بررسی رفتار و ساختار ويروس هاي كامپيوتري – بخش اول

بررسی رفتار و ساختار ويروس هاي كامپيوتري – بخش اول
آشنايي با برنامه هاي مخرب

 

هر نرم افزار با توجه به دستورالعمل هايي كه در آن وجود دارد عمليات خاصي را انجام مي دهد . برنامه نويس يك نرم افزار با توجه به هدفي كه از ايجاد نرم افزار دارد يكسري دستورالعمل هايي را در نرم افزار پيش بيني مي كند. حال اگر يك برنامه نويس قصد داشته باشد برنامه اي توليد كند كه به برنامه هاي ديگر و فايلها و اطلاعات كامپيوتر آسيب برساند يكسري دستورالعمل را جهت نابود كردن و يا خراب كردن فايلهاي كامپيوتر در نرم افزار (ویروس) قرار مي دهد.

برنامه هاي مخرب با اهداف مختلفي توليد مي شوند. گاهي اوقات يك برنامه مخرب جهت ضربه زدن به شركت هاي رقيب نرم افزاري و بدنام كردن محصولات شركت رقيب تهيه مي شود . گاهي اوقات برنامه مخرب توسط برنامه نويسان حرفه اي جهت ضربه زدن به اطلاعات شبكه هاي كامپيوتري كشورهاي ديگر و يا نشان دادن قدرت نرم افزاري خود و مطرح كردن نام يك گروه در دنياي برنامه- نويسان باشد .

انواع برنامه هاي مخرب

 

برنامه هاي مخرب را از لحاظ نوع آسيب رساني مي توان به چهار دسته تقسيم كرد :

  • برنامه هاي مخرب نرم افزارها

اين برنامه ها براي ضربه زدن و نابود كردن يك نرم افزار مشخص يا محصولات يك شركت خاص توليد مي شوند .

  • برنامه هاي مخرب سخت افزارها

اين برنامه ها جهت آسيب رساندن به يك قطعه سخت افزاري نظير مانيتور،  كارت گرافيكي ،  Hard Disk   ،  BIOS IC و … تهيه مي شوند.

  • برنامه هاي مخرب اطلاعات

اين برنامه ها فقط به اطلاعات موجود در بانكهاي اطلاعاتي آسيب مي رساند .

  • برنامه هاي جاسوسي و نفوذ كننده

اين برنامه ها توسط نفوذ كننده ها (Hackers) جهت نفوذ به شبكه ها كامپيوتري ، كامپيوترهاي شبكه ،كامپيوترهاي شخصي و … تهيه مي شوند .

 

راههاي انتقال برنامه هاي مخرب

 

از طرق مختلفي مي توان برنامه هاي مخرب را مثل  ديگر برنامه هاي كامپيوتري بر روي كامپيوترها  منتفل كرد . ولي اگر دريافت كننده اين برنامه بداند كه ممكن است اين برنامه مخرب باشد آنرا  اجرا نمي كند . به همين منظور توليد كنندگان برنامه هاي مخرب سعي مي كنند اين برنامه ها را بدون اطلاع كاربران روي كامپيوتر آنها منتقل كرده و اجرا كنند و يا اينكه به روشهاي مختلفي اطمينان كاربران كامپيوتر را جلب كنند و برنامه هاي مخرب را برنامه هايي مفيد و سودمند جلوه دهند .

آشنايي با مفهوم آلودگی های كامپيوتري
 
 

بمبهاي منطقي (Logic Bombs)

يك بمب منطقي مجموعه اي از دستورالعمل هاست كه به برنامه موجود اضافه مي گردد و با پيش- آمدن وضعيت مناسب و بر اساس يك شرط منطقي فعال مي شود . بمب منطقي توسط افراد آشنا كه هدفي خصمانه نسبت به محيط كار يا يك سازمان دارند و كليه نرم افزار هاي اداري و حسابداري و … آنها توسط يك سيستم سرويس داده مي شود وارد سيستم مي گردند .

از آنجا كه فقط يك برنامه كاربردي خاص آلوده مي شود در انتها شخص تهيه كننده آن قادر است بمب منطقي را به راحتي از برنامه جدا و سيستم را پاكسازي نمايد . براي مثال يك بمب منطقي مي تواند به نحوي برنامه ريزي شود كه به برنامه Calculate.exe متصل شده و در هر بار اجرا تاريخ سيستم را بررسي نمايد و در صورتي كه برابر با تاريخ مشخصي باشد شرط برنامه بمب منطقي برقرار شده عمل تخريب و پاك كردن بانكهاي اطلاعاتي و مختل شدن سيستم انجام مي پذيرد .

 

كرمها (Worms)

نوع ديگري از برنامه هاي مخرب كه روي داده ها ، اطلاعات حافظه و سطح ديسك مي خزند و مقادير را تغيير مي دهند كرمها (Worms) ناميده مي شوند . يك كرم مي تواند همه محتويات قسمتي از حافظه را صفر كرده و باعث از كاراندازي سيستم گردد . براي مثال تكنيك به كار برده شده در ويروس چرنوبيل كه حافظه CMOS را صفر مي كند خود يك كرم خزنده است . همچنين به عنوان مثالي ديگر مي توان فرمولهاي كد كننده استفاده شده در كرمها را نام برد كه كد داده هاي تايپ شده در يك فايل TXT را تغيير داده و باعث تخريب اطلاعات تايپ شده مي شود .

 

Trojan ها

    يك Trojan برنامه مخربي است كه هيچگونه عوامل مشكوكي ندارد و ظاهرا بي خطر و طبيعي جلوه مي نمايد . مثلا يك Trojan ممكن است يك برنامه ترسيماتي و گرافيكي مفيد باشد كه اعمال روزمره يك سازمان را انجام مي دهد ولي در حين ترسيمات و نمايشات به كد كردن تعدادي از سيلندرهاي هارد ديسك نيز مي پردازد .

Trojan ها مي توانند ساختار بسيار پيچيده و بزرگ داشته باشند و ضررهاي جبران ناپذيري را نيز به امكانات سخت افزاري كه برنامه كاربردي منبع با آن درگير است وارد نمايد . مثلا شماره شيار و سكتور را مقداري خارج از محدوده وارد نمايد . حين عمل خواندن و نوشتن هد آن گرداننده، گير كند و ديگر قادر به خواندن و نوشتن روي سطح آن ديسك نباشد .

تفاوت Trojan ها با بمب منطقي در اين است كه بمب منطقي محدود به يك شرط و پيش آمدن يك شرايط مناسب است ولي Trojan ها در هر بار اجراي برنامه تاثير مخرب خود را روي سيستم گذاشته و محدود به شرايط خاصي نيستند .

 

ويروسها (Viruses)

    ويروسهاي كامپيوتري به برنامه هاي مخرب كوچكي گفته مي شوند كه مخفيانه وارد كامپيوتر مي شوند و بدون اطلاع و اختيار كاربر، خود را تكثير مي كنند .

نام ويروس به اين علت روي اينگونه از برنامه ها گذاشته شده است كه عملكردي مشابه ويروسهاي بيولوژيك دارند . يك ويروس بيولوژيك از طرق مختلفي ممكن است وارد بدن انسان شود و ممكن است تا مدت زيادي به فعاليت مخفيانه در بدن بپردازد و پس از مدتي علائم وجود ويروس مشخص شود . يك ويروس كامپيوتري نيز از طرق مختلفي ممكن است وارد كامپيوتر شود و تا مدتها به فعاليت خود ادامه دهد و پس از مدتي اختلالاتي را در كامپيوتر ايجاد نمايد . ويروسهاي كامپيوتري مي توانند به اطلاعات و برنامه هاي موجود در كامپيوتر آسيب رسانده و آنها را از بين ببرند .

برنامه هاي ويروس كامپيوتري از نظر تخريب كنندگي كامل ترين برنامه ها و در بر گيرنده خصايص ويژه بمبهاي منطقي ، كرمها و Trojan ها مي باشند . علاوه بر اين داراي قدرت تكثير و قابليت سرايت از فايل به حافظه ، فايلي به فايل ديگر ، از ديسكي به ديسك ديگر و در كل از سيستمي به سيستم ديگر مي باشند .

 

باج افزار ها (Ransomware)

باج افزار نوعی بدافزار جدیدی است که ابتدا فایل های سیستم های یک شخص، یک سازمان و یا یک مرکز تجاری را کدگذاری می کند و سپس از کاربران سیستم ها می خواهد برای رمزگشایی مجدد اطلاعات خود مبلغی را بپردازند.

 

 

 

7 مرحله آلوده شدن به باج افزار:

 

مرحله اول: نفوذ

در اولین مرحله ، هکر تلاش می کند تا به سیستم مربوطه نفوذ کند. برای انجام این کار روش ها و متدهای مختلفی وجود دارد، این روش ها عبارتند از :

قراردادن باج افزار در پیوست یک ایمیل به ظاهر متعارف و نرمال که به محض باز کردن ضمیمه مورد نظر، گام نخست هکر به راحتی هر چه تمامتر انجام می گیرد.
دانلود و نصب نرم افزار از سایت های غیر معتبر و ناشناس
از طریق حفره ها و آسیب پذیری های امنیتی که در نرم افزارهاا وجود دارد و به دلیل عدم به روز رسانی و نصب پچ های مربوطه شرایط را برای نفوذ فراهم می کند.
باز بودن دسترسی ریموت (RDP) از خارج از سازمان

 

مرحله دوم: نصب

بعد از ورود باج افزار به سیستم قربانی، بدافزار مربوطه اقدام به نصب خود بر روی سیستم می کند، البته در مواردی بدافزار مدتی بعد از نفوذ در سیستم، صبر کرده و سپس اقدام به فعالیت خود می کند.(مدت خواب).

مرحله سوم: دستکاری تنظیمات سیستم

 

حذف نسخه های Shadow copy و یا system restore جهت عدم امکان بازگشت به وضعیت قبلی سیستم، از جمله فعالیت هایست که بد افزار برای ادامه فعالیت خود به آن احتیاج دارد.حتی در مواردی، بدافزار اقدام به غیر فعال نمودن تنظیمات امنیتی انجام گرفته توسط آنتی ویروس هم می شود.

 

مرحله چهارم: ارتباط با مرکز کنترل

 

بدافزار بعد از طی مراحل نفوذ، نصب و تغییر تنظیمات امنیتی سیستم، اقدام به برقراری تماس در فرصت مناسب با سیستم فرماندهی و مرکز کنترل خود که در یک سیستم دیگری(developer)  در فضای اینترنت قرار دارد می کند و از این طریق شماره منحصر به فردی برای دستگاه مربوطه اختصاص داده می شود.

 

مرحله پنجم: رمزگذاری

 

در این مرحله، باج افزار فعالیت اصلی خود را آغاز و با شناسایی فایلهای مورد نظر در سیستم قربانی که بطور معمول شامل کلیه فایل های متنی، تصویری، ویدئویی می شود، اقدام به رمزگذاری آنها می کند. در این مرحله بدافزار با شناسایی رسانه های ذخیره ساز متصل به سیستم از قبیل فلش و هارد اکسترنال، به فایل های داخل آنها هم رحم نکرده و عملیات رمزگذاری را بر روی آنها انجام می دهد.

 

مرحله ششم: طلب پول

 

مرحله نهایی بدافزار، اعلام هشدار و یا پیغامی به کاربر مربوطه بوده. این پیغام بطور معمول شامل موارد زیر می باشد:

توضیح کلی و مختصر بر اینکه سیستم مربوطه مورد هجوم بدافزاری قرار گرفته و فایلهای آن encrypt شده است.
اعلام مبلغ مورد نظر از جانب قربانی برای خروج فایلها از رمزگذاری
اعلام مهلت زمان برای پرداخت
هشدار حذف اطلاعات در صورت عدم پرداخت
نحوه ارتباط با هکر
مرحله هفتم: رمزگشایی

در این مرحله، developer و مرکز فرماندهی بدافزار ادعا می کند که در صورت پرداخت باج، اقدام به رمزگشایی فایلهای رمز شده می کند. شاید در برخی موارد حتی بعد از پرداخت مبلغ مربوطه اقدامی برای رمز گشایی صورت نگیرد که حتی اگر هم احتمال رمزگشایی صددرصد هم وجود داشته باشد، توصیه می گردد به دلیل جلوگیری با این باج افزارها و تشویق آنها به فعالیت خود، این کار انجام نگردد.

به طور کلی سه نوع باج افزار وجود دارد که به صورت زیر می باشد:

Scareware یا ترس افزار هم ساده ترین باج افزار است و به این صورت عمل می کند که کاربر فکر کند که سیستم اش ویروسی شده است و با نصب scareware می توانند ویروس را حذف کنند. وقتی که این بدافزار روی سیستم اجرا شد از طریق پیغام ها و یا پاپ آپ ها اعلام می کند که باید مبلغی پرداخت کنند و اجازه اجرای برنامه های دیگر را نمی دهد.

باج افزار lock screen viruses صفحه نمایش را قفل می کند و به هیچ طریق اجازه استفاده از کامپیوتر را نمی دهد. پس از شروع ویندوز یک پنجره به اندازه صفحه نمایشگر باز می شود و معمولا می گوید که از طرف اف بی آی یا وزارت دادگستری است و شما قانونی را نقض کردید و باید جریمه پرداخت کنید

باج افزار the really nasty stuff بدترین نوع نرم افزار رمزگذاری است مانند locky ، چون تا زمانی که شما مبلغی را پراخت نکنید فایل ها را قفل می کند. برای بازیابی اطلاعاتتان باید قبلا نسخه پشتیبان تهیه کرده باشید.

 

معروفترین باج افزار ها عبارتند از:

 

باج افزار AIDS

باج افزار AIDS به این صورت عمل می کند که خود را جایگزین فایل Autoexec.bat می کند و تعداد دفعات بوت شدن کامپیوتر را می شمارد وقتی که سیستم n بار بوت شد این باج افزار دایرکتورهای را پنهان می کند و فایل ها را رمزگذاری می کند. قربانی باید در مهلت زمانی تعیین شده (۹۰ روز) باج را پرداخت کند.

 

باج افزار روتون

با اجرای باج افزار روتون به کاربر پیغامی نشان داده می شود که به دلیل انجام کارهای غیرقانونی مثل استفاده از نرم افزارهای کرک شده سیستم شما قفل شده است و برای اینکه کاربر باور کند آدرس آی پی و عکس هایی که از وب کم گرفته شده است را به قربانی نشان می دهد و کاربر برای اینکه اطلاعاتش را بازیابی کند باید این جریمه یا باج را پرداخت کند.

 

باج افزار کریپتولاکر

باج افزار کریپتولاکر فایلهایی که یک پسوند خاص را دارند را با یک کلید عمومی ۲۰۴۸ رمزنگاری می کند و به کاربران ۳ روز مهلت می دهد تا باج را پرداخت کند در صورتی که شما باج را پرداخت نکنید کلید خصوصی این رمزنگاری را حذف می کند.

 

باج افزار WannaCry

باج افزار Wanna Decryptor تمامی فایل های موجود بر روی کامپیوتر کاربر را قفل (رمزنگاری) می کند و در ازای بازگردانی آنها تقاضای پرداخت باج می کند. در حال حاضر برای بازگردانی فایل ها راه دیگری جز پرداخت باج ۳۰۰ دلاری وجود ندارد.

 

Botnet

در میان انواع متعدی از نرم افزارهای مخرب ، بات نت ها گسترده ترین و جدی ترین تهدیدی است که امروزه به طور معمول در حملات سایبری رخ می دهد.بات نت ها مجموعه ای از رایانه های در خطر هستند که از راه دور به وسیله bot master تحت زیرساخت مشترک C&C کنترل می شوند. bot مخفف Robotاست که همچنین به آن زامبی هم گفته می شود. تفاوت اصلی بین بات نت با سایر انواع بد افزارها وجود زیر ساخت C&C است که به بات ها اجازه می دهد که دستورات و command ها را دریافت کنند .Bot master  باید مطمئن شود که ساختار C&C شان به اندازه کافی قوی است که هزاران بات توزیع شده در سراسر جهان را مدیریت کند و همچنین دربرابر هر گونه تلاش برای از بین بردن بات نت ها مقاوت کند. بات نت چیزی جز یک ابزار نیست و انگیزه های مختلفی برای استفاده از آنها وجود دارد. رایج ترین استفاده از بات نت انگیزه های جنایتکارانه مانند کسب درامد و برای اهداف خرابکارانه است. مهاجمان می توانند از طریق بات ها به وب سرورها دسترسی پیدا کنند و و جنایاتی از قبیل هک کردن وب سایت ها یا انتقال پول های دزدیده شده را انجام دهند که البته به نظر می رسد که که این فعالیت را آن سیستم آلوده انجام داده است.

برخی کاربردهای بات نت ها می توانند به صورت زیر دسته بندی شوند:

 

1-  حملات DDOS

حمله ای روی سیستم کامپیوتر یا شبکه است که منجر به از دست دادن سرویس دهی به کاربران می شود که معمولا باعث از دست رفتن اتصال و سرویس های شبکه با مصرف پهنای باند شبکه قربانی یا ایجاد سربار روی منابع محاسباتی سیستم می شود. حملات DDOS تنها به وب سرورها محدود نمی شوند تقریبا هر سرویس قابل دسترسی روی اینترنت می تواند هدف چنین حمله ای باشد.

2- Spamming

این رایج ترین و ساده ترین استفاده از بات نت است. کارشناسان تخمین زده اند که بیش از ۸۰ درصد spam ها توسط کامپیوتر های زامبی ارسال می شوند. بات نت ها که هزاران کامپیوتر را در بر می گیرند به spammer ها اجازه می دهند که میلیون ها پیام از سیستم های آلوده در بازه زمانی کوتاهی فرستاده شود.مزایایی که باتنت ها برای spammer ها ایجاد می کنند به شرح زیر است:

ادرس هایی که برای فرستادن spam استفاده می شود جزء لیست سیاه قرار می گیرد و mailهایی با این آدرس ها به طور خودکار توسط mail server مشخص خواهند شد اما این مشکل توسط بات نت ها حل شده است.

بات نت این امکان را برای spammer فراهم می کند تا آدرس های Email را از روی کامپیوتر آلوده برداشت کند. این آدرسها به SPAMMER ها فروخته شده یا توسط خود صاحبان بات نت استفاده می شوند.

3- Sniffing traffic

بات نت می تواند برای کشف اطلاعات مهم و حساس روی سیستم آلوده استفاده شود .اگر سیستم بیش از یک بار آلوده شده باشد و بات نت های دیگری هم وجود داشته باشند،Packet sniffing اطلاعات کلیدی سایر بات ها را هم جمع آوری می کند.

4- Key Logging

وقتی که سیستم آلوده شده از کانال های رمزگذاری(مانند Https و POP35) استفاده می کند ، sniffing  بسته ها روی سیستم کار بیهوده ای است تا زمانی که کلید مناسب رمزگشایی کشف شود. اما بات ها ویژگی هایی را برای این موقعیت ارائه می دهند و با کمک key logger حمله کننده می تواند به آسانی اطلاعات حساس را بازیابی کند.

5- Spreading new malware

در اکثر موارد بات نت ها برای انتشار بات های جدید استفاده می شوند و این کار را به آسانی از طریق دانلود و اجرای فایل از طریق Http یا Ftp انجام می دهند.همچنین بات نت می توانند ویروسی را از طریق Email پخش کنند و بات نت باعث می شود که ویروس خیلی سریع انتشار پیدا کند و باعث آسیب بیشتر گردد.

6-نصب افزودنی های تبلیغاتی مرورگر Installing advertisement add-ons and Browser helper objects

بات نت ها می توانند برای به دست آوردن سود های مالی استفاده شوند این با راه اندازی وب سایت جعلی و و تبلیغات روی آن انجام می شود.اپراتور این وب سایت با برخی از شرکت های hosting گفتگو می کند که به ازای کلیک روی تبلیغات پرداخت داشته باشند.با کمک بات نت این کلیک ها می تواند به صورت خودکار انجام شود به طوری که مستقیما چند هزار بات روی pop-upها کلیک کنند.این فرایند می تواند گسترش پیدا کند اگر بات ، Start page کامپیوتر آلوده را تصرف کند و هر زمان که قربانی از browser استفاده می کند کلیک ها اجرا می شود.

7-سرقت هویت MASS identify theft

اغلب ترکیبی از مواردی که در بالا گفته شد می تواند برای سرقت هویت در مقیاس بزرگی استفاده شود. phishing mail که تظاهر به درستی می کنند از قربانیانشان می خواهند که به صورت آنلاین به سایت رفته و اطلاعات شخصی شان را ثبت کنند این Emailهای جعلی از طریق بات ها به وسیله روش های spammingشان تولید و فرستاده می شود.

8- دسترسی به اینترنت ناشناس Anonymous internet Access

مهاجمان می توانند از طریق بات ها به وب سرورها دسترسی پیدا کنند و و جنایاتی از قبیل هک کردن وب سایت ها یا انتقال پول های دزدیده شده را نجام دهند که البته به نظر می رسد که که این فعالیت را آن سیستم آلوده انجام داده است.

 

 

ادامه ی مطلب را به زودی در مقاله ی بعدی منتشر خواهیم کرد….

تهیه شده توسط : مهیار ذوالفقاری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد.