یک روز ، یک جمله ...

امروز به هر کاری که قراره انجام بدی، باور داشته باش

03 فروردين

در این بخش می خواهیم درباره بدافزارها صحبت کنیم. ابتدا می خواهیم توضیحی پیرامون واژه بدافزار داده و سپس به دسته بندی آنها بپردازیم.

بدافزار برنامه ای است که به منظور تخریب سیستم، جاسوسی ، آسیب اطلاعات تولید شده است. انتخاب واژه بدافزار به علت آن بوده است که معمولاً کاربر را آزار می‌دهد و یا خسارتی بوجود می‌آورد. برخی از این برنامه ها صرفا جهت آزار کاربران تولید شده اند، به طور مثال یک کاربر را به انجام یک کار مجبور می کنند. برخی دیگر به منظور آسیب رساندن به یک رایانه به صورت نرم افزاری یا سخت افزاری، تولید شده اند. یک بدافزار ممکن است با هدف جمع آوری اطلاعات تولید شده باشد مانند بدافزار Stuxnet که هدف آن جمع آوری اطلاعات موجود در تاسیسات هسته ای ایران بود.

بدافزارها همانطور که توضیح داده شد، دارای دسته بندی های مختلف می باشند. در یک نگاه کلی می توان دسته بندی بدافزارها را به شکل زیر ترسیم کرد:

  • Spyware
  • Viruses / Worms
  • Rootkits
  • Trojans

نرم افزارهای جاسوسی یا Spyware ها:

این دسته از بدافزارها صرفا جهت جمع آوری اطلاعات مشخص تولید می شوند. از قدرت این بدافزارها می توان به پنهان بودن آنها اشاره کرد. یک نرم افزار جاسوسی می تواند بدون اینکه دیده شود یک فعالیت کاملا ساکت را داشته باشد. هدف این بدافزارها اطلاعات حساسی مانند نام های کاربری، رمزهای عبور، اطلاعات بانکی و ... می باشد. همانطور که در بالا اشاره شد، Stuxnet یک نمونه از ابزار جاسوسی می باشد. این بدافزار به گونه ای طراحی شده بود که در شروع فعالیت خود ابتدا اقدام به بررسی موقعیت جغرافیایی خود می کرد و در صورتی که تشخیص دهد در موقعیت مشخص شده قرار دارد فعالیت خود را آغار می کند. هدف این بدافزار جمع آوری اطلاعات از تجهیزات تاسیسات اتمی ایران بود. این بدافزار اقدام به جمع آوری فایل‌ها با قالب اسکادا که مربوط به نرم‌افزارهای WinCC و PCS7 شرکت زیمنس بود می کرد و آنها را به مقصد مشخص ارسال می کرد.

این بدافزار پس از اجرا شدن در سیستم فایلهای زیر را درون سیستم کپی می نماید:

  1. %Windir%\inf\mdmcpq3.PNF
  2. %Windir%\inf\mdmeric3.PNF
  3. %Windir%\inf\oem6C.PNF323
  4. %Windir%\inf\oem7A.PNF
  5. %Windir%\system32\drivers\mrxcls.sys
  6. %Windir%\system32\drivers\mrxnet.sys

یک بدافزار جاسوسی اغلب از طریق اینترنت و وب سایت های آلوده وارد یک سیستم می شود. حتی با بازکردن یک وب سایت آلوده و بدون کلیک کردن بر روی گزینه ای، ممکن است سیستم شما آلوده شود.

آشنایی با ویروس ها و کرم ها:

دسته دیگر بدافزارها ویروس ها و کرم ها هستند. این دسته بدافزارها به منظور تخریب یک سیستم تولید می شوند. یک ویروس به صورت اتوماتیک منتشر نمی شود و با واسطه خود را منتشر می نماید. به طور مثال ارسال یک ویروس توسط یک کاربر از طریق پست الکترونیک، و همیشه زنده است. اما یک کرم قدرت انتشار اتوماتیک و بدون واسطه را دارد. به طور مثال یک کرم می تواند برنامه مدیریت پست الکترونیک شما را آلوده کرده، اطلاعات دفتر تلفن شما را استخراج کند و خود را به لیست نفرات موجود در دفتر تلفن شما ارسال نماید و یا اینکه اگر درون یک شبکه قرار گیرد، تمام شبکه را آلوده می کند.

یک ویروس اغلب به منظور تخریب یا تضعیف یک سیستم تولید می شود اما یک کرم جهت استفاده در عملیاتی چون حمله انکار سرویس تولید می شود.

آشنایی با Rootkit ها:

دسته دیگر بدافزارها Rootkit ها می باشند. این بدافزارها به منظور گرفتن کنترل یک سیستم تولید می شوند. اگر یک رایانه دچار آلودگی توسط یک Rootkit شود، بدون آنکه کاربر متوجه شود، مهاجم می تواند تمام تنظیمات آن رایانه را تغییر دهد. رایانه ای که آلوده به Rootkit شده باشد را زامبی می نامند. به این مفهوم که اگر در یک شبکه خطایی رخ دهد، مسیریابی این خطا ممکن است شما را به سیستمی برساند که درون همان شبکه بوده و آلوده به Rootkit شده است و دسترسی به مهاجم امکان پذیر نخواهد بود. این ابزارها به خودی خود مخرب نیستند، اما زمانیکه در کنار یک ویروس یا یک کرم قرار می گیرند می توانند مخرب باشند.

Rootkit ها به سختی شناسایی می شوند و از قدرت پنهان سازی بالایی برخوردار می باشند. بعضا این ابزارها خود را جایگزین سرویس های اصلی سیستم عامل و یا هسته اصلی سیستم عامل می کنند و در نهایت به فعالیت خود ادامه می دهند تا به هدف خود برسند. Rootkit ها دارای ویژگی backdoor یا درب پشتی هستند به این معنا که هر زمان مهاجم بخواهد می تواند از طریق این درب پشتی، کنترل سیستم شما را در دست بگیرد.

Rootkit ها یا به صورت کدهای متنی خود را درون فایلهای اصلی سیستم عامل مانند system.ini یا win.ini پنهان می کنند و یا اینکه به صورت یک Process روی سیستم قرار می گیرند.

آشنایی با تروجان ها:

جهت آشنایی با این بدافزارها نیاز است تا با هم یک مروری بر یک داستان تاریخی داشته باشیم. در شعر حماسی لاتین ویرژیل صحبت از یک داستان به نام جنگ تروا شده است. این جنگ مابین یونان و شهر تروا بوده است که در پایان آن، یونانیان با بهره گیری از یک حیله جنگی، توانستند شهر را تسخیر نمایند. این حیله مربوط به ساختن یک اسب بزرگ بود که جنگجویان یونانی در آن پنهان شده و توانستند توسط آن وارد شهر شوند.

این داستان الهام بخش مهاجمانی بود که اقدام به تولید بدافزار تروجان کردند. طبق این داستان تاریخی می توان مفهوم تروجان را درک کرد. تروجان بدافزاری است که محل نگهداری چند نرم افزار مخرب می باشد. نرم افزارهایی مانند Rootkit ها و Keylogger ها.

نحوه انتشار این بدافزارها بیشتر از طریق بهره گیری روش مهندسی اجتماعی است. این بدافزارها خود را به عنوان نرم افزارهای کاربردی و مفید برای سیستم معرفی می نمایند و زمانیکه کاربر اقدام به اجرای آنها می کند، باعث آلوده شدن سیستم می شوند. نرم افزارهایی مانند اسکن درایورها، به روزرسانی درایورها و یا نرم افزارهایی که به شما هشدار می دهند که رایانه شما آلوده است و نیاز به پاکسازی دارد.

در اینجا چند نمونه از این تروجان ها را معرفی می کنیم:

  • Remote Access Trojan (RAT)
  • Poison IVY-Botnet Command Control Center
  • Banker Fox

در انتهای این بحث می خواهیم به صورت کلی بیان کنیم که نحوه انتشار بدافزارها چگونه است:

  • برنامه های تقلبی و گول زننده
  • دانلودهای اینترنتی
  • برنامه های پیام رسان اینترنتی
  • پست الکترونیک
  • دسترسی های فیزیکی
  • مرورگرهای اینترنت

آشنایی با Beacon :

شاید برای شما هم جالب باشد که بدانید وقتی یک پست الکترونیک ارسال می کنید و در نقطه مقابل گیرنده نامه، آنرا باز کرده و مشاهده می کند، پیام مشاهده شدن پست الکترونیک چگونه برای شما ارسال می شود؟!
در بدنه نامه های الکترونیکی چیزی به نام Beacon وجود دارد که فضایی در حدود 1 پیکسل را اشغال می کند و غیرقابل رویت است. وقتی نامه الکترونیکی که حاوی این Beacon می باشد ارسال شود و توسط گیرنده باز شود، دستورات قرار داده شده در این Beacon اجرا شده و به فرستنده اعلام می نماید که این نامه الکترونیکی توسط گیرنده رویت شده است. حال تصور کنید به جای این Beacon از کدهای مخرب استفاده شود!! پس در بازکردن نامه های الکترونیکی ناشناس دقت کنید.

مقابله با بدافزارها:

  • به روز رسانی سیستم عامل
  • فعال نگه داشتن دیواره های آتش سیستم
  • آنتی ویروس
  • عدم استفاده از حساب های کاربری با دسترسی ادمین به صورت مداوم
  • استفاده از ویژگی User Access Control در ویندوز 7 به بعد
  • اسکنرهای مخصوص فایل های سیستمی مانند TripWire و SigVerif
رضا اردانه

مدیریت وب سایت آموزش دیجیتال

نظر دادن

خبرنامه

برای دریافت جدیدترین خبرهای سایت در خبرنامه عضو شوید