به گزارش کلیک، هنگامی که نرمافزارها و بدافزار های مخرب حمله میکنند، دانشمندان کامپیوتر و محققان امنیتی میخواهند بدانند که چگونه هکرها و مهاجمان به آنچه که قرار بود یک سیستم امن باشد حمله کردند و در واقع چه عملیاتی را انجام دادهاند و چگونه باعث بروز مشکلات برای کاربران شدهاند.
این یک مشکل رو به رشد است که بر پروژه های دولتی، فروشگاه های خرده فروشی و افراد در سراسر جهان تأثیر می گذارد. با این حال، مبارزه با تروجانها، نرمافزارها و بدافزار های مخرب یک مسابقه تسلیحاتی به شمار میرود. همانطور که مدافعان و تحلیلگران روش های خود را بهبود می بخشند، مهاجمان و هکرها نیز بازی خود را تقویت می کنند.
امروز ۸۰ درصد از برنامهنویسان و هکرهای بدافزار از عناصری در حملات خود استفاده میکنند که همیشه منحصر به فرد بوده و بطور خاص سعی دارند نرمافزارهای حفاظت از سیستم در برابر بدافزارها و نرمافزارهای مخرب مانند تروجان را شکست دهند.
یک گروه تحقیقاتی در دانشگاه تگزاس در آرلینگتون روش ها و ابزارهایی را توسعه می دهند و تحلیلگران حرفه ای نرمافزارهای مخرب برای درک این حملات از این ابزارها و روشها استفاده می کنند. یکی از تلاشها و تحقیقات شناخته شده این گروه تحقیقاتی توسط خانمی به نام شبنم ابوجهدره رهبری میشد. او در حال حاضر در مقطع دکترای تخصصی خود در زمینه نرمافزار کار میکند و در عین حال ابزارهای تجزیه و تحلیل نرمافزارهای مخرب را توسعه میدهد که این نرمافزارها برای دفاع در برابر کدها و اسکریپتهای مخرب طراحی شدهاند.
تجزیه و تحلیل نرمافزارهای مخرب (malware)
هنگامی که یک حمله کشف یا گزارش می شود، تحلیلگرانِ نرمافزارهای مخرب بر روی حمله گزارش داده شده کار می کنند تا یک کپی از هر نرم افزاری که در رایانه های هدف قرار دارد نصب شود. هنگامی که آنها شروع به بررسی حمله می کنند، موضوع اولیه این است که چگونه بدافزار موفق به شکستن یک شبکه کامپیوتری یا سیستم می شود.
اغلب این موضوع به ذهن میآید که سوراخ های امنیتی در سیستم های عامل یا برنامه های کاربردی معمول تنها دلیل نفوذ هکرها و مهاجمان هستند که بعدا این فاکتورهای امنیتی می توانند به برنامهنویسان برنامه ها، در رفع معایب، باگها و سوراخهای امنیتی کمک کنند.
علاوه بر این، تحلیلگران سعی می کنند بدانند که یک تروجان هنگامی که به سیستم نفوذ میکند، چگونه از کامپیوتر و سراسر یک شبکه عبور می کند و چه اقداماتی را انجام میدهد (مانند تغییر پرونده ها، کپی کردن داده ها، اجرای برنامه ها یا حتی نصب جدید نرم افزار برای کمک به خود در حمله). این اقدامات را می توان در مواردی که ابزارهای شناسایی بدافزارها، حمله های آینده را قبل از اینکه بتوانند آسیب برساند، توضیح داد.
با مشاهده یک حمله بدافزار، ما نیز سعی می کنیم تعیین کنیم که کدام کامپیوترها و کدام فایل ها دستکاری شده اند بنابراین می توان آنها را تعمیر کرد. ما همچنین میتوانیم متوجه این موضوع شویم که داده ها مانند لیست مشتری، برنامه های محصول یا سایر اطلاعات کسب و کار حساس ممکن است توسط نرم افزارهای مخرب خوانده و کپی شوند.
علت نامگذاری این برنامهها به ویروس به دلیل شباهت نحوه فعالیت آنها با ویروسها در دنیای حقیقی است. ویروس رایانهای را میتوان برنامهای تعریف کرد که خودش را با استفاده از یک میزبان تکثیر کند. بنابراین اگر برنامهای وجود داشته باشد که دارای آثار تخریبی باشد ولی امکان تکثیر نداشته باشد، نمیتوان آن را ویروس نامید.
معمولاً کاربران کامپیوتر به ویژه آنهایی که اطلاعات تخصصی کمتری درباره کامپیوتر دارند، ویروسها را برنامههایی هوشمند و خطرناک میدانند که خود به خود اجرا و تکثیر شده و آثار تخریبی زیادی دارند که باعث از دست رفتن اطلاعات و گاه خراب شدن کامپیوتر میگردند، در حالی که طبق آمار تنها پنج درصد ویروسها دارای آثار تخریبی بوده و بقیه صرفاً تکثیر میشوند.
بنابراین ویروسهای رایانهای از جنس برنامههای معمولی هستند که توسط ویروسنویسان نوشته شده و سپس به طور ناگهانی توسط یک فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسک، فایلها و یا کامپیوترهای دیگر را آلوده میکنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یک دیسک آلوده توسط کاربر دوم، ویروس به صورت مخفی از نسخهای خودش را تولید کرده و به برنامه های دیگر میچسباند و به این ترتیب داستان زندگی ویروس آغاز میشودو هر یک از برنامهها و یا دیسکهای حاوی ویروس، پس از انتقال به کامپیوترهای دیگر باعث تکثیر نسخههایی از ویروس و آلوده شدن دیگر فایلها و دیسکها میشوند.
اجرای کد مخرب (malicious code)
انجام هر کاری مستلزم این است که نرم افزارهای مخرب را در عمل ببینیم. خیلی خوب است که بتوانیم به سادگی نرم افزارهای مخرب و بدافزارها را رمزگشایی کرده و دستورالعمل های آن را بدون اجرای برنامههای مخرب بازگشایی کنیم. اما نویسندگان و برنامهنویسان بدافزارها به خوبی از این موضوع مطلعاند، بنابراین اقداماتی را برای سخت تر شدن کار خود، مانند فشرده سازی یا رمزگذاری برنامه های مخرب خود قبل از اینکه آنها را از دست دهند، انجام می دهند.
بهترین گزینه این است که بدافزار را در رایانه های خودمان اجرا کنیم. با این حال، باید مراقب باشیم تا سیستمهای کامپیوتری خودمان را از دست ندهیم و یا باعث خرابی آنها نشویم. به طور معمول بهتر است از یک ماشین مجازی برای این کار استفاده کنیم.
گفتنی است؛ ماشین مجازی برنامه ای است که یک کامپیوتر کاملا کاربردی را شبیه سازی می کند اما دسترسی مستقیم به فایل ها و سخت افزار کامپیوتر را ارائه نمیدهد. در حالت ایده آل، این ماشین مجازی به ما اجازه می دهد تمام اقداماتی که نرم افزارهای مخرب تلاش می کنند بدون هیچ گونه آسیبی به رایانه های شخصی ما انجام دهند را مشاهده کنیم. تاکنون، هیچ قطعه نرم افزاری ساخته نشده که بتواند همه حملات را تجزیه و تحلیل کند.
برخی از برنامه های مخرب در سطح تکنولوژیک بسیار کم کار می کنند، به طور مستقیم در مناطق خاصی از حافظه کامپیوتر و سیستم های ذخیره سازی هارد دیسک فعالیت داشته و یا میتوانند باعث تغییر در نحوه کار و عملکرد کامپیوتر شوند؛ از این رو، کاربران دیگر نمی توانند به ماشین ها اعتماد کنند تا آنچه انتظار می رود از آنها انجام شود.
امروزه نرم افزارهای مخرب در سطوح بالاتر کار می کنند، این نرمافزارهای مخرب بیشتر شبیه نرم افزارهای معمولی هستند که با سیستم عامل به جای سخت افزار کامپیوتر به طور مستقیم ارتباط برقرار می کند. پیشرفته ترین نرم افزارهای مخرب در هر دو سطح فعالیت دارند؛ به عبارت دیگر هم با سیستم عامل کامپیوتر (نرمافزار) و هم با سختافزار کامپیوتر در ارتباط هستند.
اکثر ابزارهای تجزیه و تحلیل بر روی یکی از این نوع حملات متمرکز هستند نه هر دو! بنابراین آنها نمی توانند همه چیز را بدست آورند و حتی برای نرم افزارهای مخرب که شناسایی میشوند نمی توانند هر کاری را که بدافزار انجام میدهد را نشان دهند.
لازم به ذکر است؛ برخی از تکنیک های تجزیه و تحلیل وجود دارند از جمله اجرای برخی از نرم افزارهای ضد تروجان در ماشین مجازی. اما این برنامه ها به دلیل دستکاری نرم افزارهای مخرب، خود آسیب پذیر هستند.
در مثالی از عملکرد ویروسها، نرمافزارهای مخرب و بدافزارها میتوان به ویروس ملیسا اشاره کرد. این ویروس که از طریق شبکه های کامپیوتری با سرعت حیرت آوری در اواخر مارس پخش شده بود، لرزه بر پیکره صنعت کامپیوتر انداخت. نگرانی اصلی این بود که ملیسا به سرعت از طریق ضمایم ایمیل آلوده گسترش می یافت و هنگام باز شدن ایمیل، ویروس به کتابچه آدرس قربانی فرستاده می شد. به عبارت دیگر ملیسا پیش از اینکه متوقف شود بسیار سریع در دنیا پخش شده و سرورهای ایمیل را در هم می شکند.
ملیسا همچنین میتواند اسناد حساس را برای افرادی که در کتابچه آدرس هستند بدون اینکه کاربر متوجه شود بفرستد. الگوی ملیسا موذیانه است چون این ویروس طوری عمل می کند که ضمائم ایمیلیِ آلوده طوری به نظر برسد که انگار از طرف فردی آمده است که دریافت کننده وی را می شناسد.
نگاهی دقیقتر (fuller look)
برنامه خانم شبنم ابوجهدره به نام SEMU در نهایت ایجاد شد. این اولین سیستم تجزیه و تحلیل بدافزار است که به همه مشکلات پاسخ می دهد. این سیستم به طور کامل خارج از ماشین مجازی عمل می کند و دقیقا همان چیزی را که در داخل اتفاق می افتد را تماشا می کند تا اقدامات بدافزار را شناسایی و وارد کند. این فرآیند به SEMU کمک می کند که یک گزارش کامل از عملیات های مخرب ارائه دهد که به نوبه خود تلاش های دستی برای تحلیلگر مخرب را برای درک برنامه های هکرها و برنامه نویسان بدافزار کاهش می دهد.
گزارش جامع و ضبط وقایع در پایین ترین سطوح سیستم عامل مجازی، کلید موفقیت سیستم SEMU شناخته شد. زیرا این سیستم اجازه می دهد تا تحلیلگران انسانی مکان و چگونه دستکاری شدن بخشهای مختلف سیستم عامل را ردیابی و بررسی کنند.
هنگامی که SEMU را در مقابل سایر ابزارهای تجزیه و تحلیل بدافزار مورد آزمایش قرار دادیم، متوجه شدیم که SEMU تنها ابزار عمومی بود که میتواند تمام فعالیتها را شناسایی کند؛ مواردی مانند خواندن فایل ها، تغییر حافظه یا داده های فایل، یا ارسال اطلاعات از طریق اتصال به شبکه که مورد نیاز برای درک چگونگی عملکرد بدافزارها محسوب میشوند.
با ادغام بررسی دقیق فعالیت کامپیوتر با ثبت دقیق یک محیط امن که در آن نرمافزار مخرب نتواند مانع از نظارت سیستم SEMU شود، SEMU مسیری را برای روشهای تحلیل آینده نشان میدهد.