بررسی رفتار و ساختار ویروس های کامپیوتری – بخش اول

بررسی رفتار و ساختار ویروس های کامپیوتری – بخش اول
آشنایی با برنامه های مخرب

 

هر نرم افزار با توجه به دستورالعمل هایی که در آن وجود دارد عملیات خاصی را انجام می دهد . برنامه نویس یک نرم افزار با توجه به هدفی که از ایجاد نرم افزار دارد یکسری دستورالعمل هایی را در نرم افزار پیش بینی می کند. حال اگر یک برنامه نویس قصد داشته باشد برنامه ای تولید کند که به برنامه های دیگر و فایلها و اطلاعات کامپیوتر آسیب برساند یکسری دستورالعمل را جهت نابود کردن و یا خراب کردن فایلهای کامپیوتر در نرم افزار (ویروس) قرار می دهد.

برنامه های مخرب با اهداف مختلفی تولید می شوند. گاهی اوقات یک برنامه مخرب جهت ضربه زدن به شرکت های رقیب نرم افزاری و بدنام کردن محصولات شرکت رقیب تهیه می شود . گاهی اوقات برنامه مخرب توسط برنامه نویسان حرفه ای جهت ضربه زدن به اطلاعات شبکه های کامپیوتری کشورهای دیگر و یا نشان دادن قدرت نرم افزاری خود و مطرح کردن نام یک گروه در دنیای برنامه- نویسان باشد .

انواع برنامه های مخرب

 

برنامه های مخرب را از لحاظ نوع آسیب رسانی می توان به چهار دسته تقسیم کرد :

  • برنامه های مخرب نرم افزارها

این برنامه ها برای ضربه زدن و نابود کردن یک نرم افزار مشخص یا محصولات یک شرکت خاص تولید می شوند .

  • برنامه های مخرب سخت افزارها

این برنامه ها جهت آسیب رساندن به یک قطعه سخت افزاری نظیر مانیتور،  کارت گرافیکی ،  Hard Disk   ،  BIOS IC و … تهیه می شوند.

  • برنامه های مخرب اطلاعات

این برنامه ها فقط به اطلاعات موجود در بانکهای اطلاعاتی آسیب می رساند .

  • برنامه های جاسوسی و نفوذ کننده

این برنامه ها توسط نفوذ کننده ها (Hackers) جهت نفوذ به شبکه ها کامپیوتری ، کامپیوترهای شبکه ،کامپیوترهای شخصی و … تهیه می شوند .

 

راههای انتقال برنامه های مخرب

 

از طرق مختلفی می توان برنامه های مخرب را مثل  دیگر برنامه های کامپیوتری بر روی کامپیوترها  منتفل کرد . ولی اگر دریافت کننده این برنامه بداند که ممکن است این برنامه مخرب باشد آنرا  اجرا نمی کند . به همین منظور تولید کنندگان برنامه های مخرب سعی می کنند این برنامه ها را بدون اطلاع کاربران روی کامپیوتر آنها منتقل کرده و اجرا کنند و یا اینکه به روشهای مختلفی اطمینان کاربران کامپیوتر را جلب کنند و برنامه های مخرب را برنامه هایی مفید و سودمند جلوه دهند .

آشنایی با مفهوم آلودگی های کامپیوتری
 
 

بمبهای منطقی (Logic Bombs)

یک بمب منطقی مجموعه ای از دستورالعمل هاست که به برنامه موجود اضافه می گردد و با پیش- آمدن وضعیت مناسب و بر اساس یک شرط منطقی فعال می شود . بمب منطقی توسط افراد آشنا که هدفی خصمانه نسبت به محیط کار یا یک سازمان دارند و کلیه نرم افزار های اداری و حسابداری و … آنها توسط یک سیستم سرویس داده می شود وارد سیستم می گردند .

از آنجا که فقط یک برنامه کاربردی خاص آلوده می شود در انتها شخص تهیه کننده آن قادر است بمب منطقی را به راحتی از برنامه جدا و سیستم را پاکسازی نماید . برای مثال یک بمب منطقی می تواند به نحوی برنامه ریزی شود که به برنامه Calculate.exe متصل شده و در هر بار اجرا تاریخ سیستم را بررسی نماید و در صورتی که برابر با تاریخ مشخصی باشد شرط برنامه بمب منطقی برقرار شده عمل تخریب و پاک کردن بانکهای اطلاعاتی و مختل شدن سیستم انجام می پذیرد .

 

کرمها (Worms)

نوع دیگری از برنامه های مخرب که روی داده ها ، اطلاعات حافظه و سطح دیسک می خزند و مقادیر را تغییر می دهند کرمها (Worms) نامیده می شوند . یک کرم می تواند همه محتویات قسمتی از حافظه را صفر کرده و باعث از کاراندازی سیستم گردد . برای مثال تکنیک به کار برده شده در ویروس چرنوبیل که حافظه CMOS را صفر می کند خود یک کرم خزنده است . همچنین به عنوان مثالی دیگر می توان فرمولهای کد کننده استفاده شده در کرمها را نام برد که کد داده های تایپ شده در یک فایل TXT را تغییر داده و باعث تخریب اطلاعات تایپ شده می شود .

 

Trojan ها

    یک Trojan برنامه مخربی است که هیچگونه عوامل مشکوکی ندارد و ظاهرا بی خطر و طبیعی جلوه می نماید . مثلا یک Trojan ممکن است یک برنامه ترسیماتی و گرافیکی مفید باشد که اعمال روزمره یک سازمان را انجام می دهد ولی در حین ترسیمات و نمایشات به کد کردن تعدادی از سیلندرهای هارد دیسک نیز می پردازد .

Trojan ها می توانند ساختار بسیار پیچیده و بزرگ داشته باشند و ضررهای جبران ناپذیری را نیز به امکانات سخت افزاری که برنامه کاربردی منبع با آن درگیر است وارد نماید . مثلا شماره شیار و سکتور را مقداری خارج از محدوده وارد نماید . حین عمل خواندن و نوشتن هد آن گرداننده، گیر کند و دیگر قادر به خواندن و نوشتن روی سطح آن دیسک نباشد .

تفاوت Trojan ها با بمب منطقی در این است که بمب منطقی محدود به یک شرط و پیش آمدن یک شرایط مناسب است ولی Trojan ها در هر بار اجرای برنامه تاثیر مخرب خود را روی سیستم گذاشته و محدود به شرایط خاصی نیستند .

 

ویروسها (Viruses)

    ویروسهای کامپیوتری به برنامه های مخرب کوچکی گفته می شوند که مخفیانه وارد کامپیوتر می شوند و بدون اطلاع و اختیار کاربر، خود را تکثیر می کنند .

نام ویروس به این علت روی اینگونه از برنامه ها گذاشته شده است که عملکردی مشابه ویروسهای بیولوژیک دارند . یک ویروس بیولوژیک از طرق مختلفی ممکن است وارد بدن انسان شود و ممکن است تا مدت زیادی به فعالیت مخفیانه در بدن بپردازد و پس از مدتی علائم وجود ویروس مشخص شود . یک ویروس کامپیوتری نیز از طرق مختلفی ممکن است وارد کامپیوتر شود و تا مدتها به فعالیت خود ادامه دهد و پس از مدتی اختلالاتی را در کامپیوتر ایجاد نماید . ویروسهای کامپیوتری می توانند به اطلاعات و برنامه های موجود در کامپیوتر آسیب رسانده و آنها را از بین ببرند .

برنامه های ویروس کامپیوتری از نظر تخریب کنندگی کامل ترین برنامه ها و در بر گیرنده خصایص ویژه بمبهای منطقی ، کرمها و Trojan ها می باشند . علاوه بر این دارای قدرت تکثیر و قابلیت سرایت از فایل به حافظه ، فایلی به فایل دیگر ، از دیسکی به دیسک دیگر و در کل از سیستمی به سیستم دیگر می باشند .

 

باج افزار ها (Ransomware)

باج افزار نوعی بدافزار جدیدی است که ابتدا فایل های سیستم های یک شخص، یک سازمان و یا یک مرکز تجاری را کدگذاری می کند و سپس از کاربران سیستم ها می خواهد برای رمزگشایی مجدد اطلاعات خود مبلغی را بپردازند.

 

 

 

۷ مرحله آلوده شدن به باج افزار:

 

مرحله اول: نفوذ

در اولین مرحله ، هکر تلاش می کند تا به سیستم مربوطه نفوذ کند. برای انجام این کار روش ها و متدهای مختلفی وجود دارد، این روش ها عبارتند از :

قراردادن باج افزار در پیوست یک ایمیل به ظاهر متعارف و نرمال که به محض باز کردن ضمیمه مورد نظر، گام نخست هکر به راحتی هر چه تمامتر انجام می گیرد.
دانلود و نصب نرم افزار از سایت های غیر معتبر و ناشناس
از طریق حفره ها و آسیب پذیری های امنیتی که در نرم افزارهاا وجود دارد و به دلیل عدم به روز رسانی و نصب پچ های مربوطه شرایط را برای نفوذ فراهم می کند.
باز بودن دسترسی ریموت (RDP) از خارج از سازمان

 

مرحله دوم: نصب

بعد از ورود باج افزار به سیستم قربانی، بدافزار مربوطه اقدام به نصب خود بر روی سیستم می کند، البته در مواردی بدافزار مدتی بعد از نفوذ در سیستم، صبر کرده و سپس اقدام به فعالیت خود می کند.(مدت خواب).

مرحله سوم: دستکاری تنظیمات سیستم

 

حذف نسخه های Shadow copy و یا system restore جهت عدم امکان بازگشت به وضعیت قبلی سیستم، از جمله فعالیت هایست که بد افزار برای ادامه فعالیت خود به آن احتیاج دارد.حتی در مواردی، بدافزار اقدام به غیر فعال نمودن تنظیمات امنیتی انجام گرفته توسط آنتی ویروس هم می شود.

 

مرحله چهارم: ارتباط با مرکز کنترل

 

بدافزار بعد از طی مراحل نفوذ، نصب و تغییر تنظیمات امنیتی سیستم، اقدام به برقراری تماس در فرصت مناسب با سیستم فرماندهی و مرکز کنترل خود که در یک سیستم دیگری(developer)  در فضای اینترنت قرار دارد می کند و از این طریق شماره منحصر به فردی برای دستگاه مربوطه اختصاص داده می شود.

 

مرحله پنجم: رمزگذاری

 

در این مرحله، باج افزار فعالیت اصلی خود را آغاز و با شناسایی فایلهای مورد نظر در سیستم قربانی که بطور معمول شامل کلیه فایل های متنی، تصویری، ویدئویی می شود، اقدام به رمزگذاری آنها می کند. در این مرحله بدافزار با شناسایی رسانه های ذخیره ساز متصل به سیستم از قبیل فلش و هارد اکسترنال، به فایل های داخل آنها هم رحم نکرده و عملیات رمزگذاری را بر روی آنها انجام می دهد.

 

مرحله ششم: طلب پول

 

مرحله نهایی بدافزار، اعلام هشدار و یا پیغامی به کاربر مربوطه بوده. این پیغام بطور معمول شامل موارد زیر می باشد:

توضیح کلی و مختصر بر اینکه سیستم مربوطه مورد هجوم بدافزاری قرار گرفته و فایلهای آن encrypt شده است.
اعلام مبلغ مورد نظر از جانب قربانی برای خروج فایلها از رمزگذاری
اعلام مهلت زمان برای پرداخت
هشدار حذف اطلاعات در صورت عدم پرداخت
نحوه ارتباط با هکر
مرحله هفتم: رمزگشایی

در این مرحله، developer و مرکز فرماندهی بدافزار ادعا می کند که در صورت پرداخت باج، اقدام به رمزگشایی فایلهای رمز شده می کند. شاید در برخی موارد حتی بعد از پرداخت مبلغ مربوطه اقدامی برای رمز گشایی صورت نگیرد که حتی اگر هم احتمال رمزگشایی صددرصد هم وجود داشته باشد، توصیه می گردد به دلیل جلوگیری با این باج افزارها و تشویق آنها به فعالیت خود، این کار انجام نگردد.

به طور کلی سه نوع باج افزار وجود دارد که به صورت زیر می باشد:

Scareware یا ترس افزار هم ساده ترین باج افزار است و به این صورت عمل می کند که کاربر فکر کند که سیستم اش ویروسی شده است و با نصب scareware می توانند ویروس را حذف کنند. وقتی که این بدافزار روی سیستم اجرا شد از طریق پیغام ها و یا پاپ آپ ها اعلام می کند که باید مبلغی پرداخت کنند و اجازه اجرای برنامه های دیگر را نمی دهد.

باج افزار lock screen viruses صفحه نمایش را قفل می کند و به هیچ طریق اجازه استفاده از کامپیوتر را نمی دهد. پس از شروع ویندوز یک پنجره به اندازه صفحه نمایشگر باز می شود و معمولا می گوید که از طرف اف بی آی یا وزارت دادگستری است و شما قانونی را نقض کردید و باید جریمه پرداخت کنید

باج افزار the really nasty stuff بدترین نوع نرم افزار رمزگذاری است مانند locky ، چون تا زمانی که شما مبلغی را پراخت نکنید فایل ها را قفل می کند. برای بازیابی اطلاعاتتان باید قبلا نسخه پشتیبان تهیه کرده باشید.

 

معروفترین باج افزار ها عبارتند از:

 

باج افزار AIDS

باج افزار AIDS به این صورت عمل می کند که خود را جایگزین فایل Autoexec.bat می کند و تعداد دفعات بوت شدن کامپیوتر را می شمارد وقتی که سیستم n بار بوت شد این باج افزار دایرکتورهای را پنهان می کند و فایل ها را رمزگذاری می کند. قربانی باید در مهلت زمانی تعیین شده (۹۰ روز) باج را پرداخت کند.

 

باج افزار روتون

با اجرای باج افزار روتون به کاربر پیغامی نشان داده می شود که به دلیل انجام کارهای غیرقانونی مثل استفاده از نرم افزارهای کرک شده سیستم شما قفل شده است و برای اینکه کاربر باور کند آدرس آی پی و عکس هایی که از وب کم گرفته شده است را به قربانی نشان می دهد و کاربر برای اینکه اطلاعاتش را بازیابی کند باید این جریمه یا باج را پرداخت کند.

 

باج افزار کریپتولاکر

باج افزار کریپتولاکر فایلهایی که یک پسوند خاص را دارند را با یک کلید عمومی ۲۰۴۸ رمزنگاری می کند و به کاربران ۳ روز مهلت می دهد تا باج را پرداخت کند در صورتی که شما باج را پرداخت نکنید کلید خصوصی این رمزنگاری را حذف می کند.

 

باج افزار WannaCry

باج افزار Wanna Decryptor تمامی فایل های موجود بر روی کامپیوتر کاربر را قفل (رمزنگاری) می کند و در ازای بازگردانی آنها تقاضای پرداخت باج می کند. در حال حاضر برای بازگردانی فایل ها راه دیگری جز پرداخت باج ۳۰۰ دلاری وجود ندارد.

 

Botnet

در میان انواع متعدی از نرم افزارهای مخرب ، بات نت ها گسترده ترین و جدی ترین تهدیدی است که امروزه به طور معمول در حملات سایبری رخ می دهد.بات نت ها مجموعه ای از رایانه های در خطر هستند که از راه دور به وسیله bot master تحت زیرساخت مشترک C&C کنترل می شوند. bot مخفف Robotاست که همچنین به آن زامبی هم گفته می شود. تفاوت اصلی بین بات نت با سایر انواع بد افزارها وجود زیر ساخت C&C است که به بات ها اجازه می دهد که دستورات و command ها را دریافت کنند .Bot master  باید مطمئن شود که ساختار C&C شان به اندازه کافی قوی است که هزاران بات توزیع شده در سراسر جهان را مدیریت کند و همچنین دربرابر هر گونه تلاش برای از بین بردن بات نت ها مقاوت کند. بات نت چیزی جز یک ابزار نیست و انگیزه های مختلفی برای استفاده از آنها وجود دارد. رایج ترین استفاده از بات نت انگیزه های جنایتکارانه مانند کسب درامد و برای اهداف خرابکارانه است. مهاجمان می توانند از طریق بات ها به وب سرورها دسترسی پیدا کنند و و جنایاتی از قبیل هک کردن وب سایت ها یا انتقال پول های دزدیده شده را انجام دهند که البته به نظر می رسد که که این فعالیت را آن سیستم آلوده انجام داده است.

برخی کاربردهای بات نت ها می توانند به صورت زیر دسته بندی شوند:

 

۱-  حملات DDOS

حمله ای روی سیستم کامپیوتر یا شبکه است که منجر به از دست دادن سرویس دهی به کاربران می شود که معمولا باعث از دست رفتن اتصال و سرویس های شبکه با مصرف پهنای باند شبکه قربانی یا ایجاد سربار روی منابع محاسباتی سیستم می شود. حملات DDOS تنها به وب سرورها محدود نمی شوند تقریبا هر سرویس قابل دسترسی روی اینترنت می تواند هدف چنین حمله ای باشد.

۲- Spamming

این رایج ترین و ساده ترین استفاده از بات نت است. کارشناسان تخمین زده اند که بیش از ۸۰ درصد spam ها توسط کامپیوتر های زامبی ارسال می شوند. بات نت ها که هزاران کامپیوتر را در بر می گیرند به spammer ها اجازه می دهند که میلیون ها پیام از سیستم های آلوده در بازه زمانی کوتاهی فرستاده شود.مزایایی که باتنت ها برای spammer ها ایجاد می کنند به شرح زیر است:

ادرس هایی که برای فرستادن spam استفاده می شود جزء لیست سیاه قرار می گیرد و mailهایی با این آدرس ها به طور خودکار توسط mail server مشخص خواهند شد اما این مشکل توسط بات نت ها حل شده است.

بات نت این امکان را برای spammer فراهم می کند تا آدرس های Email را از روی کامپیوتر آلوده برداشت کند. این آدرسها به SPAMMER ها فروخته شده یا توسط خود صاحبان بات نت استفاده می شوند.

۳- Sniffing traffic

بات نت می تواند برای کشف اطلاعات مهم و حساس روی سیستم آلوده استفاده شود .اگر سیستم بیش از یک بار آلوده شده باشد و بات نت های دیگری هم وجود داشته باشند،Packet sniffing اطلاعات کلیدی سایر بات ها را هم جمع آوری می کند.

۴- Key Logging

وقتی که سیستم آلوده شده از کانال های رمزگذاری(مانند Https و POP35) استفاده می کند ، sniffing  بسته ها روی سیستم کار بیهوده ای است تا زمانی که کلید مناسب رمزگشایی کشف شود. اما بات ها ویژگی هایی را برای این موقعیت ارائه می دهند و با کمک key logger حمله کننده می تواند به آسانی اطلاعات حساس را بازیابی کند.

۵- Spreading new malware

در اکثر موارد بات نت ها برای انتشار بات های جدید استفاده می شوند و این کار را به آسانی از طریق دانلود و اجرای فایل از طریق Http یا Ftp انجام می دهند.همچنین بات نت می توانند ویروسی را از طریق Email پخش کنند و بات نت باعث می شود که ویروس خیلی سریع انتشار پیدا کند و باعث آسیب بیشتر گردد.

۶-نصب افزودنی های تبلیغاتی مرورگر Installing advertisement add-ons and Browser helper objects

بات نت ها می توانند برای به دست آوردن سود های مالی استفاده شوند این با راه اندازی وب سایت جعلی و و تبلیغات روی آن انجام می شود.اپراتور این وب سایت با برخی از شرکت های hosting گفتگو می کند که به ازای کلیک روی تبلیغات پرداخت داشته باشند.با کمک بات نت این کلیک ها می تواند به صورت خودکار انجام شود به طوری که مستقیما چند هزار بات روی pop-upها کلیک کنند.این فرایند می تواند گسترش پیدا کند اگر بات ، Start page کامپیوتر آلوده را تصرف کند و هر زمان که قربانی از browser استفاده می کند کلیک ها اجرا می شود.

۷-سرقت هویت MASS identify theft

اغلب ترکیبی از مواردی که در بالا گفته شد می تواند برای سرقت هویت در مقیاس بزرگی استفاده شود. phishing mail که تظاهر به درستی می کنند از قربانیانشان می خواهند که به صورت آنلاین به سایت رفته و اطلاعات شخصی شان را ثبت کنند این Emailهای جعلی از طریق بات ها به وسیله روش های spammingشان تولید و فرستاده می شود.

۸- دسترسی به اینترنت ناشناس Anonymous internet Access

مهاجمان می توانند از طریق بات ها به وب سرورها دسترسی پیدا کنند و و جنایاتی از قبیل هک کردن وب سایت ها یا انتقال پول های دزدیده شده را نجام دهند که البته به نظر می رسد که که این فعالیت را آن سیستم آلوده انجام داده است.

 

 

ادامه ی مطلب را به زودی در مقاله ی بعدی منتشر خواهیم کرد….

تهیه شده توسط : مهیار ذوالفقاری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *