آشنایی با بدافزارهای فارغ از فایل (پارت دوم)

عملکرد بدافزار Poweliks چگونه است؟

Poweliks اولین بدافزار فارغ از فایلی است که اوت 2014 میلادی شناسایی شد. بدافزاری که ضمن آلوده‌سازی سامانه قربانیان به باج‌افزار، قادر است حمله کلاه‌برداری مبتنی بر کلیک را اجرا کند. (شکل 1) عملکرد بدافزار فوق در نوع خود جالب توجه است.  

شکل 1 – شیوه آلوده سازی یک سامانه با کیت بهره برداری Angler 

Poweliks فهرستی از کلیدواژه‌های پیش‌فرضی در اختیار دارد که برای تولید درخواست‌های تبلیغاتی استفاده می‌کند. به عبارت ساده‌تر، بدافزار از کلیدواژه‌های خود برای شبیه‌سازی حالتی استفاده می‌کند که کاربری روی یک تبلیغ کلیک می‌کند. در این حالت بدون آن‌که کاربر اطلاعی از این موضوع داشته باشد، بدافزار تبلیغی ایجاد کرده و خود روی تبلیغ کلیک می‌کند تا کاربر را به یک شبکه تبلیغاتی که مرتبط با بدافزار است متصل کند. در این مرحله بدافزار درخواستی برای دسترسی به یک آدرس اینترنتی که از طریق شبکه تبلیغاتی منتشر شده ارسال می‌کند و سپس هزینه‌ای برای دانلود تبلیغات دریافت می‌کند. برخی از این درخواست‌ها، صفحات وبی که حاوی بدافزار هستند را باز می‌کنند که حاوی اسکریپت‌ها یا کدهای مخربی هستند که باعث آلوده شدن سامانه قربانی به سایر بدافزارها می‌شوند. یکی از صفحات وبی که بدافزار فوق به آن مراجعه می‌کند سامانه قربانی را به تروجان Cryptowall آلوده می‌کند. در برخی موارد نیز تبلیغ مبتنی بر کلیک با گونه دیگری از تهدیدات سایبری موسوم به تبلیغ‌افزارها (malvertising) ترکیب می‌شود که بیشتر جنبه درآمدزایی برای هکرها دارد. در شرایطی که قربانیان تبلیغات را مشاهده نمی‌کنند، در پس‌زمینه از منابع سامانه‌های قربانیان همچون پهنای باند شبکه برای پردازش تبلیغات استفاده می‌شود که همین مسئله آلودگی سامانه‌های دیگر را به همراه آورده و زنجیره‌ای از آلودگی به بدافزارها یا باج‌افزارها را به وجود می‌آورد. 

کیت‌های بهره‌برداری رمز موفقیت بدافزارهای فارغ از فایل

موفقیت یک بدافزار فارغ از فایل به کیت بهره‌برداری بستگی دارد. کیت‌های بهره‌برداری، قطعه کد یا برنامه‌های کوچک نرم‌افزاری هستند که برای شناسایی آسیب‌پذیری‌ها، رخنه‌ها، ضعف‌ها یا سایر مشکلات برنامه‌های کاربردی و نفوذ به سامانه‌ها یا شبکه‌های کامپیوتری استفاده می‌شوند. به‌طور مثال، کیت بهره‌برداری Angler می‌تواند آسیب‌پذیری‌ها را شناسایی کرده و بدافزارهای فارغ از فایل را درون سامانه قربانیان تزریق کند. پایگاه‌های داده‌ای ضدویروس‌ها برای شناسایی کیت فوق دائما در حال به‌روزرسانی هستند، زیرا Angler توانایی بالایی در انطباق با محیط داشته و قادر است طیف گسترده‌ای از سامانه‌ها را به بدافزارهای بانکی یا باج‌افزارها آلوده کند. 

چه عواملی باعث افزایش رشد بدافزارهای فارغ از فایل شده‌اند؟

اولین عامل شیوع و گسترش، مدل جدیدی از بازاریابی زیرزمینی به نام کیت‌ بهره‌برداری در قالب سرویس (exploits kits-as-a-service) است. دیدگاه انسان‌ها با گذشت زمان تغییر پیدا می‌کند و هکرها نیز از این قاعده مستثنا نیستند. هکرها به جای حمله مستقیم به سامانه‌ها یک چنین کیت‌هایی را توسعه داده و در دارک‌وب به فروش می‌رسانند. عامل کلیدی دوم به نرخ تولید بسیار بالای بدافزارها مربوط می‌شود. شرکت pandasecurity در گزارشی اعلام کرده است، روزانه 230 هزار عدد بدافزار جدید یا به عبارت دقیق‌تر نمونه بدافزار تولید می‌شود که اجازه می‌دهند هکرها با کمترین زحمت ممکن بهترین گزینه را انتخاب کنند. Angler تنها کیت بهره‌برداری مرتبط با بدافزارها فارغ از فایل نیست. در دسامبر 2015 میلادی، شرکت‌های امنیتی موفق به شناسایی کمپین جدیدی شدند که یک تروجان فارغ از فایل را منتشر می‌کرد و از کیت بهره‌برداری Kovter استفاده می‌کرد. این بدافزار به واسطه دو خصلت پنهان‌کاری و ماندگاری موفق شده بود طیف بسیار گسترده‌ای از سامانه‌های کامپیوتری را به بدافزار CoreBOT که برای سرقت اطلاعات مالی از آن استفاده می‌شود آلوده کند. عملکرد جالب توجه بدافزارهای فارغ از فایل متخصصان امنیتی را شگفت‌زده کرده است، زیرا تا به امروز هیچ کارشناس امنیتی انتظار آن‌را نداشت که هکرها به دنبال راهی برای حفظ ماندگاری کدهای مخرب باشند. در گذشته، هکرها سعی می‌کردند در کمترین زمان ممکن بدافزار مقیم روی یک سامانه را پاک کنند تا ردپایی باقی نماند. اما اکنون هدف سرقت اطلاعات شخصی و اطلاعات مالی است. به همین دلیل شرکت‌هایی همچون پاندا و مک‌آفی پیش‌بینی کرده‌اند در سال‌های آتی با رشد چشم‌گیر بدافزارهای فارغ از فایل روبرو خواهیم بود. 

چگونه از سامانه‌های خود در برابر بدافزارها فارغ از فایل محافظت کنیم؟

در ابتدای کار شناسایی بدافزارهای فارغ از فایل کار چندان سختی نبود، زیرا مقیم شدن آن‌ها در حافظه اصلی یک سامانه باعث کندی عملکرد می‌شد و شناسایی به سادگی انجام می‌گرفت. اما اکنون این‌گونه نیست و بدافزارها بهینه‌سازی شده‌اند! برای در امان ماندن از خطرات بدافزارهای فارغ از فایل بهتر است به موارد زیر دقت کنید:

شماره 1، برنامه‌ها و سیستم‌عامل‌ها باید به‌روز باشند

بیشتر مردم به دلایلی همچون مصرف بیش از اندازه حافظه اصلی، از دست رفتن فضای خالی هارددیسک، کند شدن سرعت کامپیوتر یا عدم سازگاری به‌روزرسانی با برنامه‌های کاربردی تمایلی ندارند نرم‌افزارها و سیستم‌عامل خود را به‌روز کنند. به هوش باشید، به‌روزرسانی‌های امنیتی دیگر همچون دو دهه گذشته جنبه اختیاری ندارند. آن‌ها مهم و کلیدی هستند. به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها در 85 درصد موارد باعث خنثا شدن حملات می‌شوند. 

شماره 2، عدم مراجعه به صفحاتی که کیت بهره‌برداری درون آن‌ها قرار دارد

آلودگی زمانی که وارد سایتی می‌شوید که کیت بهره‌برداری درون آن قرار دارد، آغاز می‌شود. اگر یک بسته امنیتی خوب روی سامانه خود نصب کرده باشید، بسته امنیتی اجازه نخواهد داد صفحه مخرب درون مرورگر باز شود. در نتیجه کیت بهره‌برداری هیچ‌گونه شانسی برای دسترسی به برنامه‌های کاربردی نخواهد داشت. چگونه یک بسته امنیتی چنین موضوعی را تشخیص می‌دهد؟ هکرها برای زیرساخت‌های کسب‌وکار خود همچون وب‌سایت‌ها و سرورها هزینه‌های زیادی متحمل می‌شوند و به ندرت آن‌را تغییر می‌دهند، زیرا تغییر مستلزم زمان و هزینه زیادی است و در نتیجه بسته‌های امنیتی با اتکا بر رکوردهای داده‌‌ای بانک‌اطلاعاتی آنلاین خود قادر به تشخیص این مسئله هستند. 

شماره 3، بستن بار داده‌ ارسالی

زمانی که یک کیت استخراج‌کننده آسیب‌پذیری‌ها، موفق شود رخنه‌ای در سامانه شما شناسایی کند، به‌طور خودکار به سرور کنترل و فرمان‌دهی هکرها متصل شده و فرآیند دانلود بارداده‌ها و انتقال آن‌ها به حافظه اصلی را آغاز می‌کند. در چنین شرایطی اگر سامانه شما به خوبی محافظت شده باشد، بسته امنیتی به سرعت متوجه اتصال کیت بهره‌برداری به سرور مخرب خواهد شد و اجازه نخواهد داد بارداده مخرب دانلود شود. 

شماره 4، قطع دسترسی سرور مخرب به سامانه کامپیوتری

تصور کنید، بارداده‌ای توانسته است از آسیب‌پذیری روز صفر نرم‌افزاری که روی سامانه شما نصب شده است به سیستم وارد شود. یک بسته امنیتی خوب یک لایه امنیتی مضاعف پیرامون سامانه شما به وجود آورده و اجازه نمی‌دهد ارتباط میان کامپیوتر و سرور کنترل و فرمان‌دهی برقرار شود. سامانه‌های تشخیص نفوذ و پیشگیری از نفوذ دو ابزار قدرتمندی هستند که به خوبی چنین موارد مشکوکی را تشخیص می‌دهند. سامانه‌های امنیتی قدرتمند اجازه نمی‌دهند هکرها به راحتی داده‌های جمع‌آوری شده از کامپیوتر شما را به دست آورند و برای آلوده‌سازی سامانه از داده‌های جمع‌آوری شده استفاده کنند. دقت کنید، ضدویروس‌های رایج نمی‌توانند چنین سطح از امنیتی را ارائه کنند و باید به فکر راه‌حل‌های مکملی باشید که به آن‌ها اشاره (شماره … ماهنامه شبکه) شد. یک چنین سامانه‌هایی رایگان نیستند، اما ارائه یک مکانیزم امنیتی قدرتمند خرید آن‌ها را توجیه‌پذیر می‌کند .

پاسخ دهید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای اجباری مشخص شده اند *
شما می توانید از این تگ های HTML و ویژگی ها استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>