بخشی از مقاله
بدافزارهای جدید رایانه ای و لزوم توسعه روش های دفاعی در برابر آنها
چکیده
تهدیدهای امنیتی در حوزه فناوری اطلاعات شامل تهدیدهای درون سازمانی و برون سازمانی می باشد. از بین این تهدیدها، بدافزارهای رایانهای جامعه بزرگی از کاربران رایانه را تهدید می کنند. روشهای دفاعی در برابر بدافزارها با ظهور بدافزارهای جدیدی در حال توسعه می باشد. اما با گسترش شبکههای رایانهای خصوصاً اینترنت و نیز ابزارهای توسعه بدافزارها، این روش ها به تنهایی جوابگوی مشکلات امنیتی حوزه فناوری اطلاعات نیستند. بنابراین برای مقابله با تهدیدها نیاز به طراحی روشیهای دفاعی چند لایه با استفاده از ابزارهای امنیتی مختلف و مکمل مبتنی بر سیاستهای امنیتی مناسب سازمانی میباشد. در این مقاله روشی برای مقابله با تهدیدهای امنیتی بدافزارها به صورت چند لایه با بهرهگیری از سیاستهای تعریف شده و ابزارهای ضدبدافزار برای شبکههای سازمانی مطرح شده و تشریح میگردد.
واژههای کلیدی: ابزار امنیتی، بدافزار، تهدید امنیتی، ضدبدافزار و دفاع چند لایه.
۱- مقدمه
شبکههای سازمانی و بکارگیری رایانه ها با تنظیمات نرمافزاری و سختافزاری مشابه در این شبکهها از یکسو اعمال سیاستهای امنیتی را آسان تر کرده و از سوی دیگر در صورت وجود آسیب پذیری در آنها شبکه سازمان را در برابر تهدیدات بسیار ضعیف مینماید. با توجه به اینکه امروزه اغلب کاربران در سازمان ها از سیستم عامل ویندوز استفاده می کنند، با مشخص شدن یک آسیب پذیری در آن باید تمهیدات امنیتی لازم برای شبکه آن سازمان در نظر گرفته شود. در غیر اینصورت تمام رایانه های شبکه در برابر تهدید آسیب پذیر خواهند بود. این تهدیدات و آسیب - پذیریها خصوصاً در حوزه بدافزارهای رایانه ای بیشتر نمایان است. به طوری که امروزه انتشار و همه گیر شدن بدافزار در یک شبکه آسیب پذیر بیشتر از چند دقیقه به طول نمی انجامد.
۲- تعریف بدافزار
بدافزار یا نرمافزار بداندیش به انواع نرمافزارهایی گفته میشود که به نوعی اخلال در کار رایانه ایجاد کرده و در برخی موارد موجب خرابی آن می شود. اینگونه نرمافزارها اغلب بدون آگاهی و اجازه کاربر روی رایانه اش نصب می گردند -1- انواع کلی بدافزارهای رایانه ای در شکل(۱) نشان داده شده است.
۱-۲ - انواع مختلف بدافزار[۳].
ویروسی: برنامه ای است که با تزریق کد خود داخل کدهای دیگر روی یک رایانه خود را منتشر می کند. از ویروس به عنوان بدافزار آلوده کننده فایل نیز یاد می شود. چند سال قبل ویروسها به عنوان بدافزار اصلی مطرح بودند ولی در حال حاضر کرمهای رایانه ای جای انها را گرفته و به عنوان بدافزار اصلی دنیای رایانه ها مطرح میباشند. کرم رایانه ای: در برخی موارد شبیه ویروس بوده ولی فایل دیگری را آلوده نمی کند بلکه خود به عنوان یک فایل مستقل و با استفاده از شبکه و اینترنت در دیگر رایانه ها منتشر شده و انها را آلوده می نماید. ماکرو: صرفاً یک اسکریپت میباشد که خودش را در داخل فایلهایی که قابلیت ماکرو دارند مانند Microsoft word یا Exeel تعبیه می کند. وقتی که فایل باز می شود اسکریپت اجرا می گردد. اسب تروا: برنامهای است که خود را به صورت بی خطر نشان می دهد ولی بعد از اولین اجرا کاری را انجام میدهد، که انتظار آن نمیرود. دو نوع اصلی این نوع بدافزار به شرح ذیل وجود دارد: نروای در پشتی : این نوع تروا ورودی هایی به سیستم رایانه کاربر به منظور دسترسی نفوذگر باز می کند. هدف آنها در اختیار گرفتن کنترل رایانه کاربر و استفاده غیر مجاز از ان میباشد.
تروای ثبت کننده کلید : این نوع تروا کلیدهای فشرده شده توسط کاربر را پای شی و ثبت کرده سپس فایل ثبت شده را به نفوذگر
ارسال می نماید. این تروا معمولاً به منظور سرقت اطلاعات استفاده میگردد.
آگهی افزار ": برنامه کاربردی است که آگهیها را نمایش می دهد. آگهیافزار این کار را با نمایش آگهی های popup، افزودن آگهیها در صفحات وب، اضافه کردن نوار ابزار جستجو در مرورگر وب یا حتی در سیستمعامل انجام میدهد.
جاسوس افزار : برنامه کاربردی است که به صورت نامحسوس رایانه کاربر را پایش نموده و گزارشی از عملکرد آن را به سازنده خود ارسال مینماید. این نوع برنامهها معمولاً مواردی نظیر وب سایتهای مشاهده شده توسط کاربر، برنامه های نصب شده روی رایانه کاربر، نرم افزارها و عملکردهای مورد علاقه کاربر و غیره را بررسی و پای شی می نماید.
روتکیت : بدافزاری است که به صورت مخفی روی رایانه کاربر اجرا می گردد. روتکیت مجموعه ای از ابزارهای نرم افزاری است که برای پنهان نمودن اجرای پروسها یا فایلها و یا دادههای سیستم استفاده میگردد. اینگونه بدافزار با مخفی کردن خود مانع آشکار شدن سریع میشود.
اکسپلویت : کدهای مخربی هستند که با استفاده از آسیب پذیریهای یک سیستم امکان دسترسی از راه دور به آن سیستم را فراهم می کنند.
ضدبدافزار گول زننده: بدافزاری که از نظر ظاهری و عملکرد شبیه ضدبدافزار عادی می باشد ولی واقعاً ضدبدافزار نیست. این نرم افزار از روشهای گول زننده و بازدارنده برای خریداران ضد بدافزارهای مطمئن استفاده کرده و به نوعی موجب اشتباه آنها میگردد.
۳- اهداف بدافزارها
دلایل زیادی برای ایجاد بدافزارها توسط نویسندگان آنها وجود دارد که در ادامه به برخی از آنها اشاره میگردد:
- نشان دادن توانمندی تکنولوژی.
- استفاده از آنها به صورت عکسهای سیاسی، شوخی و ...
- انتقام جویی
- هدف ایدئولوژيک
- جنگ بدافزاری
- جاسوسی
- شهرت
- خرابکاری تجاری
- اخاذی
- نفع اقتصادی از میان دلایل ذکر شده فوق برخی از آنها از جمله کسب شهرت، خرابکاری تجاری، اخاذی و نفع اقتصادی برای بدافزار نویسان از اهمیت بسیار بالایی برخوردار می باشد.
۴- استراتژی بدافزارهای رایانه ای [۴]
۱-۴- استراتژی بازنویسی" ویروس هایی که از این استراتژی استفاده می کنند به نام ویروسهای بازنویسی معروف هستند. این نوع ویروسها کپی خودشان را روی فایل مورد نظر که میخواهند آن را آلوده نماید، مینویسند. البته این روش یک روش اولیه است، اما یقیناً آسانترین روش می باشد. این نوع ویروسها از روی سیستم پاک نمی شوند و تنها روش پاکسازی آنها، حذف فایل آلوده می باشد.
۴- ۲- استراتژی آلوده سازی بصورت فایلهای همنام در این استراتژی فایل ویروس بصورت همنام با فایل اجرایی با پسوند exe. ایجاد می شود. با این تفاوت که پسوند فایل ویروس com. انتخاب میگردد. این تکنیک اولین بار در سال ۱۹۹۲ ارائه شد. این نوع ویروس ها معمولاً از طریق خط فرمان اجرا می شود، به دلیل اینکه در خط فرمان معمولاً نام فایل بدون پسوند تایپ می شود. در سیستمعامل ویندوز نیز اگر دو فایل همنام باشند، فایل اجرایی با پسوند Com نسبت به فایل اجرایی همنام با پسوند EXE اولویت دارد لذا فایل ویروس به جای فایل مورد نظر اجرا شده و سیستم را آلوده خواهد کرد.
۴- ۳- استراتژی ویروس الحاقی ^
در این تکنیک یک دستور پرش به ابتدای فایل میزبان اضافه می شود که به انتهای فایل اصلی میزبان اشاره می کند. یک نمونه از این ویروس، ویروس Viena میباشد. این تکنیک را میتوان روی انواع فایلهای اجرایی از جمله با فرمت Pe ،Nc ،EXe و EIf پیاده سازی کرد. چنین فایلهایی دارای یک بخش Header هستند که در آن آدرس نقطه شروع اجرای فایل مشخص شده است. لذا میتوان با تغییر آن بطوریکه ابتدا ویروس اضافه شده در انتهای فایل اجرا شود، اقدام نمود.
۴-۴- استراتژی الحاق به ابتدای فایل این استراتژی که ویروس به ابتدای فایل میزبان اضافه می شود، نوع ساده آلوده سازی بوده و در اغلب موارد خیلی موفق نشان داده است. هدف اصلی اینگونه ویروس انتشار گسترده در سطح فایلها میباشد. یک مثال از ویروس الحاقی به ابتدای فایل Com ویروس مجارستانی Polimer بود که خود را به طول ۵۱۲ بایت در قسمت ابتدای فایلی اجرایی الحاق کرده و محتوای فایل اصلی را به بعد از خود انتقال میداد.
۵-۴- استراتژی ویروس پرکننده فضای خالی این ویروسی تلاشی می کند خود را در جای خالی بدون اینکه به برنامه واقعی آسیبی برساند، کپی نماید. بنابراین این ویروس طول برنامه بیش نمیدهد. این امر باعث می شود نیازی به تکنیکهای مخفی کردن خود نداشته باشد که یک مزیت برای این نوع ویروسها محسوب می شود. ویروس Lehigh یک نمونه قدیمی از این نوع ویروسها می باشد. به دلیلی دشوار بودن نگارش این نوع ویروسها و نیز محدود بودن فایل میزبان برای آنها، این نوع ویروسها بسیار کم مشاهده شده اند.
۶-۴- استراتژی فشردهسازی
یک تکنیک ویژه آلودهسازی ویروس استفاده از شیوه فشردهسازی محتوای برنامه میزبان میباشد. در برخی موارد این تکنیک برای مخفی کردن افزایش اندازه برنامه میزبان بعد از آلوده سازی استفاده میگردد.
۷-۴- استراتژی رمز کردن
ویروس رمزشده شامل یک رمزگشای ثابت و به دنبال آن بدنه رمزشده ویروس میباشد. به خاطر ثابت بودن رمزگشا، آشکارسازی آن نسبتاً آسان میباشد. اولین ویروس شناخته شده که به صورت رمزگذاری شده پیاده سازی شد کi روی سیستم عامل داس بود. ویروس چند شکلی که نسل جدید ویروس فوق می باشد، رمزگشاها را تغییر داده و از چندین رمزگشا به جای یک رمزگشای ثابت استفاده می کند. اولین ویروسی که از این تکنیک استفاده کرد، ویروس وال بوده که در آن از چندین رمزگشا استفاده شده است و ویروس یکی را به صورت تصادفی انتخاب می کند.
۸-۴- استراتژی سکتور راه انداز
این نوع ویروس از خاصیت اجرایی رکورد راه انداز اصلی " استفاده می کند. رایانه ای که به این نوع ویروس آلوده شده باشد، زمانی که دوباره راه اندازی می شود، ویروس را اجرا خواهد کرد. ویروس می کلانژ " نمونهای از ویروس سکتور راه انداز می باشد.
۹-۴- استراتژی ماکرو این ویروس برنامههای کاربردی با قابلیت ماکرونویسی MicroSoft Word و نظایر آن را آلوده کرده و باعث اجرای خودکار برخی از نرمافزارها به هنگام اجرای برنامه کاربردی خاصی می شود. نوعی از تاثیر این ویروس اضافه کردن برخی نوشتههای خندهدار و مضحک هنگام نوشتن میباشد. این نوع ویروسیها اغلب توسط نامههای الکترونیکی منتشر می شوند. یک نمونه مشهور از این نوع ویروس ملی سا نام دارد که در سال ۱۹۹۹ انتشار یافت.