدافزار بدون فایل این است که قبل از اتفاق افتادن این آلودگی، از بروز آن جلوگیری کنید.
این جمله به نظر صحیح است، اما چگونه این کار را انجام دهیم؟
سطح 1: اپلیکیشن ها و سیستمعامل را بهروزرسانی کنید
بسیاری از افراد بهروزرسانیها را به دلایلی مثل موارد زیر نادیده میگیرند:
“سبب مصرف بیشتر رم کامپیوتر من میشود”
یا
“شاید منجر به کند شدن کامپیوتر من شود”
یا حتی:
“شاید باعث بروز مشکلات عدم سازگاری با سیستمعامل یا بقیه اپلیکیشن ها شود.”
اما به این نکته توجه کنید که ما اکنون در 20 سال پیش زندگی نمیکنیم و آپدیتهای امنیتی برای سیستم ما حیاتی هستند.
بروز نگهداشتن اپلیکیشن ها و سیستمعامل سبب کاهش 85 درصدی حملات “هدفگیری” میشود (حملات سایبری که آسیبپذیری خاصی را روی کامپیوتر شما هدف میگیرند).
اگر از بهروزرسانی دستی نرمافزارها متنفر هستید میتوانید بهوسیله نرمافزاری که این کار را بهصورت اتوماتیک انجام میدهد اقدام کنید.
سطح 2: بستن صفحاتی که کیت بهرهوری دارند.
آلودگی هنگامی شروع میشود که شما وارد سایتی میشوید که کیت بهرهوری را در خود جای داده است. اما اگر از یک محصول امنیتی فعال استفاده کنید، میتواند صفحه را به محض ورود به آن ببندد، بنابراین کیت بهرهوری نمیتواند به اپلیکیشنهای کامپیوتر شما برسد (در این مورد مرورگر شما).
اما چگونه این کار صورت میگیرد؟
از طریق دانستن اینکه این سایت به مجرمین سایبری تعلق دارد. حملهکنندگان، برای زیرساختهایشان سرمایهگذاری زیادی میکنند، بنابراین آن را به ندرت تغییر میدهند (زیرا زمان و پول زیادی برای این کار نیاز است.). بنابراین این روش کشف برای امنیت آنلاین شما بسیار حائز اهمیت است.
سطح 3: بستن پیلود ارسالی
هنگامی که یک کیت بهرهوری آسیبپذیریای را در سیستم شما شناسایی کرد، بهصورت اتوماتیک به سرور تحت اداره هکرها متصل میشود و شروع به دانلود پیلود و قرار دادن آن در رم میکند. اما اگر شما کاملاً حفاظت شده باشید و محصول امنیتی شما متوجه شود که کیت بهرهوری در حال اتصال به سرور مخرب است، این محصول، دانلود پی لود را قطع میکند.
دوباره آلودگی بدون فایل قبل از وقوع متوقف میشود. حتی باجافزار هم نمیتواند کمکی بکند!
سطح 4: قطع ارتباط بین کامپیوتر شما و سرور حملهکننده
فرض کنید پیلود از طریق آسیبپذیری روز صفر (Zero Day، آسیبپذیری در نرمافزار به دلیل اینکه سازندگانش اطلاعی درباره آن آسیبپذیری ندارند) موفق به ورود به سیستم شما شده باشد.
سطح بعدی حفاظت اطمینان میدهد که محصول امنیتی فعال، ارتباط بین کامپیوتر شما و سرور تحت کنترل آنها را بلاک کند.
به این وسیله، حملهکنندگان موفق به دریافت دادههای جمع آوری شده از کامپیوتر شما نخواهند بود، بنابراین تلاش برای جمعآوری داده بیهوده خواهد شد. علاوه بر این مجرمین سایبری موفق به آلوده ساختن کامپیوتر شما با بدافزارهای دیگر نخواهند بود.
این روش دیگری است که برای حفاظت از بدافزار بدون فایل میتوانید استفاده کنید.
محصولات آنتیویروس رایج، قادر به ارایه این نوع حفاظت نخواهند بود، اما راه حل هایی وجود دارند که قادر به این کار هستند. البته رایگان نیستند، اما داشتن امنیت چندلایهای بسیار ارزشمند است. افرادی که قربانی حملات باج افزارها بودند، میتوانند این موضوع را تصدیق کنند.
منابع آنالیز فنی بدافزارهای بدون فایل
اگر از نظر فنی قوی نیستید و میخواهید بیشتر درباره بدافزارهای بدون فایل مطالعه کنید، آنالیزهای دقیقی وجود دارند که میتوانید آنها را بررسی کنید.
در اینجا بهترین آنها را انتخاب کردیم که عبارتند از:
• پیشرفت بدافزارهای کلاهبرداری مبتنی بر کلیک
• اکنون Angler EK قادر به آلودگی بدون فایل است (بدافزار مموری)
• Fesseleak: کمپین باج افزار تبلیغاتی پیشرفته روز صفر
• ریشه کن کردن سیستمی که بهوسیله پاولیکس آلوده شده است
• بررسی دقیق ارایه کننده بهرهوری بدون فایل Angler
در این مقاله موارد شناسایی بدافزار در کامپیوتر و موارد ناخوشایندی را پیرامون نشانههای سیستم آلوده به بدافزار را بررسی میکنیم که متأسفانه هر روز اتفاق میافتند؛ چراکه امروزه درحال ورود به عصر ویروسهای کامپیوتری هستیم.
تصور کنید که شما درحال کار بر روی یک پروژه مهم هستید و ناگهان صفحات مزاحم (pop-up) بر روی دسکتاپ شروع به نمایش میکنند و سرعت اجرای فایلها و نرمافزارهایتان را به شدت پایین میآورند، شما اندکی صبر میکنید و بعد از خودتان میپرسید:
“آیا کامپیوتر من ویروس دارد؟”
متأسفانه ممکن است جواب این سؤال مثبت باشد و سیستم شما با ویروس یا بدافزار آلوده شده و سرعت پردازش اطلاعات به شدت پایین آمده باشد.
در این مقاله، ما پرتکرارترین اخطارهای مربوط به ویروسها و بدافزارها را برای شما لیست کرده و به شما میگوییم که در برابر این اخطارها چه کاری باید انجام بدهید.