رایانهای
اولین ویروسهای کامپیوتری در اوایل دهه 80 ظاهر شدند و اکثراً فایلهای خود تکرار شونده سادهای بودند که برای سرگرمی و خندهایجاد میشدند. در سال 1986 گزارش اولین ویروسی که سیستم عامل MS-DOS مایکروسافت را بر روی کامپیوترهای شخصی مورد هدف قرار داد، منتشر شد. در واقع ویروس Brain به عنوان اولین ویروس از این نوع شناخته میشود. همچنین اوایل سال 1986 شاهد اولین ویروس فایلی به نام Virdem و اولین تروجان (برنامهای که به نظر مفید یا بیخطر میرسد ولی در واقع برای دزدی اطلاعات و یا صدمه زدن به رایانه میزبان طراحی شدهاست) به نام PC-Write بودیم. تروجان مذکور خود را به عنوان یک برنامه کاربردی و محبوب Word Processor جا زده بود. همچنان که افراد بیشتری از تکنولوژی ویروسها اطلاع پیدا میکردند، تعداد ویروسها، تعداد سکوهای88 هدف حملات، پیچیدگی ویروسها و تنوع آنها افزایش پیدا کرد. در یک بازه زمانی ویروسها بر روی سکتورهای راه اندازی89 تمرکزکرده و بعد از آن شروع به آلوده سازی فایلهای اجرایی کردند. در سال 1988 اولین کرم اینترنتی (نوعی از بدافزار که از یک کد خرابکار برای گسترش خودکار از یک رایانه به رایانه دیگر از طریق شبکه استفاده میکند) ظاهر شد. کرم Morris منجر به کندشدن قابل توجه ارتباطات اینترنتی شده که در پاسخ به این حمله و تعدادی حملات مشابه، گروه پاسخگویی به رخدادهای رایانهای90 با نشانی اینترنتی www.cert.org به منظور حفظ ثبات اینترنت از طریق هماهنگی در پاسخگویی به رخدادها، پایه گذاری شد. گروه مذکور از طرف دانشگاه کارنگی ملون آمریکا پشتیبانی میشود. در سال 1990، Virus Exchange BBS، به عنوان محلی برای تبادل و به اشتراک گذاشتن دانش نویسندگان ویروس، راه اندازی شد. همچنین اولین کتاب در مورد نوشتن ویروس منتشر شد و اولین ویروس چندریختی91 (معمولاً به آن chameleon یا Casper اطلاق میشود) گسترش پیدا کرد. یک ویروس چندریختی نوعی از بدافزار است که از تعداد نامحدودی الگوریتم رمزنگاری برای مقابله با تشخیص استفاده میکند. ویروسهای چندریختی توانایی تغییر خود در هربار تکرار را دارا میباشند. این توانایی آنها را از دید برنامههای آنتی ویروس مبتنی بر امضا که برای تشخیص ویروسها طراحی شدهاند، پنهان میدارد. به این ترتیب، در اوایل دهه 90 خبر اولین حمله ویروسی چندریختی با نام Tequila منتشر شد و سپس در سال 1992 اولین موتور ویروس چندریختی و ابزار ویروس نویسی پا به عرصه ظهور گذاشت. بعد از آن ویروسها روز به روز کاملتر شدند. برخی ویروسها شروع به دسترسی به دفترچه آدرسهایایمیل و ارسال خود به آن آدرسها کردند؛ ویروسهای ماکرو خود را به فایلهای برنامههای کاربردی مانند آفیس متصل کرده و به آنها حمله میکنند؛ و ویروسهایی که مشخصاً برای سوءاستفاده از آسیبپذیریهای سیستم عاملها و برنامههای کاربردی نوشته میشوند.ایمیلها، شبکههای به اشتراک گذاری فایل (P2P)، وب سایتها، درایوهای مشترک و آسیب پذیریهای محصولات، همه و همه برای گسترش و حمله ویروسها مورد سوء استفاده قرار میگیرند. راههای نفوذ یا Backdoors (نقاط سری ورود به شبکه که توسط بدافزارهاایجاد میشوند) بر روی سیستمهای آلودهایجاد شدند تا راه را برای بازگشت مجدد نویسندگان ویروس و هکرها جهت اجرای نرمافزارهای دلخواه، باز کنند. در اینجا منظور ما از هکر یک فرد برنامه نویس رایانه یا کاربر آن است که قصد دسترسی به یک رایانه یا شبکه را به صورت غیر قانونی دارد. بعضی از ویروسها دارای موتورایمیل جاسازی شده هستند که رایانه آلوده را وادار میسازد تا مستقیماً از طریق ارسالایمیل، ویروس را انتشار دهد. همچنین نویسندگان ویروس شروع به طراحی دقیق معماری حملههای خود با استفاده از مهندسی اجتماعی کردهاند. همراه با این تکامل بدافزارها، آنتی ویروسها نیز به خوبی تکامل پیدا کردهاند. در حال حاضر بیشتر آنتی ویروسهای موجود در بازار بر مبنای امضای ویروس یا همان شناسایی مشخصههای یک بدافزار برای تشخیص کدهای مضر، عمل میکنند. به همین دلیل در فاصله زمانی بین انتشار یک ویروس جدید و شناسایی امضای آن و پخش آن بین آنتی ویروسهای مختلف، یک رشد ناگهانی در میزان آلوده سازی ویروس مشاهده میشود. اما به محض تشخیص امضای آن، روند آلوده سازی سیر نزولی پیدا میکند.
2-2-2- بدافزار چیست؟
واژه بدافزار معادل malware انگلیسی است که یک خلاصه برای Malicious Software یا نرمافزار بدخواه میباشد. واژه بدافزار به ویروس، کرم، تروجان و هر برنامه دیگری که با نیت اعمال خرابکارانهایجاد شود، اطلاق میشود. اما تفاوت ویروس و کرم در چیست؟ این دو چه تفاوتی با تروجان دارند؟ایا برنامههای کاربردی آنتی ویروس بر علیه کرمها و تروجانها نیز اقدام میکنند یا فقط به جنگ با ویروسها میروند؟ همه این سؤالها از یک منبع سرچشمه میگیرند و آن هم دنیای پیچیده و گیج کننده کدهای بدخواه است. تعداد بیشمار و تنوع زیاد در کدهای بدخواه موجود، طبقه بندی دقیق آنها را مشکل میسازد. در بحثهای کلی در مورد آنتی ویروسها، تعاریف ساده زیر برای طبقه بندی آنها به کار میرود:
2-2-2-1- کرم
اگر کد خرابکار خود را تکثیر کند دیگر از نوع تروجان محسوب نمیشود، بنابراین سؤال بعدی که برای تعریف دقیقتر بدافزار، باید پاسخ داده شود این است: “ایا کد مورد نظر میتواند بدون نیاز به یک حامل تکثیر پیدا کند؟” در واقعایا این کد میتواند بدون نیاز به آلوده کردن یک فایل اجرایی، تکرار شود؟ اگر پاسخ به این سؤال بله باشد، کد مذکور یکی از انواع کرمهای رایانهای است. بیشتر کرمها سع
ی در کپی کردن خودشان در یک رایانه میزبان دارند و سپس از کانالهای ارتباطی رایانه مذکور برای گسترش خود استفاده میکنند. برای مثال کرم Sasser ابتدا با استفاده از یک آسیب پذیری سیستم هدف را آلوده میساخت و سپس از طریق اتصالات شبکه رایانه قربانی گسترش پیدا میکرد. در چنین حملاتی در صورتی که آخرین به روز رسانیهای امنیتی را بر روی سیستم خود نصب کرده (جلوگیری از آلودگی) و فایروالها را به جهت بستن درگاههای شبکهای که کرم از آنها استفاده میکند، فعال سازید(جلوگیری از انتشار)، حمله مذکور عقیم خواهد ماند.
یک کرم در واقع کد خرابکاری است که خود را انتشار میدهد و قادر است به صورت خودکار در شبکهها گسترش پیدا کند. یک کرم میتواند دست به اعمال مضری مانند مصرف پهنای باند شبکه یا مصرف منابع محلی سیستم بزند و منجر به حملات انکار سرویس شود. برخی از کرمها میتوانند بدون مداخله کاربر اجرا شده و گسترش پیدا کنند در حالی که برخی از کرمها نیاز دارند کاربر آنها را مستقیماً اجرا کرده تا بتوانند گسترش پیدا کنند. کرمها علاوه بر تکرار خود قادرند یک عملیات خرابکارانه را نیز بر سیستم قربانی اعمال کنند.
2-2-2-2- ویروس
اگر کد خرابکار یک نسخه از خود را به منظور تکرار شدن در یک فایل دیگر، پرونده یا سکتور بوت حافظه قرار دهد، آن را به عنوان یک ویروس در نظر میگیریم. این کپی میتواند یک نسخه برابر اصل یا یک نسخه تغییر یافته باشد. همان طور که قبلاً هم توضیح دادیم، ویروس غالباً شامل یک سری عملیات خرابکارانه مانند قرار دادن یک تروجان بر روی رایانه قربانی یا پاک کردن اطلاعات آن میشود. به هر حال، اگر یک ویروس تنها خود را تکثیر کند و شامل عملیات خرابکارانه نیز نشود، باز هم به عنوان یک بدافزار در نظر گرفته میشود، زیرا خود ویروس ممکن است در زمان تکثیر باعث خرابی دادهها، اشغال منابع سیستم و مصرف پهنای باند شبکه شود. در بخش بعدی، در مورد خصوصیات بدافزارها صحبت خواهیم کرد.
یک ویروس قطعه کدی است که برای تکثیر خودکار نوشته شدهاست. یک ویروس تلاش میکند تا از رایانهای به رایانه دیگر گسترش پیدا کند و این کار را معمولاً از طریق اتصالش به یک برنامه میزبان انجام میدهد. ویروسها ممکن است خساراتی به سختافزار، نرمافزار یا دادهها وارد آورند. زمانی که برنامه میزبان اجرا میشود، برنامه ویروس نیز اجرا میشود و برنامههای دیگری را نیز آلوده کرده و به عنوان میزبانهای جدید از آنها استفاده میکند. گاهی اوقات ویروس، عملیات خرابکارانه دیگری را نیز روی سیستم انجام میدهد. تعاریف فوق برای طبقه بندیهای مختلف بدافزار ما را قادر میسازد تا تفاوتهای بین آنها را در یک فلوچارت ساده نشان دهیم. نمودار زیرایتمهایی را نشان میدهد که به ما کمک میکنند تشخیص دهیم یک اسکریپت در کدام طبقه میگنجد.
شکل (2-1) به ما کمک میکند تا تفاوت بین هر کدام از کدهای خرابکار معمول را تشخیص داده و طبقه بندی آن را شناسایی کنیم. البته طبقه بندیهای متفاوتی در مورد بدافزارها وجود دارند که در اینجا پرطرفدارترین آن آورده شدهاست. به هرحال باید در نظر داشته باشیم که ممکن است در یک حمله به کدی برخورد کنیم که در بیش از یکی از این طبقه بندیها بگنجد. به این حملهها تهدید ترکیبی92 گفته میشود که شامل بیش از یک نوع بدافزار شده و از بردارهای حمله چندگانه استفاده میکنند. حملههایی از این نوع میتوانند با سرعت بیشتری گسترش پیدا کنند. یک بردار حمله مسیری است که بدافزار میتواند از آن برای پیش بردن حمله استفاده کند. به همین دلیل مقابله با حملههای ترکیبی کار مشکلی است. در زیر توضیحات مفصل تری در مورد هر یک از انواع بدافزار آوردهایم تا عناصر اصلی هر کدام از آنها را روشن تر سازیم.
2-2-2-3- تروجان
برنامهای است که ظاهراً مفید یا بی خطر به نظر میرسد ولی شامل کدهای پنهانی است که برای سوءاستفاده یا صدمه زدن به سیستمی که بر روی آن اجرا میشود، به کار میرود. اسبهای تروا معمولاً از طریقایمیلهایی که هدف و کارکرد برنامه را چیزی غیر از حقیقت آن نشان میدهند، برای کاربران ارسال میشوند. به چنین برنامههایی کدهای تروجان هم گفته میشود. اسب تروا زمانی که اجرا میشود یک عملیات خرابکارانه را بر سیستم اعمال میکند. در اینجا، واژه عملیات خرابکارانه یا Payload اصطلاحی است برای مجموعهای از کنشهایی که یک حمله بدافزاری بعد از آلوده کردن سیستم، بر روی رایانه قربانی انجام میدهد.
اسب تروا از آنجایی که خود را انتشار نمیدهد به عنوان یک ویروس رایانهای یا کرم نیز در نظر گرفته نمیشود. به هر حال معمولاً برای کپی کردن یک تروجان بر روی یک سیستم هدف، از یک ویروس یا کرم رایانهای استفاده میشود. به پروسه فوق dropping گفته میشود. هدف اصلی یک اسب تروا خراب کردن کار کاربر یا عملیات معمولی سیستم است. برای مثال تروجان ممکن است یک در پشتی را در سیستم باز کند تا هکر بتواند به سرقت اطلاعات پرداخته یا پیکربندی سیستم را تغییر دهد. دو اصطلاح معادل دیگر نیز وجود دارند که منظور از آنها همان تروجان است و عبارتند از RAT و Rootkit.
2-2-2-4- تروجان دسترسی از راه دور93
برخی از تروجانها به هکر اجازه کنترل از راه دور سیستم را میدهند. به این برنامهها RAT یا در پشتی نیز گفته میشود. نمونههایی از RATها عبارتند از: Back Orifice، Cafeene و SubSeven. برای اطلاعات بیشتر در این مورد میتوانید به مقالهای از مایکروسافت در همین زمینه مراجعه نمایید.
2-2-2-5- روتکیت94
اصطلاح فوق برای مجموعهای از برنامههای نرمافزاری ب
ه کار میرود که هکر از آنها برای به دست آوردن دسترسی از راه دور غیر مجاز به رایانه هدف بهره میبرد. این برنامهها معمولاً از تکنیکهای متفاوتی مانند نظارت بر کلیدهای فشرده شده بر روی صفحه کلید، تغییر فایلهای ثبت رویداد یا نرمافزارهای کاربردی سیستم،ایجاد یک در پشتی بر روی سیستم و حمله به رایانههای دیگر از طریق شبکه استفاده میکنند. روتکیتها معمولاً شامل یک سری ابزار سازمان یافته هستند که برای هدف قرار دادن سیستم عامل خاصی تنظیم شدهاند. اولین روتکیتها در اوایل دهه 90 میلادی مشاهده شدند و در آن زمان سیستم عاملهای Sun و لینوکس هدف اصلی حملات بودند. در حال حاضر روتکیتها برای اغلب سیستم عاملها از جمله سیستم عاملهای مایکروسافت وجود دارند. توجه: دقت داشته باشید که ممکن است RATها و ابزارهای دیگری که روتکیتها را تشکیل میدهند، حق دسترسی قانونی را برای کنترل از راه دور یا نظارت دارا باشند.

Written by 

دیدگاهتان را بنویسید