تبلیغات
کامپیوتر - همه چیز درباره بدافزار
جمعه 1 اردیبهشت 1391

همه چیز درباره بدافزار

   نوشته شده توسط: seyyed mahmoud reza seyyed rohi    

سیر تكاملی ویروسهای رایانه ای

اولین ویروسهای كامپیوتری در اوایل دهه 80 ظاهر شدند و اكثراً فایلهای خود تكرار شونده ساده ای بودند كه برای سرگرمی و خنده ایجاد شده بودند. در سال 1986 گزارش اولین ویروسی كه سیستم عامل MS-DOS مایكروسافت را بر روی كامپیوترهای شخصی مورد هدف قرار داد، منتشر شد. در واقع ویروس Brain به عنوان اولین ویروس از این نوع شناخته می شود. همچنین اوایل سال 1986 شاهد اولین ویروس فایلی به نام Virdem و اولین تروجان (برنامه ای كه به نظر مفید یا بی خطر می رسد ولی در واقع برای دزدی اطلاعات و یا صدمه زدن به رایانه میزبان طراحی شده است) به نام PC-Write بودیم. تروجان مذكور خود را به عنوان یك برنامه كاربردی و محبوب Word Processor جا زده بود. همچنان كه افراد بیشتری از تكنولوژی ویروسها اطلاع پیدا می كردند، تعداد ویروسها، تعداد سكوهای(platform) هدف حملات، پیچیدگی ویروسها و تنوع آنها رو به افزایش پیدا كرد. در یك بازه زمانی ویروسها بر روی سكتورهای راه اندازی (boot sector ) تمركزكرده و بعد از آن شروع به آلوده سازی فایلهای اجرایی كردند. در سال 1988 اولین كرم اینترنتی (نوعی از بدافزار كه از یك كد خرابكار برای گسترش خودكار از یك رایانه به رایانه دیگر از طریق شبكه استفاده می كند) ظاهر شد. كرم Morris منجر به كند شدن قابل توجه ارتباطات اینترنتی شده كه در پاسخ به این حمله و تعدادی حملات مشابه، گروه پاسخگویی به رخدادهای رایانه ای یا CERT(Computer Emergency Response Team) با نشانی اینترنتی www.cert.org به منظور حفظ ثبات اینترنت از طریق هماهنگی در پاسخگویی به رخدادها، پایه گذاری شد. گروه مذكور از طرف دانشگاه كارنگی ملون آمریكا پشتیبانی میشود. در سال 1990، Virus Exchange BBS، به عنوان محلی برای تبادل و به اشتراك گذاشتن دانش نویسندگان ویروس، راه اندازی شد. همچنین اولین كتاب در مورد نوشتن ویروس منتشر شد و اولین ویروس چندریختی (معمولاً به آن chameleon یا Casper اطلاق می شود) گسترش پیدا كرد. یك ویروس چندریختی نوعی از بدافزار است كه از تعداد نامحدودی الگوریتم رمزنگاری برای مقابله با تشخیص استفاده می كند. ویروسهای چندریختی توانایی تغییر خود در هربار تكرار را دارا می باشند. این توانایی آنها را از دید برنامه های آنتی ویروس مبتنی بر امضا كه برای تشخیص ویروسها طراحی شده اند، پنهان می دارد. به این ترتیب، در اوایل دهه 90 خبر اولین حمله ویروسی چندریختی با نام Tequila منتشر شد و سپس در سال 1992 اولین موتور ویروس چندریختی و ابزار ویروس نویسی پا به عرصه ظهور گذاشت. بعد از آن ویروسها روز به روز كاملتر شدند. برخی ویروسها شروع به دسترسی به دفترچه آدرسهای ایمیل و ارسال خود به آن آدرسها كردند؛ ویروسهای ماكرو خود را به فایلهای برنامه های كاربردی مانند آفیس متصل كرده و به آنها حمله می كنند؛ و ویروسهایی كه مشخصاً برای سوءاستفاده از آسیب­ پذیری های سیستم عاملها و برنامه های كاربردی نوشته می شوند. ایمیلها، شبكه های به اشتراك گذاری فایل (P2P)، وب سایتها، درایوهای مشترك و آسیب­پذیری های محصولات، همه و همه برای گسترش و حمله ویروسها مورد سوء استفاده قرار می گیرند. راههای نفوذ یا Backdoors (نقاط سری ورود به شبكه كه توسط بدافزارها ایجاد می شوند) بر روی سیستم های آلوده ایجاد شدند تا راه را برای بازگشت مجدد نویسندگان ویروس و هكرها جهت اجرای نرم افزارهای دلخواه، باز كنند. در این مقاله منظور ما از هكر یك فرد برنامه نویس رایانه یا كاربر آن است كه قصد دسترسی به یك رایانه یا شبكه را به صورت غیر قانونی دارد. بعضی از ویروسها دارای موتور ایمیل جاسازی شده هستند كه رایانه آلوده را وادار می سازد تا مستقیماً از طریق ارسال ایمیل، ویروس را انتشار دهد. همچنین نویسندگان ویروس شروع به طراحی دقیق معماری حمله های خود با استفاده از مهندسی اجتماعی كرده اند. همراه با این تكامل بدافزارها، آنتی ویروسها نیز به خوبی تكامل پیدا كرده اند. در حال حاضر بیشتر آنتی ویروسهای موجود در بازار بر مبنای امضای ویروس یا همان شناسایی مشخصه های یك بدافزار برای تشخیص كدهای مضر، عمل می كنند. به همین دلیل در فاصله زمانی بین انتشار یك ویروس جدید و شناسایی امضای آن و پخش آن بین آنتی ویروسهای مختلف، یك رشد ناگهانی در میزان آلوده سازی ویروس مشاهده می شود. اما به محض تشخیص امضای آن، روند آلوده سازی سیر نزولی پیدا می كند. برای اطلاعات تكمیلی در مورد تاریخچه ویروسها به مقاله ویروس قسمت اول - سرگذشت ویروس كه در وب سایت ماهر منتشر شده است، مراجعه فرمایید.

بدافزار چیست؟

واژه بدافزار معادل malware انگلیسی است كه یك خلاصه برای Malicious Software یا نرم افزار بدخواه می باشد. واژه بدافزار به ویروس، كرم، تروجان و هر برنامه دیگری كه با نیت اعمال خرابكارانه ایجاد شود، اطلاق می شود. اما تفاوت ویروس و كرم در چیست؟ این دو چه تفاوتی با تروجان دارند؟ آیا برنامه های كاربردی آنتی ویروس بر علیه كرمها و تروجانها نیز اقدام می كنند یا فقط به جنگ با ویروسها می روند؟ همه این سؤالها از یك منبع سرچشمه می گیرند و آن هم دنیای پیچیده و گیج كننده كدهای بدخواه است. تعداد بیشمار و تنوع زیاد در كدهای بدخواه موجود، طبقه بندی دقیق آنها را مشكل می سازد. در بحث های كلی در مورد آنتی ویروسها، تعاریف ساده زیر برای طبقه بندی آنها به كار می رود:
  • تروجان یا اسب تروا:
    برنامه ای است كه ظاهراً مفید یا بی خطر به نظر می رسد ولی شامل كدهای پنهانی است كه برای سوءاستفاده یا صدمه زدن به سیستمی كه بر روی آن اجرا می شود، به كار می رود. اسبهای تروا معمولاً از طریق ایمیل هایی كه هدف و كاركرد برنامه را چیزی غیر از حقیقت آن نشان می دهند، برای كاربران ارسال می شوند. به چنین برنامه هایی كدهای تروجان هم گفته می شود. اسب تروا زمانی كه اجرا می شود یك عملیات خرابكارانه را بر سیستم اعمال می كند. در این مقاله، واژه عملیات خرابكارانه یا Payload اصطلاحی است برای مجموعه ای از كنشهایی كه یك حمله بدافزاری بعد از آلوده كردن سیستم، بر روی رایانه قربانی انجام می دهد.
  • كرم:
    یك كرم در واقع كد خرابكاری است كه خود را انتشار می دهد و قادر است به صورت خودكار در شبكه ها گسترش پیدا كند. یك كرم می تواند دست به اعمال مضری مانند مصرف پهنای باند شبكه یا مصرف منابع محلی سیستم بزند و منجر به حملات انكار سرویس شود. برخی از كرمها می توانند بدون مداخله كاربر اجرا شده و گسترش پیدا كنند در حالی كه برخی از كرمها نیاز دارند كاربر آنها را مستقیماً اجرا كرده تا بتوانند گسترش پیدا كنند. كرمها علاوه بر تكرار خود قادرند یك عملیات خرابكارانه را نیز بر سیستم قربانی اعمال كنند.
  • ویروس:
    یك ویروس قطعه كدی است كه برای تكثیر خودكار نوشته شده است. یك ویروس تلاش می كند تا از رایانه ای به رایانه دیگر گسترش پیدا كند و این كار را معمولاً از طریق اتصالش به یك برنامه میزبان انجام می دهد. ویروسها ممكن است خساراتی به سخت افزار، نرم افزار یا داده ها وارد آورند. زمانی كه برنامه میزبان اجرا می شود، برنامه ویروس نیز اجرا می شود و برنامه های دیگری را نیز آلوده كرده و به عنوان میزبانهای جدید از آنها استفاده می كند. گاهی اوقات ویروس، عملیات خرابكارانه دیگری را نیز روی سیستم انجام می دهد.
تعاریف فوق برای طبقه بندی های مختلف بدافزار ما را قادر می سازد تا تفاوتهای بین آنها را در یك فلوچارت ساده نشان دهیم. نمودار زیر آیتم هایی را نشان می دهد كه به ما كمك می كنند تشخیص دهیم یك اسكریپت در كدام طبقه می گنجد.



شكل فوق به ما كمك می كند تا تفاوت بین هر كدام از كدهای خرابكار معمول را تشخیص داده و طبقه بندی آن را شناسایی كنیم. البته طبقه بندی های متفاوتی در مورد بدافزارها وجود دارند كه در این مقاله پرطرفدارترین آن آورده شده است. به هرحال باید در نظر داشته باشیم كه ممكن است در یك حمله به كدی برخورد كنیم كه در بیش از یكی از این طبقه بندی ها بگنجد. به این حمله ها blended threats یا تهدید تركیبی گفته می شود كه شامل بیش از یك نوع بدافزار شده و از بردارهای حمله چندگانه استفاده می كنند. حمله هایی از این نوع می توانند با سرعت بیشتری گسترش پیدا كنند. یك بردار حمله مسیری است كه بدافزار می تواند از آن برای پیش بردن حمله استفاده كند. به همین دلیل مقابله با حمله های تركیبی كار مشكلی است. در زیر توضیحات مفصل تری در مورد هر یك از انواع بدافزار آورده ایم تا عناصر اصلی هر كدام از آنها را روشن تر سازیم.

تروجان

اسب تروا از آنجایی كه خود را انتشار نمی دهد به عنوان یك ویروس رایانه ای یا كرم نیز در نظر گرفته نمی شود. به هر حال معمولاً برای كپی كردن یك تروجان بر روی یك سیستم هدف، از یك ویروس یا كرم رایانه ای استفاده می شود. به پروسه فوق dropping گفته می شود. هدف اصلی یك اسب تروا خراب كردن كار كاربر یا عملیات معمولی سیستم است. برای مثال تروجان ممكن است یك در پشتی را در سیستم باز كند تا هكر بتواند به سرقت اطلاعات پرداخته یا پیكربندی سیستم را تغییر دهد. دو اصطلاح معادل دیگر نیز وجود دارند كه منظور از آنها همان تروجان است و عبارتند از RAT و Rootkit.

تروجان دسترسی از راه دور یا Remote Access Trojans

برخی از تروجان ها به هكر اجازه كنترل از راه دور سیستم را می دهند. به این برنامه ها RAT یا در پشتی نیز گفته می شود. نمونه هایی از RAT ها عبارتند از: Back Orifice، Cafeene و SubSeven. برای اطلاعات بیشتر در این مورد می توانید به مقاله ای از مایكروسافت در همین زمینه مراجعه نمایید.

روتكیت یا Rootkit

اصطلاح فوق برای مجموعه ای از برنامه های نرم افزاری به كار می رود كه هكر از آنها برای به دست آوردن دسترسی از راه دور غیر مجاز به رایانه هدف بهره می برد. این برنامه ها معمولاً از تكنیك های متفاوتی مانند نظارت بر كلیدهای فشرده شده بر روی صفحه كلید، تغییر فایلهای ثبت رویداد یا نرم افزارهای كاربردی سیستم، ایجاد یك در پشتی بر روی سیستم و حمله به رایانه های دیگر از طریق شبكه استفاده می كنند. روتكیت ها معمولاً شامل یك سری ابزار سازمان یافته هستند كه برای هدف قرار دادن سیستم عامل خاصی تنظیم شده اند. اولین روتكیت ها در اوایل دهه 90 میلادی مشاهده شدند و در آن زمان سیستم عاملهای Sun و لینوكس هدف اصلی حملات بودند. در حال حاضر روتكیت ها برای اغلب سیستم عاملها از جمله سیستم عامل های مایكروسافت وجود دارند. توجه: دقت داشته باشید كه ممكن است RAT ها و ابزارهای دیگری كه روتكیت ها را تشكیل می دهند، حق دسترسی قانونی را برای كنترل از راه دور یا نظارت دارا باشند. به هرحال این ابزارها خطر كلی را در محیطی كه استفاده می شوند، افزایش می دهند.

كرمها

اگر كد خرابكار خود را تكثیر كند دیگر از نوع تروجان محسوب نمی شود، بنابراین سؤال بعدی كه برای تعریف دقیقتر بدافزار، باید پاسخ داده شود این است: " آیا كد مورد نظر می تواند بدون نیاز به یك حامل تكثیر پیدا كند؟" در واقع آیا این كد می تواند بدون نیاز به آلوده كردن یك فایل اجرایی، تكرار شود؟ اگر پاسخ به این سؤال بله باشد، كد مذكور یكی از انواع كرمهای رایانه ای است. بیشتر كرمها سعی در كپی كردن خودشان در یك رایانه میزبان دارند و سپس از كانالهای ارتباطی رایانه مذكور برای گسترش خود استفاده می كنند. برای مثال كرم Sasser ابتدا با استفاده از یك آسیب پذیری سیستم هدف را آلوده می ساخت و سپس از طریق اتصالات شبكه رایانه قربانی گسترش پیدا می كرد. در چنین حملاتی در صورتی كه آخرین به روز رسانی های امنیتی را بر روی سیستم خود نصب كرده (جلوگیری از آلودگی) و فایروالها را به جهت بستن درگاه های شبكه ای كه كرم از آنها استفاده می كند، فعال سازید(جلوگیری از انتشار)، حمله مذكور عقیم خواهد ماند.

ویروسها

اگر كد خرابكار یك نسخه از خود را به منظور تكرار شدن در یك فایل دیگر، پرونده یا سكتور بوت حافظه قرار دهد، آن را به عنوان یك ویروس در نظر می گیریم. این كپی می تواند یك نسخه برابر اصل یا یك نسخه تغییر یافته باشد. همان طور كه قبلاً هم توضیح دادیم، ویروس غالباً شامل یك سری عملیات خرابكارانه مانند قرار دادن یك تروجان بر روی رایانه قربانی یا پاك كردن اطلاعات آن می شود. به هر حال، اگر یك ویروس تنها خود را تكثیر كند و شامل عملیات خرابكارانه نیز نشود، باز هم به عنوان یك بدافزار در نظر گرفته می شود، زیرا خود ویروس ممكن است در زمان تكثیر باعث خرابی داده ها، اشغال منابع سیستم و مصرف پهنای باند شبكه شود. در بخش بعدی، در مورد خصوصیات بدافزارها صحبت خواهیم كرد.


sonjacanedo.weebly.com
یکشنبه 18 تیر 1396 01:28 ب.ظ
Hi there, just became alert to your blog through Google,
and found that it's really informative. I am gonna watch out
for brussels. I will be grateful if you continue this in future.
Lots of people will be benefited from your writing.

Cheers!
Dorthea
دوشنبه 25 اردیبهشت 1396 10:59 ق.ظ
Hello just wanted to give you a quick heads up.
The words in your content seem to be running off the screen in Internet explorer.
I'm not sure if this is a format issue or something to do with internet browser compatibility but
I thought I'd post to let you know. The style and
design look great though! Hope you get the issue solved soon.
Many thanks
antoniocawley.myblog.de
چهارشنبه 20 اردیبهشت 1396 07:03 ب.ظ
Glad to be one of the visitants on this awing web site :D.
BHW
پنجشنبه 24 فروردین 1396 11:27 ب.ظ
hi!,I like your writing so so much! percentage
we keep up a correspondence more about your article on AOL?
I need an expert in this space to resolve my problem. May be that is you!
Taking a look forward to look you.
manicure
دوشنبه 21 فروردین 1396 07:16 ق.ظ
wonderful submit, very informative. I wonder why the other experts
of this sector don't realize this. You should continue your writing.

I'm confident, you've a great readers' base already!
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر