چگونه بدافزارهای گوشی‌های اندرویدی را پیدا کنیم؟

ضدویروس‌های اندرویدی می‌توانند بدافزارها را شناسایی کنند، اگر به هر دلیلی ضدویروسی روی گوشی خود نصب نکرده‌اید یکسری علایم هشدار‌دهنده وجود دارند که ممکن است در شناسایی بدافزارها به شما کمک کنند. 

تخلیه زودهنگام شارژ باتری سریع‌تر از حالت عادی

اگر از گوشی اندرویدی به شکل عادی استفاده می‌کنید و استفاده شما بیش از حد معمول نیست، اما شارژ باتری بدون دلیل سریع تخلیه می‌شود، ممکن است گوشی به بدافزاری آلوده شده باشد. در برخی موارد برنامه‌های مخرب به سرعت باتری دستگاه را مصرف می‌کنند. برای بررسی این مشکل باید به بخش تنظیمات گوشی بروید، گزینه Battery انتخاب کنید و برنامه‌هایی که استفاده سنگینی از باتری دستگاه دارند را بررسی کنید. اطمینان حاصل کنید برنامه‌های نشان داده شده در این بخش برنامه‌های واقعی باشند و تشابه اسمی وجود نداشته باشد. 

گرم شدن و کاهش عملکرد دستگاه

اگر تغییری در روند به‌کارگیری گوشی رخ نداده و استفاده شما شبیه به گذشته است، اما گوشی به سرعت گرم شده و عملکرد کندی دارد یا اجرای برنامه‌ها با مشکل روبرو می‌شود، ممکن است گوشی به بدافزاری آلوده شده باشد. برای واکاوی این مشکل باید میزان مصرف داده‌ها را بررسی کنید و ببینید چه برنامه‌هایی داده‌های بیشتری مصرف می‌کنند. به Access Settings و سپس Data بروید و تمام برنامه‌های کاربردی را بررسی کنید. اگر برنامه‌ای پیدا کردید که مصرف بیش از اندازه‌ای دارد آن‌را حذف کنید. 

نمایش مکرر تبلیغات به شکل غیر عادی و تصادفی

نمایش مکرر تبلیغات حتا زمانی که کار خاصی انجام نمی‌دهید، نشانه روشنی از آلودگی به یک آگهی‌افزار است. گوشی هوشمند نباید بدون دلیل تبلیغات را نشان دهد. هیچ‌گاه روی آگهی‌ها حتا آن‌هایی که وعده‌های مختلفی می‌دهند کلیک نکنید. 

نمایش پیام‌های کوتاه و تماس‌های ناشناخته

اگر پیام‌های کوتاه یا تماس‌های ناشناخته‌ای دریافت می‌کنید، ممکن است گوشی آلوده شده باشد. به‌طور مثال، ممکن است پیام عجیبی از مخاطبان خود دریافت کنید که شما را ترغیب می‌کنند روی یک پیوند مشکوک که درون پیامک قرار دارد کلیک کنید. در چنین شرایطی ممکن است بدافزاری گوشی مخاطب را آلوده کرده و چنین پیامی برای شما ارسال شده باشد. به‌طور مثال، باج‌افزار FileCoder از طریق پیام متنی کاربران را آلوده می‌کند. هیچ‌گاه به تماس‌ها یا پیام‌های ناشناخته پاسخ ندهید. 

نصب برنامه‌های ناشناس روی گوشی 

اگر برنامه‌های ناشناسی روی گوشی پیدا کردید که خودتان آن‌ها را نصب نکرده‌اید به سرعت آن‌ها را پاک کنید. برخی از بدافزارها شبیه به نمونه جعلی Google Updater سعی می‌کنند با تقلید عملکردهای یک برنامه واقعی با پنهان‌کاری کامل به گوشی کاربر وارد شوند. 

جست‌وجو برای برنامه‌های پنهان

برخی از برنامه‌های مخرب بدون نصب هیچ آیکونی روی گوشی کاربر نصب می‌شوند. برای پیدا کردن این برنامه‌ها باید به بخش تنظیمات گوشی بروید، گزینه Applications را انتخاب کنید و جست‌وجویی در ارتباط با برنامه‌های ناخواسته انجام دهید. برنامه‌های مشکوک پیدا شده در این بخش را به سرعت پاک کنید. 

چگونه مانع نصب بدافزارها روی گوشی اندرویدی شویم؟

اگر به برخی نکات امنیتی دقت کنیم، هکرها نمی‌توانند به راحتی گوشی اندرویدی ما را آلوده کنند. از جمله نکات امنیتی مهمی که باید به آن‌ها توجه داشته باشید به موارد زیر می‌توان اشاره کرد: 

1.گذرواژه گوشی را به شکل پین، الگو یا فاکتورهای زیستی تنظیم کنید
اولین نکته امنیتی که باید در ارتباط با هر دستگاه اندرویدی رعایت کنید، تعیین یک گذرواژه یا یک الگوی تصویری قدرتمند است. اگر گوشی از حس‌گرهای زیستی پشتیبانی می‌کند، بهتر است از اثرانگشت برای باز کردن قفل گوشی استفاده کنید. 

2. زمان خاموشی صفحه در صورت غیر فعال بودن را کمتر از 30 ثانیه تنظیم کنید
با این‌کار مطمئن می‌شوید اگر گوشی خود را در مکانی جا گذاشتید، به سرعت قفل شده و کسی به آن دسترسی نخواهد داشت.

3.  گوشی را روت نکنید
کاربران سعی می‌کنند برای نصب برنامه‌های کاربردی غیر رسمی به سراغ روت کردن (از قفل خارج کردن گوشی) گوشی بروند و خودشان به‌روزرسانی‌ها را روی سیستم‌عامل نصب کنند. متاسفانه این‌کار مشکلات امنیتی متعددی به همراه دارد، تنها در صورتی این‌کار را انجام دهید که متخصص چیره‌دستی هستید.

4. تنها از فروشگاه‌های معتبر برنامه‌های کاربردی را دریافت کنید
دانلود برنامه‌ها از فروشگاه‌های متفرقه و ناشناس خطر آلودگی را دوچندان می‌کند. گوگل از مکانیزم‌های امنیتی قدرتمندی برای ارزیابی برنامه‌ها استفاده می‌کند. زمانی که برنامه‌ای از فروشگاه غیررسمی دانلود شده و نصب می‌شود در حقیقت مکانیزم‌های امنیتی گوگل را دور می‌زند. 

5. برنامه‌های بدون استفاده را حذف کنید
کمی وقت صرف کرده و برنامه‌های بدون استفاده را پاک کنید. برنامه‌های بدون استفاده نه تنها رخنه‌های امنیتی به وجود می‌آورند، بلکه در بیشتر موارد با مصرف پهنای باند برای دریافت به‌روزرسانی‌های متعدد اتمام زودهنگام ترافیک اینترنتی را به همراه می‌آورند. 

6. مراقب نصب برنامه‌ها باشید
در برخی موارد کاربران از فروشگاه‌های ثالت اقدام به دانلود برنامه‌های اندرویدی می‌کنند، اما در این میان برخی از فروشگاه‌ها شیطنت می‌کنند. کاربر به دنبال نصب یک برنامه کاربردی است، اما فروشگاه لینک یک برنامه دیگر را ابتدا قرار می‌دهد و لینک برنامه اصلی را پس از لینک تبلیغی قرار می‌دهد. کاربر برنامه فرعی را نصب می‌کند و زمانی‌که متوجه می‌شود اشتباه کرده به سراغ دانلود و نصب برنامه اصلی می‌رود و متاسفانه برنامه فرعی را پاک نمی‌کند. 

7. به مجوزهای تخصیص داده شده دقت کنید
برخی از برنامه‌ها از کاربر درخواست می‌کنند به فهرست شماره‌ها، عکس‌ها و مخاطبان دسترسی داشته باشند، در حالی که عملکرد آن‌ها ارتباطی با این بخش‌ها ندارد. این مدل برنامه‌ها برای ردیابی فعالیت‌های کاربران ساخته شده‌اند، بهتر است به سراغ نصب چنین برنامه‌هایی نروید. 

8. سیستم‌عامل را به‌روزرسانی کنید
به‌روزرسانی سیستم‌عامل و برنامه‌های کاربردی حائز اهمیت است، زیرا به‌روزرسانی‌ها برای ارائه قابلیت‌های جدید و وصله کردن رخنه‌ها عرضه می‌شوند. 

9. اطلاعات گوشی را رمزنگاری کنید
رمزنگاری اطلاعات روی حافظه اصلی و کارت حافظه مانع از آن می‌شود تا اطلاعات شخصی به راحتی سرقت شوند. برای رمزنگاری باید به بخش Security گوشی بروید. دقت کنید فرآیند رمزنگاری و رمزگشایی باعث تخلیه سریع‌تر گوشی می‌شود. بهتر است زمانی‌که باتری گوشی شارژ است، این‌کار را انجام دهید. 

10. اخبار امنیتی را دنبال کنید
اخبار مرتبط با انتشار بدافزارهای امنیتی را بررسی کنید تا درباره شگردهای جدید هکرها و راهکارهای مقابله با آن‌ها اطلاعات کافی کسب کنید.

11. از یک ضدویروس خوب استفاده کنید
یک ضدویروس خوب از گوشی در برابر حملات هکری محافظت می‌کند. Thor Mobile Security یکی از گزینه‌های قدرتمند است که پیش از آلوده شدن گوشی، بدافزارها را شناسایی و حذف می‌کند. این ضدویروس آدرس‌های اینترنتی را پیش از باز شدن بررسی می‌کند و اگر مورد مشکوکی پیدا کند مانع باز شدن یک سایت می‌شود. 

چگونه بدافزارهای روی گوشی را پاک کنیم؟

پاک کردن بدافزارها وظیفه ضدویروس‌ها است، اما برخی موارد ممکن است خود مجبور به انجام این‌کار شوید. بدون شک، بهترین راهکار برای  حذف ویروس‌های گوشی اندرویدی، ریست فکتوری است، البته این‌کار تمامی اطلاعات روی گوشی و حتا اطلاعات شخصی را پاک می‌کند. در حالت کلی برای حذف بدافزارها از روی گوشی اندرویدی مراحل زیر را دنبال کنید:
1. گوشی را در وضعیت ایمن (safe mode) راه‌اندازی کنید. 
2. برنامه‌های مشکوک، بدون استفاده یا قدیمی را حذف کنید. 
3. ضدویروسی مطمئنی روی گوشی نصب کنید. Google Play Protect یک مکانیزم امنیتی قدرتمند است، اما هنوز هم کاستی‌هایی دارد. Google Play Protect در تیرماه سال جاری توسط آزمایشگاه AV Comparatives آزمایش شد و امتیاز 83.2 درصد و 28 تشخیص مثبت کاذب را کسب کرد. به همین دلیل بهتر است به فکر یک ضدویروس قدرتمند باشید. 

منبع:shabakeh-mag

پیشرفت‌های چند سال گذشته گوشی‌های همراه کیفیت زندگی ما را بهبود بخشیده، اما به همان نسبت مخاطرات امنیتی بالقوه‌ای را به وجود آورده است. بدافزارها می‌توانند هر سیستم‌عامل موبایلی را هدف قرار دهند، اما سهم اندروید بیشتر است، زیرا بیشتر مردم از گوشی‌های هوشمند اندرویدی استفاده می‌کنند. اخبار امنیتی حوزه فناوری‌اطلاعات نشان می‌دهند روزانه بدافزارهای مختلفی به سیستم‌عامل اندروید حمله می‌کنند. اگر کنجکاو هستید درباره مبدا بروز این حملات اطلاعاتی به‌دست آورید و بدانید چگونه باید از حریم خصوصی و دستگاه‌های اندرویدی خود محافظت کنید این مقاله اطلاعات جالبی در اختیارتان قرار می‌دهد.

آیا امکان نصب بدافزارها روی دستگاه‌های اندرویدی وجود دارد؟ 

برخی از کاربران معتقد هستند که تبلت‌های اندرویدی و گوشی‌های هوشمند آن‌ها در امنیت کامل قرار دارند. روزگاری که هکرها تنها به سراغ سیستم‌عامل‌های دسکتاپی می‌رفتند به پایان رسیده است. امروزه هکرها می‌توانند هر دستگاه هوشمندی از کامپیوترهای رومیزی و همراه گرفته تا تلویزیون‌ها و گوشی‌های هوشمند را قربانی حملات خود کنند. حتا گجت‌های واقعیت مجازی، ‌پهپادها و خودروهای خودران از گزند این حملات در امان نیستند. 

تاریخچه‌ای کوتاه از روند شکل‌گیری بدافزارهای اندرویدی

برای آن‌که بتوانیم شناخت درستی از خطرات امنیتی این حوزه به‌دست آوریم، ابتدا باید تاریخچه شکل‌گیری بدافزارهای اندرویدی را بررسی کنیم. گوگل در سال 2008 سیستم‌عامل اندروید را منتشر کرد، سیستم‌عاملی که امروزه 2.5 میلیارد دستگاه پذیرای آن هستند. در ابتدا هکرها علاقه چندانی به اندروید نداشتند، زیرا محبوبیت چندانی نداشت و بیشتر کاربران از کامپیوترهای ویندوزی استفاده می‌کردند. در آن روزگار هکرها روی سیستم‌عامل محبوب سیمبیان متمرکز بودند. به مرور زمان و تقریبا از سال 2010 میلادی که اندروید به سیستم‌عامل فراگیری تبدیل شد، بستری مناسب برای انتشار آلودگی‌ها به وجود آورد. منبع‌باز بودن این سیستم‌عامل در کنار فروشگاه‌های اندرویدی متفرقه‌ای که پدید آمدند، راه را برای ورود برنامه‌های مخرب به فروشگاه‌های رسمی اندروید هموار کردند. در سال 2010 میلادی اولین بدافزار اندرویدی به‌نام AndroidOS.DroidSMS.A شناسایی شد. بدافزار فوق یک برنامه کلاه‌برداری پیامکی بود که بدون اطلاع کاربر شماره تلفن همراه را در سرویس‌های پیام‌کوتاه ثبت‌نام می‌کرد. در اوایل ارائه این سرویس کاربران می‌توانستند نوع پیامکی که قرار است دریافت کنند (خبر، جوک، زنگ هفته و…) را انتخاب کرده و برای دریافت هر پیامک هزینه مربوطه را پرداخت کنند. زمانی‌که گوشی کاربر به بدافزار فوق آلوده می‌شد، به شکل خودکار به عضویت سرویس‌ها در می‌آمد و فرآیندهای تایید را پشت سر می‌گذاشت. کاربر تنها زمانی که قبض تلفن همراه خود را دریافت می‌کرد، مطلع می‌شد که عضو سرویس‌های دریافت پیام کوتاه شده است. در نیمه‌های سال 2010 میلادی بدافزار دیگری به‌نام بازی TapSnake شناسایی شد. بدافزاری که مکان موقعیت‌یاب جهانی دستگاه قربانی را از طریق پروتکل HTTP برای گوشی‌هایی که برنامه GPS Spy روی آن‌ها نصب شده بود ارسال می‌کرد. در همان سال بدافزار دیگری به‌نام DroidDream شناسایی شد. بدافزار به شکلی برنامه‌نویسی شده بود که تنها در بازه زمانی 11 شب تا 8 صبح که بیشتر کاربران خواب بوده و از دستگاه خود استفاده نمی‌کردند، فعال می‌شد. بدافزار DroidDream یک بات‌نت بود که دسترسی سطح ریشه به دستگاه‌های اندرویدی را به دست می‌آورد و اطلاعات منحصر به‌فرد گوشی‌ها را سرقت می‌کرد. بدافزار می‌توانست گونه‌های دیگری از برنامه‌های مخرب را بدون اطلاع کاربر دانلود کرده و به هکرها اجازه دهد کنترل دستگاه قربانی را به دست گیرند. 

بدافزارهای اندرویدی به تدریج فراگیر شدند

از سال 2010 تا به امروز هیچ‌گونه نشانه‌ای دال بر کاهش تعداد حملات بدافزاری به گوشی‌های اندرویدی مشاهده نشده است. بیشتر بدافزارهای اندرویدی و کیت‌های انتشار و ساخت بدافزارهای اندرویدی در وب‌تاریک منتشر شده و فروخته می‌شوند. به عبارت دقیق‌تر، هر کاربری می‌تواند به بازارهای وب‌تاریک وارد شده و برای آسیب‌رساندن به دیگران بدافزاری را خریداری کند. به‌طور مثال، جعبه ابزار MazelTov که نام دیگر آن سیستم دانلود APK است در سال 2015 میلادی تولید و انتشار یافت. هدف از طراحی این جعبه ابزار بارگذاری و انتشار بدافزارها روی دستگاه‌های اندرویدی است. کیت انتشار MazelTov به هکرها اجازه می‌دهد کنترل دستگاه‌های آلوده به دست گرفته، آمارهای مختلفی درباره میزان موفقیت بدافزارها به دست آورده و حتا میزان سود خود از آلوده‌سازی دستگاه‌ها را مشاهده کنند. این جعبه ابزار به ارزش 3 هزار دلار و به شکل بیت‌کوین به فروش می‌رسید. 

انواع بدافزارهای مطرح سیستم‌عامل اندروید

سیستم‌عامل اندروید می‌تواند به انواع مختلفی از بدافزارها آلوده شود، اما رایج‌ترین بدافزارهای این سیستم‌عامل به شرح زیر هستند:

1.تروجان‌ها

تروجان، بدافزاری است که ظاهری شبیه به برنامه‌های کاربردی و نرم‌افزارهای قانونی دارد و بی خطر به نظر می‌رسد. تروجان‌ها با هدف جمع‌آوری داده‌های حساس، فعالیت‌های جاسوسی، حذف فایل‌ها، دسترسی سطح ریشه به دستگاه، بارگیری سایر بدافزارها و… استفاده می‌شوند. 

2.روبایندگان کلیدها

کی‌لاگرها یا به عبارت دقیق‌تر ثبت‌کننده‌های کلیدها، بدافزارهایی هستند که کلید‌های فشرده شده در صفحه‌کلید مجازی کاربر را ضبط می‌کنند. به عبارت دقیق‌تر، هر کلیدی که روی صفحه‌کلید گوشی لمس می‌شود توسط این بدافزارها جمع‌آوری می‌شود. متاسفانه بدافزارهای فوق به راحتی از طریق وب قابل دریافت هستند و حتا کاربران عادی می‌توانند با یک جست‌وجوی ساده آن‌ها را پیدا می‌کنند. بدافزارهای فوق بیشتر با عناوینی شبیه به ابزارهای کنترل والدین تبلیغ می‌شوند و حتا برخی از طراحان نرم‌افزار با شگردهای خاص آن‌ها را تبلیغ می‌کنند و به فروش می‌رسانند. 

3. باج‌افزار

این مدل بدافزارها بیشتر روی کامپیوترها پیدا می‌شوند، اما در چند سال اخیر باج‌افزارهای مخصوص گوشی‌های اندرویدی نیز انتشار پیدا کرده‌اند. بیشتر باج‌افزارهای اندرویدی فایل‌های روی گوشی‌ها را رمزنگاری می‌کنند، اما برخی از آن‌‌ها توانایی قفل کردن صفحه‌نمایش گوشی را دارند. در این حالت تنها یک پیام روی گوشی کاربر نشان داده می‌شود که برای رمزگشایی باید مبلغ باج مربوطه را به شکل بیت‌کوین پرداخت کند. در شکل 2 نمونه‌ای از یک حمله باج‌افزاری را مشاهده می‌کنید که مالکان گوشی‌های هوشمندی که زبان دستگاه آن‌ها روسی است را هدف قرار داده است. این پیام به کاربر اطلاع می‌دهد باید مبلغ 500 روبل را پرداخت کنند و اگر باج درخواست شده پرداخت نشود، محتوای خصوصی روی گوشی را برای مخاطبان قربانی ارسال می‌کند. 

4. جاسوس‌افزار 

جاسوس‌افزار گونه دیگری از بدافزارها است که برای استراق سمع از آن استفاده می‌شود. اگر کاربر پلتفرم واتس‌آپ هستید به احتمال زیاد درباره حمله جاسو‌س‌افزاری در واتس‌آپ مطلع هستید. حمله‌ای که از یک آسیب‌پذیری در این برنامه سوء استفاده می‌کرد. هکرها از جاسوس‌افزارها برای دسترسی به اطلاعات درون گوشی‌های هوشمند شبیه به فهرست تماس‌ها، پیام‌ها و اطلاعات حساس استفاده می‌کنند و حتا کنترل میکروفون و دوربین گوشی کاربر را به دست می‌گیرند. 

5. آگهی‌افزار

اگر زمانی‌که در حال وب‌گردی هستید یا از یک برنامه کاربردی استفاده می‌کنید، تبلیغات مزاحمی روی گوشی خود به شکل تمام صفحه مشاهده می‌کنید، به احتمال زیاد گوشی شما به یک آگهی‌افزار آلوده شده است.

مهم‌ترین کمپین‌های بدافزاری اندرویدی شناسایی شده در سال 2019

هر ساله کمپین‌های بدافزاری مهمی در ارتباط با سیستم‌عامل اندروید شناسایی می‌شوند که موارد زیر جزء تاثیرگذارترین کمپین‌های 9 ماهه اخیر هستند. 

1.Android/Filecoder.C

باج‌افزار FileCoder که سیستم‌عامل اندروید 5.1 به بالا را آلوده می‌کند از طریق پیام‌های متنی که لینک مخربی درون آن‌ها قرار دارد انتشار پیدا می‌کند. پیام‌ها سعی می‌کنند کاربر را متقاعد سازند تا یک برنامه کاربردی را برای شبیه‌سازی تصاویر دانلود کند. زمانی‌که برنامه بارگیری و نصب شد، تمامی فایل‌های روی گوشی رمزنگاری شده و قربانی برای دستیابی دوباره به فایل‌ها باید مبلغ 94 تا 188 دلار را پرداخت کند. 

2. SimBad

‌کمپین فوق در فروردین‌ماه 1398 شناسایی شد و موفق شد 150 میلیون کاربر را قربانی کند. SimBad آگهی‌افزاری است که بنابر اعلام گوگل در 2019 برنامه کاربردی اندرویدی در فروشگاه رسمی گوگل شناسایی شده است. بدافزار فوق در قالب یک کیت تبلیغاتی به‌نام RXDrioder کار می‌کند و به هکرها اجازه می‌دهد تبلیغات هدفمند و مشخصی به کاربران نشان دهند. بیشتر بازی‌های سبک تیراندازی و مسابقه به آگهی‌افزار فوق آلوده بودند. آگهی‌افزار برای آن‌که شناسایی نشود، آیکون‌های برنامه‌ها را پنهان می‌کرد تا کاربر نتواند به راحتی برنامه‌ها را پاک کند. آگهی‌افزار فوق قادر بود تا آدرس اینترنتی خاصی را درون مرورگر کاربر باز کند تا آگهی‌های بیشتری نشان داده شود. 

3. Agent Smith

در تیرماه سال جاری، کمپین بدافزاری دیگری به‌نام مامور اسمیت شناسایی شد. این آگهی‌افزار با گذر از سد مکانیزم‌های امنیتی موفق شد 25 میلیون دستگاه اندرویدی را آلوده کند. Agent Smith آگهی‌های مختلفی را به شکل تمام صفحه به کاربران نشان می‌داد و به ازای هر تبلیغی که کاربر مشاهده می‌کرد مبلغی را عاید هکرها می‌کرد. آگهی‌افزار می‌توانست شبکه‌های اجتماعی شبیه به واتس‌آپ را شناسایی کرده، بخشی از کدهای آن‌ها را رونویسی کرده و مانع به‌روزرسانی‌های آن‌ها شود. بدافزار داخل برنامه‌های کاربردی خاصی پنهان می‌شد و پس از نصب روی گوشی قربانی عملکرد برنامه‌های کاربردی مطرح همچون Google Updater را تقلید و روند جایگزینی کدها را آغاز می‌کرد. بدافزار فوق در 9 فروشگاه معتبر اندرویدی شناسایی شد. توسعه‌دهنده این بدافزار موفق شده بود 11 برنامه کاربردی با کدهای یکسان را درون فروشگاه پلی‌استور منتشر کند. 

4. BianLian

BianLian یک تروجان بانکی است که نسخه اولیه آن سال گذشته شناسایی شد. نسخه اولیه با عنوان برنامه‌هایی همچون محاسبه‌گر ارز، تخفیف‌یاب، پاک‌کننده دستگاه از برنامه‌های مزاحم و….. کار می‌کرد. بدافزار فوق پس از اخذ مجوز از کاربر، سرویس‌های کلیدی دستگاه قربانی را ویرایش می‌کرد و در قالب یک بدافزار روباینده کلیدها به کار خود ادامه می‌داد تا اطلاعات مربوط به کارت‌های بانکی را سرقت کند. این برنامه عملکرد کاملا عادی داشت و در صدر برنامه‌های محبوب فروشگاه گوگل قرار گرفته بود. در تیرماه نسخه جدیدی از این بدافزار به‌نام BianLian شناسایی شد. نسخه جدید می‌تواند از صفحه‌نمایش کاربر عکس گرفته و اطلاعات وارد شده که شامل گذرواژه‌ها، نام کاربری و شماره‌ کارت‌های اعتباری است را به شکل تصویری برای هکر ارسال کند. 

5. Monokle

Monokle بدافزاری در گروه جاسوس‌افزارها است که مردادماه شناسایی شد. این جاسوس‌افزار از سال 2016 تا به امروز فعال بوده و در برنامه‌های کاربردی جعلی که عملکردی شبیه به برنامه‌های محبوب اسکایپ، سیگنال و Evernote داشتند خود را پنهان می‌کرد. جاسوس‌افزار گذرواژه‌های کاربران را بازیابی می‌کرد و گوشی کاربر را به یک دستگاه شنود تبدیل می‌کرد. ضبط تماس‌ها و شنود از طریق میکروفون از دیگر فعالیت‌های مخرب این بدافزار هستند.

6. (MobonoGram (Android.Fakeyouwon

Mobonogram برنامه مخربی است که کدهای منبع باز برنامه تلگرام را استفاده می‌کرد. این برنامه کاربران کشورهایی که دسترسی به تلگرام در آن کشورها امکان‌پذیر نیست را هدف قرار می‌داد. بدافزار فوق می‌توانست هر زمان دستگاه راه‌اندازی شده یا پس از دریافت به‌روزرسانی‌ها خودش را اجرا کند. درون کدهای این برنامه ماژول‌هایی برای دسترسی به سرورهای کنترل و فرمان‌دهی قرار داشت تا آدرس‌های اینترنتی مخرب را به دست آورد. اجرای کدهای مخرب جاوااسکریپت، پنهان‌سازی منبع درخواست‌ها، کلاه‌برداری کلیکی، باز کردن وب‌سایت‌های مخرب، تخلیه سریع باتری گوش و کرش کردن گوشی بخشی از فعالیت‌های این برنامه بودند. از دی‌ماه 1397 تا خرداماه 1398 پژوهشگران 1235 آلودگی مرتبط با خانواده این بدافزار را شناسایی کردند. قبل از حذف این برنامه از فروشگاه گوگل، Mobonogram دست‌کم 5 به‌روزرسانی را منتشر کرد. لازم به توضیح است، برنامه مخرب دیگری توسط توسعه‌دهندگان این برنامه به‌نام Whatsgram طراحی و منتشر شده است. 

منبع:shabakeh-mag

اگر تصور می‌کنید ۲۰۱۹، سال اوج گرفتن حملات امنیتی، فیشینگ و بدافزارها بود، بهتر است کمی صبر کنید تا سال 2020 را ببینید. انجمن امنیتی اطلاعات (ISF) سرنام (Information Security Forum) سازمانی بین‌المللی است که بیش از ده هزار کارشناس برجسته امنیتی عضو آن هستند. این سازمان در همایش اخیر خود اعلام کرد با آغاز سال 2020 میلادی شاهد شکل‌گیری روند جدیدی از چالش‌های امنیتی هستیم که هر یک به تنها‌یی می‌توانند یک سازمان بزرگ را به ورطه نابودی بکشند. کارشناسان امنیتی پیش‌بینی می‌کنند بزرگ‌ترین تهدیدی که سال آینده دنیای فناوری را با مشکل جدی روبرو می‌کند کلاه‌برداری فیشینگ است که با هدف سرقت اطلاعات شخصی و مالی انجام می‌شوند.

در سال ۲۰۲۰، سازمان‌ها نیازمند بازنگری در زیرساخت‌های امنیتی خود هستند، زیرا حملات شکل خطرناک‌تر و پیچیده‌تری خواهند داشت. دنیای فناوری‌اطلاعات از جانب انواع مختلفی از حملات تهدید می‌شود، اما هفت بردار زیر ظرفیت بالایی برای آسیب رساندن به شرکت‌ها و کاربران عادی را دارند:

  • کلاه‌برداری‌های فیشینگ/مهندسی اجتماعی که هدفشان تنها حساب‌های بانکی نیست.
  • تکامل مستمر حملات هکری در قالب سرویس یا به عبارت دقیق‌تر پیاده‌سازی حملات هکری در ازای دریافت پول (crime-as-a-service).
  •  تهدیدات مدیریت نشده حوزه اینترنت اشیا (unmanaged IoT risk).
  •  پیچیده‌تر شدن مقررات (complexity of regulation).
  • زنجیره تامین (supply chain).
  •  برهم خوردن توازن میان انتظارات و توان امنیتی سازمان‌ها (mismatch between Board expectation and Security capability).
  •  باج‌افزارهای سفارشی و کیت‌های آماده استفاده.

اولین تهدید، حملات فیشینگ / مهندسی اجتماعی

در سال 2019 میلادی، سازمان‌ها، شرکت‌های خصوصی و نهادهای دولتی در کشورهای مختلف قربانی کلاه‌برداری فیشینگ شدند. موسسه Small Business Trends گزارش کرد در سال 2019 نسبت ایمیل‌های فیشینگ به ایمیل‌های عادی 1 به 99 بوده و در برخی موارد نیمی از ایمیل‌های ارسال شده برای کارمندی در یک سازمان بزرگ در یک هفته کاری (تقریبا 4.8 ایمیل) ایمیل فیشینگ بوده‌اند. حال تصور کنید چه تعداد ایمیل در یک روز در سراسر جهان ارسال می‌شوند. سایتInc.com  تخمین زده که روزانه بیش از 269 میلیارد ایمیل در سراسر جهان ارسال می‌شود که نزدیک به یک سوم یا به عبارت دقیق‌تر 30% از آن‌ها ایمیل‌های فیشینگ هستند. حملات فیشینگ نوعی حمله مهندسی اجتماعی هستند که حمله‌کننده یک ایمیل، متن یا وب‌سایت تقلبی ایجاد می‌کند تا قربانی را با اطلاعات حساس جعلی فریب دهد. این اطلاعات می‌توانند مشخصات کارت‌های اعتباری، گذرواژه‌هایی که برای ورود به حساب‌های کاربری استفاده می‌شوند، جزییات اظهارنامه‌های مالی و سایر اطلاعات به ظاهر واقعی و حساس باشند. در میان تمامی تهدیدهای موجود در دنیای سایبری، کلاه‌برداری‌ فیشینگ جزء خطرناک‌ترین حملات است، زیرا تنها یک لغزش کوتاه از سوی کارمند یک سازمان کافی است تا راه ورود هکرها و بدافزارها به یک سازمان هموار شود. در نمونه‌های جدی‌تر هکرها ایمیل‌های فیشینگ را برای کارمندان رده بالای یک سازمان ارسال می‌کنند و سعی می‌کنند آن‌ها را فریب دهند تا مجوزهای حساس را به دست آورند. مجوزهایی که ممکن است برای خراب کردن زیرساخت‌های یک کسب‌وکار یا خراب کردن اطلاعات پایگاه‌های داده‌ استفاده شوند. به دلیل این‌که کلاه‌بردارهای فیشینگ هزینه چندانی ندارند، کارآمد هستند، به سادگی اجرا می‌شوند و در صورت موفقیت سود کلانی عاید هکرها می‌کنند انتظار می‌رود در سال 2020 شاهد شدت گرفتن این حملات باشیم. 

دومین تهدید، حوزه اینترنت اشیا 

سازمان‌ها به شکل فزاینده‌ای در حال استفاده از دستگاه‌های اینترنت اشیا هستند، اما اکثر تجهیزات غیر ایمن هستند. تجهیزات اینترنت اشیا از دو ناحیه مهم با تهدید جدی امنیتی روبرو هستند. اولین تهدید از جانب دستگاه‌های هوشمند خانگی است. بدون اغراق باید بگوییم که برخی از تولیدکنندگان فعال در زمینه ساخت تجهیزات اینترنت اشیا خانگی توجه چندانی به مبحث امنیت ندارند. دستگاه‌هایی که امکان تغییر گذرواژه پیش‌فرض روی تعدادی از آن‌ها وجود ندارد و مصرف‌کنندگان بدون توجه به این موضوع از آن‌ها استفاده می‌کنند. به‌طور مثال، دوربین‌های مداربسته‌ای که ویژه نظارت بر کودکان طراحی شده را تصور کنید که ممکن است از سوی مجرمان سایبری هک شود. دومین تهدید در ارتباط با زیرساخت‌های حیاتی است که دستگاه‌های اینترنت اشیا بر مبنای آن‌ها کار می‌کنند، اما فاقد شفافیت لازم هستند. امروزه بسیاری از کارخانه‌ها و صنایع از دستگاه‌ها و مولفه‌های توکار (Embeded) استفاده می‌کنند که فاقد امنیت کافی هستند. بیشتر تولیدکنندگان، محصولات را بر اساس اطلاعات خاص خود طراحی می‌کند که همین مسئله باعث شده تا سطح آگاهی شرکت‌ها در ارتباط با رخنه‌های امنیتی کاهش پیدا کند. موسسه FireEye در گزارش سالانه خود چالش‌های امنیتی پیش ‌روی اینترنت اشیا را این‌گونه توصیف کرد: «Reaper جدیدترین بات‌نت حوزه اینترنت اشیا، بدافزاری مخرب است که می‌تواند آسیب‌پذیری‌های دستگاه‌های اینترنت اشیا را شناسایی کند و از آن‌ها برای پیاده‌سازی انواع مختلفی از حملات هکری بهره‌برداری کند. در چنین شرایطی میلیون‌ها دستگاه اینترنت اشیا برای انجام یک حمله بزرگ در مقیاس کلان همچون حمله منع سرویس انکار شده (DDoS) که باعث اختلال در عملکرد وب‌سایت‌ها، بازی‌های آنلاین و خدمات اینترنت می‌شوند به کار گرفته می‌شوند. یک بردار حمله اینترنت اشیا نوع خاصی از حملات سایبری است که از دستگاه‌های هوشمند متصل به اینترنت همچون بلندگوهای وای‌فای، دستیاران صوتی، ساعت‌های هوشمند و هر نوع وسیله هوشمندی که قابلیت اتصال به اینترنت را دارد استفاده می‌کند تا ضربه مهلکی به یک شبکه وارد کند.» عدم شفافیت در اکوسیستم اینترنت اشیا به سرعت در حال فرا‌گیر شدن است. مشکل دیگری که پیرامون تجهیزات اینترنت اشیا قرار دارد نشتی اطلاعات است. هنوز قانون جامع و کاملی تصویب نشده تا تولیدکنندگان را مقید کند بر مبنای الگوی خاصی اقدام به جمع‌آوری اطلاعاتی کنند که توسط حس‌گرها جمع‌آوری می‌شود. به همین دلیل هر تولیدکننده‌ای ممکن است بر مبنای دیدگاه خاص خود اقدام به جمع‌آوری اطلاعات از مشتریانش ‌کند. چنین اقدامی یک شکاف امنیتی در زیرساخت‌های یک شبکه به وجود می‌آورد. تهدید مهم دیگری که باید به آن رسیدگی شود در ارتباط با سامانه‌های کنترل صنعتی است که ممکن است باعث مرگ کارگران یا نقص عضو آن‌ها شود. چگونه می‌توانیم به شکلی ایمن از دستگاه‌های کنترل صنعتی اینترنت اشیا استفاده کنیم در حالی که به درستی نمی‌دانیم این دستگاه‌ها چگونه کار می‌کنند؟ از دید تولیدکنندگان تنها دانستن این موضوع که الگوی مصرف شما چگونه است برای ساخت دستگاه‌ها کافی است، در حالی که ممکن است با دستگاهی کار کنید که در زمان اتصال به اینترنت و زمانی که کارخانه تعطیل است ناگهان شروع به کار کند.

سومین تهدید، اعمال مجرمانه در قالب سرویس

سال گذشته، انجمن امنیتی اطلاعات (ISF) پیش‌بینی کرده بود اعمال مجرمانه در قالب سرویس (CaaS) سرنام Crimeware-as-a-Service  فراگیر می‌شوند و سندیکاهای جنایتکاران بر مبنای سلسله مراتبی پیچیده با یکدیگر مشارکت و همکاری خواهند کرد، مشابه کاری که سازمان‌های بزرگ بخش خصوصی انجام می‌دهند. این انجمن در سال جاری گفت: «پیش‌بینی سال گذشته در سال 2018 به واقعیت تبدیل شد. در سال 2018 شاهد افزایش چشم‌گیر جرایم اینترنتی بودیم. رویکردی که در آن هکرها از مشتریان خود مبلغی دریافت می‌کردند تا کاری همچون یک حمله هکری انجام دهند. پیش‌بینی می‌کنیم روند یاد شده در سال 2020 ادامه پیدا کند و شاهد ظهور سازمان‌های مجرمانه بیشتری باشیم. سازمان‌هایی که حیطه کاری آن‌ها در مقیاس جهانی است. الگوی CaaS در سال 2020 چه تفاوتی با سال 2019 خواهد داشت؟ در سال 2019 هکرهای نیمه‌حرفه‌ای و آماتور بدون دانش فنی زیاد ابزارها و سرویس‌های موردنیاز برای پیاده‌سازی حملات را خریداری می‌کردند. هکرهای نیمه‌حرفه‌ای و آماتور نمی‌توانند بدون تهیه ابزارهای هکری هیچ حمله‌ای را پیاده‌سازی کنند، اما هکرها از رویکردهای سنتی خود که تنها هدف قرار دادن سازمان‌های بزرگ است به تدریج دور می‌شوند و به سراغ سرقت مالکیت معنوی و بانک‌های بزرگ می‌روند. اکنون بدافزارهای استخراج‌کننده رمزارزها یکی از محبوب‌ترین گونه‌های بدافزاری هستند.

چهارمین تهدید، زنجیره تامین 

چند سالی است ISF درباره آسیب‌پذیری زنجیره تامین هشدار می‌دهد و اعلام می‌دارد حجم بالایی از اطلاعات ارزشمند و حساس با تامین‌کنندگان به‌اشتراک قرار می‌گیرد. زمانی‌که این اطلاعات به‌ا‌شتراک قرار می‌گیرد، نظارت و کنترل مستقیم روی اطلاعات از میان می‌رود و خطر فاش شدن اطلاعات مربوط به اعتبارنامه‌ها زیاد می‌شود و در نهایت یکپارچگی و محرمانگی اطلاعات از میان خواهد رفت. مهم نیست حوزه‌ کاری شما چیست، تمامی کسب‌وکارهای کوچک و بزرگ زنجیره تامینی در کسب‌وکار خود دارند. چالش‌ بزرگی که پیش‌رو داریم این است که چگونه باید متوجه شویم اطلاعات ما در چرخه تولید یک محصول به چه مکان‌هایی انتقال پیدا می‌کند و چگونه می‌توانیم یکپارچگی اطلاعات را حفظ کنیم؟ برای حل این مشکل باید آسیب‌پذیرترین نقاط زنجیره تامین را به شکل پیوسته بررسی کنیم تا بتوانیم مشکل نشتی اطلاعات را شناسایی کنیم. سازمان‌ها باید به شکل جدی به مبحث مدیریت ریسک اطلاعات در زنجیره تامین دقت کنند. 

پنجمین تهدید، پیچیدگی بیش از اندازه مقررات

هیچ چیز بدتر از آن نیست که نظارت مستمر با پیچیدگی زیاد همراه باشد. در شرایطی که پیچیدگی‌ها با هدف بهبود امنیت به وجود می‌آیند، اما پیچیدگی بیش از اندازه باعث می‌شود تمرکز کارشناسان بر منابع اطلاعاتی کمتر شود و در عمل نتوانند در شرایط بحرانی تصمیمات درستی اتخاذ کنند. به‌طور مثال، مقررات حفاظت از اطلاعات عمومی (GDPR) سرنام General Data Protection Regulation با هدف محافظت از اطلاعات عمومی کاربران به تصویب رسید. قانون فوق لایه پیچیده دیگری به بخش مدیریت بحران دارایی‌های سازمانی اضافه کرد که به اعتقاد کارشناسان امنیتی به جای آن‌که کمک کننده باشد تنها همه چیز را پیچیده‌تر می‌کند. این مشکل تنها در ارتباط با انطباق نیست. قانون یاد شده به کاربران کمک می‌کند در هر زمان و مکانی بتوانند وضعیت داده‌های شخصی خود را بررسی کنند و مدیریت دقیق‌تری بر اطلاعات شخصی اعمال کنند، اما در عمل شاهد هستیم که برخی از سهام‌داران سازمان‌ها هنوز به درستی نمی‌دانند کارکرد دقیق این قانون چیست. هرچه مقررات پیچیده‌تری تصویب شوند فرآیند نظارت سخت‌تر می‌شود و کار دستگاه‌های قضایی در این زمینه دشوارتر می‌شود. این قوانین به ویژه در ارتباط با شرکت‌های بین‌المللی و فراملیتی که حوزه کاری آن‌ها در مقیاس جهانی است باعث می‌شود مسئولیت بیشتری متوجه آن‌ها شود.

ششمین تهدید، عدم توازن میان انتظارات مدیران و سطح توانایی‌ دپارتمان‌های امنیتی

در حالی که مدیران دپارتمان‌های امنیت و فناوری‌اطلاعات در ارتباط با بحث امنیت نگران هستند و هر زمان حمله‌ای رخ دهد نگاه‌ها به سمت آن‌ها نشانه می‌رود، با این حال، مدیران امنیتی در برخی از شرکت‌ها به درستی نمی‌دانند تیم امنیتی تحت سرپرستی آن‌ها دقیقا باید چه کاری انجام دهد یا بدتر آن‌که تیم قادر به انجام چه کارهایی است. اغلب شرکت‌ها درباره امنیت زنجیره تامین اطلاع کافی ندارند و همین موضوع باعث شده تا کسب‌وکارهای مرتبط با اینترنت به راحتی تهدید شوند. متاسفانه هکرها در این زمینه یک گام جلوتر هستند و به خوبی می‌دانند زمانی که آلودگی در سطح زنجیره تامین به وجود آید فرآیند شناسایی مبدا آلودگی مشکل است و این شرکت اصلی است که مقصر شناخته می‌شود. بهترین راهکار برای حل مشکل فوق این است که کارگروه امنیتی به جای آن‌که در قالب یک مجموعه مجزا کار کند به شکل ادغام شده و یکپارچه با دیگر واحدها کار کند. به عبارت دقیق‌تر، طراحی چارت سازمانی باید به گونه‌ای باشد که عملا موجودیتی به نام گروه‌های امنیتی وجود نداشته باشد و امنیت در همه لایه‌های سازمانی گنجانده شده باشد و دپارتمان امنیتی بر عملکرد این کارگروها نظارت کند. به اعتقاد کارشناسان امنیتی عدم شناخت این عوامل باعث می‌شود سال آینده میلادی شاهد روند روبه‌رشد نفوذها باشیم، به‌طوری‌که دورنمای امنیت به جای آن‌که بهتر شود متاسفانه بدتر خواهد شد. 

هفتمین تهدید، باج‌افزارها 

حملات باج‌افزاری سال گذشته میلادی روند کاهشی داشته و دست‌کم کاربران خانگی کمتر در معرض این حملات قرار گرفته‌اند. سایت ITPro می‌گوید: «میزان کشف حملات باج‌افزاری در مشاغل مختلف از رقم 2.8 میلیون در سه ماهه اول سال 2018 به رقم 9.5 میلیون در سه ماهه اول سال 2019 افزایش یافته که تقریبا یک رشد 34٪ در تشخیص‌ این حملات را نشان می‌دهد. به بیان‌ دیگر مکانیزم‌های دفاعی شرکت‌ها به خوبی توانستند این حملات را شناسایی کنند و مانع پیاده‌سازی موفقیت‌آمیز آن‌ها شوند.» یکی از دلایلی که باعث شده تا مشاغل بیشتر از شهروندان عادی هدف هکرها قرار گیرند، انگیزه مالی است. سازمان‌ها در مواجه شدن با یک حمله باج‌افزاری دلایل بیشتری دارند تا باج مربوطه را پرداخت کنند. دلیل دیگری که سایت ITPro به آن اشاره می‌کند، سقوط قیمت بیت‌کوین است که باعث شده حملات معدن‌کاوی با هدف استخراج رمزارزها شدت پیدا کند، زیرا این حملات سود بیشتری عاید افراد می‌کنند و دردسر کمتری دارند. به همین دلیل مجرمان روی بردارهای مختلفی از این حملات متمرکز می‌شوند. با این حال، هکرها در سال 2020 سعی می‌کنند تغییراتی در حملات باج‌افزاری به وجود آورند تا یکبار دیگر حملات باج‌افزاری به یک منبع پرسود تبدیل شوند.

عملکرد بدافزار Poweliks چگونه است؟

Poweliks اولین بدافزار فارغ از فایلی است که اوت 2014 میلادی شناسایی شد. بدافزاری که ضمن آلوده‌سازی سامانه قربانیان به باج‌افزار، قادر است حمله کلاه‌برداری مبتنی بر کلیک را اجرا کند. (شکل 1) عملکرد بدافزار فوق در نوع خود جالب توجه است.  

شکل 1 – شیوه آلوده سازی یک سامانه با کیت بهره برداری Angler 

Poweliks فهرستی از کلیدواژه‌های پیش‌فرضی در اختیار دارد که برای تولید درخواست‌های تبلیغاتی استفاده می‌کند. به عبارت ساده‌تر، بدافزار از کلیدواژه‌های خود برای شبیه‌سازی حالتی استفاده می‌کند که کاربری روی یک تبلیغ کلیک می‌کند. در این حالت بدون آن‌که کاربر اطلاعی از این موضوع داشته باشد، بدافزار تبلیغی ایجاد کرده و خود روی تبلیغ کلیک می‌کند تا کاربر را به یک شبکه تبلیغاتی که مرتبط با بدافزار است متصل کند. در این مرحله بدافزار درخواستی برای دسترسی به یک آدرس اینترنتی که از طریق شبکه تبلیغاتی منتشر شده ارسال می‌کند و سپس هزینه‌ای برای دانلود تبلیغات دریافت می‌کند. برخی از این درخواست‌ها، صفحات وبی که حاوی بدافزار هستند را باز می‌کنند که حاوی اسکریپت‌ها یا کدهای مخربی هستند که باعث آلوده شدن سامانه قربانی به سایر بدافزارها می‌شوند. یکی از صفحات وبی که بدافزار فوق به آن مراجعه می‌کند سامانه قربانی را به تروجان Cryptowall آلوده می‌کند. در برخی موارد نیز تبلیغ مبتنی بر کلیک با گونه دیگری از تهدیدات سایبری موسوم به تبلیغ‌افزارها (malvertising) ترکیب می‌شود که بیشتر جنبه درآمدزایی برای هکرها دارد. در شرایطی که قربانیان تبلیغات را مشاهده نمی‌کنند، در پس‌زمینه از منابع سامانه‌های قربانیان همچون پهنای باند شبکه برای پردازش تبلیغات استفاده می‌شود که همین مسئله آلودگی سامانه‌های دیگر را به همراه آورده و زنجیره‌ای از آلودگی به بدافزارها یا باج‌افزارها را به وجود می‌آورد. 

کیت‌های بهره‌برداری رمز موفقیت بدافزارهای فارغ از فایل

موفقیت یک بدافزار فارغ از فایل به کیت بهره‌برداری بستگی دارد. کیت‌های بهره‌برداری، قطعه کد یا برنامه‌های کوچک نرم‌افزاری هستند که برای شناسایی آسیب‌پذیری‌ها، رخنه‌ها، ضعف‌ها یا سایر مشکلات برنامه‌های کاربردی و نفوذ به سامانه‌ها یا شبکه‌های کامپیوتری استفاده می‌شوند. به‌طور مثال، کیت بهره‌برداری Angler می‌تواند آسیب‌پذیری‌ها را شناسایی کرده و بدافزارهای فارغ از فایل را درون سامانه قربانیان تزریق کند. پایگاه‌های داده‌ای ضدویروس‌ها برای شناسایی کیت فوق دائما در حال به‌روزرسانی هستند، زیرا Angler توانایی بالایی در انطباق با محیط داشته و قادر است طیف گسترده‌ای از سامانه‌ها را به بدافزارهای بانکی یا باج‌افزارها آلوده کند. 

چه عواملی باعث افزایش رشد بدافزارهای فارغ از فایل شده‌اند؟

اولین عامل شیوع و گسترش، مدل جدیدی از بازاریابی زیرزمینی به نام کیت‌ بهره‌برداری در قالب سرویس (exploits kits-as-a-service) است. دیدگاه انسان‌ها با گذشت زمان تغییر پیدا می‌کند و هکرها نیز از این قاعده مستثنا نیستند. هکرها به جای حمله مستقیم به سامانه‌ها یک چنین کیت‌هایی را توسعه داده و در دارک‌وب به فروش می‌رسانند. عامل کلیدی دوم به نرخ تولید بسیار بالای بدافزارها مربوط می‌شود. شرکت pandasecurity در گزارشی اعلام کرده است، روزانه 230 هزار عدد بدافزار جدید یا به عبارت دقیق‌تر نمونه بدافزار تولید می‌شود که اجازه می‌دهند هکرها با کمترین زحمت ممکن بهترین گزینه را انتخاب کنند. Angler تنها کیت بهره‌برداری مرتبط با بدافزارها فارغ از فایل نیست. در دسامبر 2015 میلادی، شرکت‌های امنیتی موفق به شناسایی کمپین جدیدی شدند که یک تروجان فارغ از فایل را منتشر می‌کرد و از کیت بهره‌برداری Kovter استفاده می‌کرد. این بدافزار به واسطه دو خصلت پنهان‌کاری و ماندگاری موفق شده بود طیف بسیار گسترده‌ای از سامانه‌های کامپیوتری را به بدافزار CoreBOT که برای سرقت اطلاعات مالی از آن استفاده می‌شود آلوده کند. عملکرد جالب توجه بدافزارهای فارغ از فایل متخصصان امنیتی را شگفت‌زده کرده است، زیرا تا به امروز هیچ کارشناس امنیتی انتظار آن‌را نداشت که هکرها به دنبال راهی برای حفظ ماندگاری کدهای مخرب باشند. در گذشته، هکرها سعی می‌کردند در کمترین زمان ممکن بدافزار مقیم روی یک سامانه را پاک کنند تا ردپایی باقی نماند. اما اکنون هدف سرقت اطلاعات شخصی و اطلاعات مالی است. به همین دلیل شرکت‌هایی همچون پاندا و مک‌آفی پیش‌بینی کرده‌اند در سال‌های آتی با رشد چشم‌گیر بدافزارهای فارغ از فایل روبرو خواهیم بود. 

چگونه از سامانه‌های خود در برابر بدافزارها فارغ از فایل محافظت کنیم؟

در ابتدای کار شناسایی بدافزارهای فارغ از فایل کار چندان سختی نبود، زیرا مقیم شدن آن‌ها در حافظه اصلی یک سامانه باعث کندی عملکرد می‌شد و شناسایی به سادگی انجام می‌گرفت. اما اکنون این‌گونه نیست و بدافزارها بهینه‌سازی شده‌اند! برای در امان ماندن از خطرات بدافزارهای فارغ از فایل بهتر است به موارد زیر دقت کنید:

شماره 1، برنامه‌ها و سیستم‌عامل‌ها باید به‌روز باشند

بیشتر مردم به دلایلی همچون مصرف بیش از اندازه حافظه اصلی، از دست رفتن فضای خالی هارددیسک، کند شدن سرعت کامپیوتر یا عدم سازگاری به‌روزرسانی با برنامه‌های کاربردی تمایلی ندارند نرم‌افزارها و سیستم‌عامل خود را به‌روز کنند. به هوش باشید، به‌روزرسانی‌های امنیتی دیگر همچون دو دهه گذشته جنبه اختیاری ندارند. آن‌ها مهم و کلیدی هستند. به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها در 85 درصد موارد باعث خنثا شدن حملات می‌شوند. 

شماره 2، عدم مراجعه به صفحاتی که کیت بهره‌برداری درون آن‌ها قرار دارد

آلودگی زمانی که وارد سایتی می‌شوید که کیت بهره‌برداری درون آن قرار دارد، آغاز می‌شود. اگر یک بسته امنیتی خوب روی سامانه خود نصب کرده باشید، بسته امنیتی اجازه نخواهد داد صفحه مخرب درون مرورگر باز شود. در نتیجه کیت بهره‌برداری هیچ‌گونه شانسی برای دسترسی به برنامه‌های کاربردی نخواهد داشت. چگونه یک بسته امنیتی چنین موضوعی را تشخیص می‌دهد؟ هکرها برای زیرساخت‌های کسب‌وکار خود همچون وب‌سایت‌ها و سرورها هزینه‌های زیادی متحمل می‌شوند و به ندرت آن‌را تغییر می‌دهند، زیرا تغییر مستلزم زمان و هزینه زیادی است و در نتیجه بسته‌های امنیتی با اتکا بر رکوردهای داده‌‌ای بانک‌اطلاعاتی آنلاین خود قادر به تشخیص این مسئله هستند. 

شماره 3، بستن بار داده‌ ارسالی

زمانی که یک کیت استخراج‌کننده آسیب‌پذیری‌ها، موفق شود رخنه‌ای در سامانه شما شناسایی کند، به‌طور خودکار به سرور کنترل و فرمان‌دهی هکرها متصل شده و فرآیند دانلود بارداده‌ها و انتقال آن‌ها به حافظه اصلی را آغاز می‌کند. در چنین شرایطی اگر سامانه شما به خوبی محافظت شده باشد، بسته امنیتی به سرعت متوجه اتصال کیت بهره‌برداری به سرور مخرب خواهد شد و اجازه نخواهد داد بارداده مخرب دانلود شود. 

شماره 4، قطع دسترسی سرور مخرب به سامانه کامپیوتری

تصور کنید، بارداده‌ای توانسته است از آسیب‌پذیری روز صفر نرم‌افزاری که روی سامانه شما نصب شده است به سیستم وارد شود. یک بسته امنیتی خوب یک لایه امنیتی مضاعف پیرامون سامانه شما به وجود آورده و اجازه نمی‌دهد ارتباط میان کامپیوتر و سرور کنترل و فرمان‌دهی برقرار شود. سامانه‌های تشخیص نفوذ و پیشگیری از نفوذ دو ابزار قدرتمندی هستند که به خوبی چنین موارد مشکوکی را تشخیص می‌دهند. سامانه‌های امنیتی قدرتمند اجازه نمی‌دهند هکرها به راحتی داده‌های جمع‌آوری شده از کامپیوتر شما را به دست آورند و برای آلوده‌سازی سامانه از داده‌های جمع‌آوری شده استفاده کنند. دقت کنید، ضدویروس‌های رایج نمی‌توانند چنین سطح از امنیتی را ارائه کنند و باید به فکر راه‌حل‌های مکملی باشید که به آن‌ها اشاره (شماره … ماهنامه شبکه) شد. یک چنین سامانه‌هایی رایگان نیستند، اما ارائه یک مکانیزم امنیتی قدرتمند خرید آن‌ها را توجیه‌پذیر می‌کند .

برخی از مردم ترجیح ‌می‌دهند هیچ‌گاه ماشین آن‌ها به اینترنت متصل نشود تا امکان هک کردن آن وجود نداشته باشد. یک چنین دیدگاهی در دنیای امنیت هم حکم‌فرما است. امروزه متخصصان حوزه امنیت با مشکلی به نام بدافزارهای فارغ از فایل (fileless malware) روبرو هستند. بدافزارهایی که شبیه به اشباح وجود دارند، اما قادر به دیدن آن‌ها نیستید.

آلودگی فارغ از فایل چیست؟

آلودگی فارغ از فایل به حالتی اشاره دارد که بدافزار یا ویروسی سامانه یا شبکه‌ای را آلوده می‌کند، اما هیچ‌ فایل یا پردازه‌ای برای شناسایی بدافزار وجود ندارد. برای درک دقیق این مدل از بدافزارها، باید نحوه کار ضدویروس‌های سنتی را بررسی کنیم. ضدویروس‌های سنتی در سه مرحله یک فایل آلوده را پیدا می‌کنند.

  • در اولین مرحله آلودگی، فایل‌هایی روی هارددیسک قرار می‌گیرند.
  • ضدویروس فایل‌ها را پویش کرده و فایل‌های مشکوک به آلودگی را تحلیل می‌کند.
  • اگر بدافزاری شناسایی شد، ضدویروس، فایل‌های مخرب را قرطنیه یا پاک می‌کند. 

این مکانیزم شناسایی و انهدام برای بدافزارهای عادی خوب کار می‌کند، اما گونه دیگری از آلودگی‌ها، فارغ از فایل هستند و هیچ‌ فایلی روی سامانه قربانی قرار نمی‌دهند. به همین دلیل سامانه‌های کامپیوتری امروزی به یک مکانیزم حفاظتی مضاعف نیاز دارند، در غیر این صورت، هکرها به راحتی به سامانه‌ها حمله کرده و آسیب‌های مختلفی به سامانه‌ها وارد می‌کنند. 

چرا هکرها از بدافزارهای فارغ از فایل استفاده می‌کنند؟

هکرها خلاق و پویا هستند و همواره به دنبال ابداع روش‌های تازه‌ای برای حمله به سامانه‌های کامپیوتری هستند. بدافزارهای فارغ از فایل خود گویای این مسئله هستند. بدافزارهای فارغ از فایل به دلایل زیر طراحی و پیاده‌سازی می‌شوند:

  • پنهان‌کاری (Stealth): توانایی استتار به یک بدافزار اجازه می‌دهد از دید محصولات امنیتی پنهان شود و مدت زمان طولانی‌تری روی یک سامانه یا حتا یک شبکه باقی بماند.
  • افزایش دسترسی (Privilege escalation): بدافزاری که بتواند با سطح دسترسی مدیر به آسیب‌پذیری‌های یک سامانه دسترسی پیدا کند، به هکرها اجازه می‌دهد هرگونه فعالیت مخربی را به بهترین شکل روی یک سامانه یا شبکه پیاده‌سازی کنند. 
  • جمع‌آوری اطلاعات (Information gathering): جمع‌آوری حداکثری اطلاعات درباره قربانی و کامپیوتر قربانی. (این اطلاعات در آینده برای پیاده‌سازی حملات دیگری استفاده خواهند شد.)
  • ماندگاری (Persistence): توانایی نگه‌داری و پنهان‌سازی بلندمدت یک بدافزار در یک سامانه. 

کاری که هکرها انجام می‌دهند، حفظ طولانی مدت و پنهان نگه‌داشتن بدافزار روی یک سامانه است. در‌ این‌جا پنهان نگه داشتن آلودگی رمز موفقیت بدافزارهای فارغ از فایل است. زمانی‌که کیت اکسپلویت حاوی بدافزار فارغ از فایل به سیستمی وارد می‌شود، در مرحله بعد به هکرها اجازه می‌دهد بدافزار اصلی را به سامانه تزریق و ضربه نهایی را وارد کنند. 

بدافزار فارغ از فایل  یک آلودگی ساده نیست

هکرها می‌توانند بدافزارهای فارغ از فایل را به طریقی کدنویسی کنند که پس از نوشتن، بدافزار به شکل دایمی درون حافظه اصلی کامپیوتر مقیم نشده و در بخشی از سامانه که ضدویروس آن بخش را پویش نمی‌کند قرار دهند. این نوع آلودگی که پنهان و دایمی بودن دو فاکتور اصلی آن به شمار می‌روند، مشکلات فراوانی برای یک سامانه به وجود می‌آورند. از معروف‌ترین بردارهای حمله که بی شباهت به بدافزارهای فارغ از فایل نیستند به موارد زیر می‌توان اشاره کرد:
• بدافزار مقیم در حافظه: بدافزارهای مقیم در حافظه شبیه به بدافزارهای فارغ از فایل می‌توانند از فضای حافظه یک پردازه یا یک فایل سیستمی ویندوز برای انجام فعالیت‌های خود استفاده کنند. شیوه کار بدافزارهای فوق به این شکل است که کد مخرب درون فضای حافظه اصلی قرار گرفته و مادامی که شناسایی نشود در حافظه باقی خواهد ماند. بدافزارهای مقیم در حافظه به‌طور دقیق فارغ از فایل نیستند، اما عملکرد آن‌ها یکسان با بدافزارهای فارغ از فایل است. این بدافزارها بیشتر به زبان‌های سطح پایین شبیه به اسمبلی یا سی نوشته می‌شود. 

  • روت‌کیت‌ها: روت‌کیت‌ها با هدف کنترل یک سامانه کامپیوتری بدون اطلاع کاربر، یک سامانه را آلوده کنند. آن‌ها سعی می‌کنند سطح  دسترسی مدیریتی به یک سیستم را به دست آورند. روت‌کیت‌ها برای آن‌که حضوری ماندگار در یک سیستم داشته باشند و حتا با وجود پویش یک سامانه و راه‌اندازی مجدد یک سیستم بازهم فعال باشند باید به درون هسته سیستم‌عامل نفوذ کنند. روت‌کیت‌هایی که درون هسته یک سیستم‌عامل قرار می‌گیرند، ناپیدا بوده و پاک کردن آن‌ها تقریبا غیرممکن است. روت‌کیت‌ها به شکل دقیق آلودگی فارغ از فایل نیستند، اما عملکردی یکسان با آلودگی فارغ از فایل دارند.
  • بدافزارهای مقیم در رجیستری ویندوز: نسل جدید بدافزارهای فارغ از فایل می‌توانند درون رجیستری ویندوز پنهان شوند. رجیستری قلب تپنده ویندوز است که تنظیمات سیستم‌عامل و برنامه‌های کاربردی درون آن ذخیره شده است. رجیستری ویندوز مکانی است که اگر ناخواسته اطلاعات حساس درون آن‌را تغییر داده یا پاک کنید، احتمال از کار افتادن ویندوز یا سایر برنامه‌های کاربردی وجود دارد. بدافزارهای فارغ از فایل رجیستری ویندوز، قابلیت خودنابودگری دارند. به عبارت دقیق‌تر، زمانی که فعالیت‌شان روی یک سامانه به پایان رسید، خود را نابود می‌کنند. 

بدافزارهای فارغ از فایل اولین بار در اوت 2014 میلادی شناسایی شدند. Poweliks Trojan اولین مورد از این بدافزارها بود. بدافزار فوق به شکلی مهندسی شده بود که کلاه‌برداری مبتنی بر کلیک (click-fraud) را انجام می‌داد. با این حال، در 5 سال گذشته این مدل بدافزارها به سرعت پیشرفت کردند. Poweliks Trojan سرآغازی بر یک تحول بزرگ در دنیای هکری به شمار می‌رود، زیرا موفق شد چشم‌اندازی جدید پیش روی هکرها قرار دهد. هکرها با اتکا بر شیوه عملکرد بدافزار فوق توانستند عملیات خرابکارانه جدیدی به شرح زیر رقم بزنند:

  • پیاده‌سازی گونه جدیدی از بدافزارها که سامانه‌ها را بدون آن‌که دیده شوند آلوده کنند
  • سودآوری کلان با ساخت و توزیع بدافزارهای فارغ از فایل
  • انتقال دائمی بارداده‌ها به رجیستری سیستم پس از بهره‌برداری از آن‌ها 
  • استقرار کیت‌های مخرب ماژولار و انعطاف‌پذیر با هدف شناسایی سریع‌تر آسیب‌پذیری‌ها 
  • بهره‌برداری از تعداد بیشتری از آسیب‌پذیری‌های روز صفر برای حمله به سامانه‌های کامپیوتری
  • به دست آوردن پول سریع و راحت با هدف آلوده‌سازی کامپیوترها به باج‌افزار

بدافزارهای فارغ از فایل عاری از مشکل هستند؟

پاسخ منفی است. بدافزارهای فارغ از فایل در حافظه اصلی کامپیوتر اجرا می‌شوند و تنها زمانی که کامپیوتر روشن است، قادر به انجام فعالیت هستند. به همین دلیل هکرها فرصت کمی برای حمله و نفوذ به سیستم‌عامل دارند. با این حساب اگر یک سامانه کامپیوتری متصل به شبکه مدت زمان طولانی روشن باقی بماند، احتمال پیاده‌سازی موفقیت‌آمیز حمله بیشتر خواهد بود. 

آلودگی فارغ از فایل چگونه کار می‌کند؟

برای روشن شدن بهتر مطلب به سناریو واقعی آلوده‌سازی با یک بدافزار فارغ از فایل توجه کنید. 
شما روی یک مرورگر مدرن همچون کروم که از جاوااسکریپت پشتیبانی می‌کند، افزونه فلش را نصب می‌کنید. افزونه فلش به دلیل عدم نصب وصله‌های ارائه شده به‌روز نیست. به سایتی مراجعه می‌کنید که کیت بهره‌وری Angler روی آن نصب شده است. کیت فوق سامانه شما را برای شناسایی آسیب‌پذیری‌ها پویش کرده و موفق می‌شود آسیب‌پذیری افزونه فلش را شناسایی کند. در این مرحله بارداده‌ای روی کش مرورگر کروم اجرا می‌شود. اگر بارداده‌ بدافزاری، یک کد مخرب باج‌افزاری باشد، بارداده به سرور کنترل و فرمانی متصل می‌شود تا کلید رمزگذاری را دریافت کند. در آخرین مرحله، رمزگذاری داده‌ها روی سامانه اجرا می‌شود که باج‌افزار کامپیوتر و فایل‌های حساس را قفل کرده و برای دسترسی مجدد به فایل‌ها درخواست باج می‌دهد. 
در سناریو فوق بارداده به شکل مستقیم به پردازه‌ مدنظر هکر تزریق شده و در حافظه اصلی کامپیوتر اجرا می‌شود. در این مکانیزم حمله به دلیل عدم وجود فایل روی هاردیسک کاربر، هیچ‌گونه سرنخ یا امضایی از بدافزار وجود نداشته و در حالت عادی ضدویروس نمی‌تواند از طریق اسکن امضا بدافزار آن‌را شناسایی کند. ضدویروس‌های عادی تنها زمانی قادر به شناسایی بارداده‌های مخرب هستند که بارداده روی هارددیسک ذخیره شده باشد یا به شکل فعال در حافظه اصلی سیستم در حال اجرا باشد.