از سیر تا پیاز کشف و سرکوب بد‌افزار‌ها

بخش دانش و فناوری الف،21 مرداد96

21 مرداد 1396 ساعت 10:56

بدافزار‌ها و نرم‌افزار‌های مخرب روز به روز در حال گسترش و پیشرفت هستند و بسیاری از کاربران کامپیوتر‌‌ها به ماهیت‌ این بد‌افزار‌ها آگاهی کامل ندارند.


به گزارش کلیک، هنگامی که نرم‌افزار‌ها و بد‌افزار‌ های مخرب حمله می‌کنند، دانشمندان کامپیوتر و محققان امنیتی می‌خواهند بدانند که چگونه هکر‌ها و مهاجمان به آنچه که قرار بود یک سیستم امن باشد حمله کردند و در واقع چه عملیاتی را انجام داده‌اند و چگونه باعث بروز مشکلات برای کاربران شده‌اند.

این یک مشکل رو به رشد است که بر پروژه های دولتی، فروشگاه های خرده فروشی و افراد در سراسر جهان تأثیر می گذارد. با این حال، مبارزه با تروجان‌ها، نرم‌افزار‌ها و بد‌افزار‌ های مخرب یک مسابقه تسلیحاتی به شمار می‌رود. همانطور که مدافعان و تحلیلگران روش های خود را بهبود می بخشند، مهاجمان و هکر‌ها نیز بازی خود را تقویت می کنند.

امروز ۸۰ درصد از برنامه‌نویسان و هکر‌های بدافزار از عناصری در حملات خود استفاده می‌کنند که همیشه منحصر به فرد بوده و بطور خاص سعی دارند نرم‌افزار‌های حفاظت از سیستم در برابر بدافزار‌ها و نرم‌افزار‌های مخرب مانند تروجان را شکست دهند.

یک گروه تحقیقاتی در دانشگاه تگزاس در آرلینگتون روش ها و ابزار‌هایی را توسعه می دهند و تحلیلگران حرفه ای نرم‌افزار‌های مخرب برای درک این حملات از این ابزار‌ها و روش‌ها استفاده می کنند. یکی از تلاش‌ها و تحقیقات شناخته شده این گروه تحقیقاتی توسط خانمی به نام شبنم ابوجهدره رهبری می‌شد. او در حال حاضر در مقطع دکترای تخصصی خود در زمینه نرم‌افزار کار می‌کند و در عین حال ابزار‌های تجزیه و تحلیل نرم‌افزار‌های مخرب را توسعه می‌دهد که این نرم‌افزار‌ها برای دفاع در برابر کد‌ها و اسکریپت‌های مخرب طراحی شده‌اند.

تجزیه و تحلیل نرم‌افزار‌های مخرب (malware)

هنگامی که یک حمله کشف یا گزارش می شود، تحلیلگرانِ نرم‌افزار‌های مخرب بر روی حمله گزارش داده شده کار می کنند تا یک کپی از هر نرم افزاری که در رایانه های هدف قرار دارد نصب شود. هنگامی که آنها شروع به بررسی حمله می کنند، موضوع اولیه این است که چگونه بدافزار موفق به شکستن یک شبکه کامپیوتری یا سیستم می شود.

اغلب این موضوع به ذهن می‌آید که سوراخ های امنیتی در سیستم های عامل یا برنامه های کاربردی معمول تنها دلیل نفوذ هکر‌ها و مهاجمان هستند که بعدا این فاکتور‌های امنیتی می توانند به برنامه‌نویسان برنامه ها، در رفع معایب، باگ‌ها و سوراخ‌های امنیتی کمک کنند.

علاوه بر این، تحلیلگران سعی می کنند بدانند که یک تروجان هنگامی که به سیستم نفوذ می‌کند، چگونه از کامپیوتر و سراسر یک شبکه عبور می کند و چه اقداماتی را انجام می‌دهد (مانند تغییر پرونده ها، کپی کردن داده ها، اجرای برنامه ها یا حتی نصب جدید نرم افزار برای کمک به خود در حمله). این اقدامات را می توان در مواردی که ابزارهای شناسایی بدافزارها، حمله های آینده را قبل از اینکه بتوانند آسیب برساند، توضیح داد.

با مشاهده یک حمله بدافزار، ما نیز سعی می کنیم تعیین کنیم که کدام کامپیوترها و کدام فایل ها دستکاری شده اند بنابراین می توان آنها را تعمیر کرد. ما همچنین می‌توانیم متوجه این موضوع شویم که داده ها مانند لیست مشتری، برنامه های محصول یا سایر اطلاعات کسب و کار حساس ممکن است توسط نرم افزارهای مخرب خوانده و کپی شوند.

علت نامگذاری این برنامه‌ها به ویروس به دلیل شباهت نحوه فعالیت آنها با ویروس‌ها در دنیای حقیقی است. ویروس رایانه‌ای را می‌توان برنامه‌ای تعریف کرد که خودش را با استفاده از یک میزبان تکثیر کند. بنابراین اگر برنامه‌ای وجود داشته باشد که دارای آثار تخریبی باشد ولی امکان تکثیر نداشته باشد، نمی‌توان آن را ویروس نامید.

معمولاً کاربران کامپیوتر به ویژه آنهایی که اطلاعات تخصصی کمتری درباره کامپیوتر دارند، ویروس‌ها را برنامه‌هایی هوشمند و خطرناک می‌دانند که خود به خود اجرا و تکثیر شده و آثار تخریبی زیادی دارند که باعث از دست رفتن اطلاعات و گاه خراب شدن کامپیوتر می‌گردند، در حالی که طبق آمار تنها پنج درصد ویروس‌ها دارای آثار تخریبی بوده و بقیه صرفاً تکثیر می‌شوند.

بنابراین ویروس‌های رایانه‌ای از جنس برنامه‌های معمولی هستند که توسط ویروس‌نویسان نوشته شده و سپس به طور ناگهانی توسط یک فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسک، فایل‌ها و یا کامپیوتر‌های دیگر را آلوده می‌کنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یک دیسک آلوده توسط کاربر دوم، ویروس به صورت مخفی از نسخه‌ای خودش را تولید کرده و به برنامه‌ های دیگر می‌چسباند و به این ترتیب داستان زندگی ویروس آغاز می‌شودو هر یک از برنامه‌ها و یا دیسک‌های حاوی ویروس، پس از انتقال به کامپیوتر‌های دیگر باعث تکثیر نسخه‌هایی از ویروس و آلوده شدن دیگر فایل‌ها و دیسک‌ها می‌شوند.

اجرای کد مخرب (malicious code)

انجام هر کاری مستلزم این است که نرم افزارهای مخرب را در عمل ببینیم. خیلی خوب است که بتوانیم به سادگی نرم افزار‌های مخرب و بد‌افزار‌ها را رمزگشایی کرده و دستورالعمل های آن را بدون اجرای برنامه‌های مخرب بازگشایی کنیم. اما نویسندگان و برنامه‌نویسان بدافزار‌ها به خوبی از این موضوع مطلع‌اند، بنابراین اقداماتی را برای سخت تر شدن کار خود، مانند فشرده سازی یا رمزگذاری برنامه های مخرب خود قبل از اینکه آنها را از دست دهند، انجام می دهند.

بهترین گزینه این است که بدافزار را در رایانه های خودمان اجرا کنیم. با این حال، باید مراقب باشیم تا سیستم‌های کامپیوتری خودمان را از دست ندهیم و یا باعث خرابی آن‌ها نشویم. به طور معمول بهتر است از یک ماشین مجازی برای این کار استفاده کنیم.

گفتنی است؛ ماشین مجازی برنامه ای است که یک کامپیوتر کاملا کاربردی را شبیه سازی می کند اما دسترسی مستقیم به فایل ها و سخت افزار کامپیوتر را ارائه نمی‌دهد. در حالت ایده آل، این ماشین مجازی به ما اجازه می دهد تمام اقداماتی که نرم افزارهای مخرب تلاش می کنند بدون هیچ گونه آسیبی به رایانه های شخصی ما انجام دهند را مشاهده کنیم. تاکنون، هیچ قطعه نرم افزاری ساخته نشده که بتواند همه حملات را تجزیه و تحلیل کند.

برخی از برنامه های مخرب در سطح تکنولوژیک بسیار کم کار می کنند، به طور مستقیم در مناطق خاصی از حافظه کامپیوتر و سیستم های ذخیره سازی هارد دیسک فعالیت داشته و یا می‌توانند باعث تغییر در نحوه کار و عملکرد کامپیوتر شوند؛ از این رو، کاربران دیگر نمی توانند به ماشین ها اعتماد کنند تا آنچه انتظار می رود از آنها انجام شود.

امروزه نرم افزارهای مخرب در سطوح بالاتر کار می کنند، این نرم‌افزار‌های مخرب بیشتر شبیه نرم افزار‌های معمولی هستند که با سیستم عامل به جای سخت افزار کامپیوتر به طور مستقیم ارتباط برقرار می کند. پیشرفته ترین نرم افزارهای مخرب در هر دو سطح فعالیت دارند؛ به عبارت دیگر هم با سیستم عامل کامپیوتر (نرم‌افزار) و هم با سخت‌افزار کامپیوتر در ارتباط هستند.

اکثر ابزارهای تجزیه و تحلیل بر روی یکی از این نوع حملات متمرکز هستند نه هر دو! بنابراین آنها نمی توانند همه چیز را بدست آورند و حتی برای نرم افزارهای مخرب که شناسایی می‌شوند نمی توانند هر کاری را که بدافزار انجام می‌دهد را نشان دهند.

لازم به ذکر است؛ برخی از تکنیک های تجزیه و تحلیل وجود دارند از جمله اجرای برخی از نرم افزارهای ضد تروجان در ماشین مجازی. اما این برنامه ها به دلیل دستکاری نرم افزارهای مخرب، خود آسیب پذیر هستند.

در مثالی از عملکرد ویروس‌ها، نرم‌افزار‌های مخرب و بدا‌فزارها می‌توان به ویروس ملیسا اشاره کرد. این ویروس که از طریق شبکه های کامپیوتری با سرعت حیرت آوری در اواخر مارس پخش شده بود، لرزه بر پیکره صنعت کامپیوتر انداخت. نگرانی اصلی این بود که ملیسا به سرعت از طریق ضمایم ایمیل آلوده گسترش می یافت و هنگام باز شدن ایمیل، ویروس به کتابچه آدرس قربانی فرستاده می شد. به عبارت دیگر ملیسا پیش از اینکه متوقف شود بسیار سریع در دنیا پخش شده و سرورهای ایمیل را در هم می شکند.

ملیسا همچنین می‌تواند اسناد حساس را برای افرادی که در کتابچه آدرس هستند بدون اینکه کاربر متوجه شود بفرستد. الگوی ملیسا موذیانه است چون این ویروس طوری عمل می کند که ضمائم ایمیلیِ آلوده طوری به نظر برسد که انگار از طرف فردی آمده است که دریافت کننده وی را می شناسد.

نگاهی دقیق‌تر (fuller look)

برنامه خانم شبنم ابوجهدره به نام SEMU در نهایت ایجاد شد. این اولین سیستم تجزیه و تحلیل بدافزار است که به همه مشکلات پاسخ می دهد. این سیستم به طور کامل خارج از ماشین مجازی عمل می کند و دقیقا همان چیزی را که در داخل اتفاق می افتد را تماشا می کند تا اقدامات بدافزار را شناسایی و وارد کند. این فرآیند به SEMU کمک می کند که یک گزارش کامل از عملیات های مخرب ارائه دهد که به نوبه خود تلاش های دستی برای تحلیلگر مخرب را برای درک برنامه های هکر‌ها و برنامه نویسان بدافزار کاهش می دهد.

گزارش جامع و ضبط وقایع در پایین ترین سطوح سیستم عامل مجازی، کلید موفقیت سیستم SEMU شناخته شد. زیرا این سیستم اجازه می دهد تا تحلیلگران انسانی مکان و چگونه دستکاری شدن بخش‌های مختلف سیستم عامل را ردیابی و بررسی کنند.

هنگامی که SEMU را در مقابل سایر ابزارهای تجزیه و تحلیل بدافزار مورد آزمایش قرار دادیم، متوجه شدیم که SEMU تنها ابزار عمومی بود که می‌تواند تمام فعالیت‌ها را شناسایی کند؛ مواردی مانند خواندن فایل ها، تغییر حافظه یا داده های فایل، یا ارسال اطلاعات از طریق اتصال به شبکه که مورد نیاز برای درک چگونگی عملکرد بد‌افزار‌ها محسوب می‌شوند.

با ادغام بررسی دقیق فعالیت کامپیوتر با ثبت دقیق یک محیط امن که در آن نرم‌افزار مخرب نتواند مانع از نظارت سیستم SEMU شود، SEMU مسیری را برای روش‌های تحلیل آینده نشان می‌دهد.


کد مطلب: 501026

آدرس مطلب: http://alef.ir/vdcb58bs0rhbggp.uiur.html?501026

الف
  http://alef.ir