آخرین اخبار
صفحه اصلی
آموزش

چرا ضدویروس‌ها نمی‌توانند بدافزارهای نسل دوم را شناسایی کنند؟

تاریخ:
در: آموزش, اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
835 نمایش ها

کمیته رکن چهارم – یکی از مهم‌ترین عواملی که باعث شده بدافزارهای نسل دوم به راحتی ابزارهای امنیتی را به چالش بکشند، توانایی آن‌ها در پنهان‌ کاری است. هکرها همواره به دنبال از دور خارج کردن یکدیگر هستند و شبانه‌روز تلاش می‌کنند تکنیک‌ها و راهکارهای خلاقانه‌ای را ابداع کرده و برای رقبا قدرت‌نمایی کنند. این عطش سیری‌ناپذیر برای دستیابی به جدیدترین بردارهای حمله، آن‌ها را یک گام جلوتر از صنعت امنیت سایبری قرار داده است.

اصلی‌ترین عامل موفقیت آن‌ها داشتن زمان کافی برای آزمایش نسخه‌های مختلف بدافزارها و بهبود تاکیک‌های فنی ساخت بدافزارها است. به همین دلیل گاهی اوقات بدافزارها برای مدت‌ زمانی طولانی در یک سامانه یا شبکه به شکل ناشناس باقی می‌مانند. با وجود به‌کارگیری تکنیک‌های خلاقانه برای پنهان‌سازی بدافزارها، کارشناسان امنیتی به شکل مستمر در تلاش برای قدرتمندتر کردن ابزارهای دفاعی هستند، اما ابزارهای امنیتی نمی‌توانند تمامی حوزه‌ها را پوشش دهند، زیرا در برخی موارد این کاربران هستند که باید یکسری نکات ایمنی را رعایت کنند، به همین دلیل ساخت یک دیوار دفاعی یکپارچه به سختی امکان‌پذیر است. مشکل دیگری که شرکت‌های امنیتی و کارشناسان امنیتی با آن روبرو هستند، عدم شناسایی به موقع بدافزارها است، زیرا بخش عمده‌ای از ضدویروس‌ها در شناسایی و حذف زودهنگام بدافزارهای نسل دوم و سوم کارایی لازم را ندارند.

تقریبا دو روز زمان نیاز است تا ضدویروسی بتواند بارداده‌های مخرب را شناسایی کند. سایت هیمیدال پژوهش جالبی انجام داده و اعلام می‌دارد ضدویروس‌ها برای کشف و شناسایی بارداده‌های مخرب مشابه کیت بهره‌برداری Angler که پنج سال پیش شناسایی شد به دو روز زمان نیاز دارند. در این مدت اتفاقات زیادی رخ می‌دهد که سرقت اطلاعات مالی (اطلاعات مربوط به بانک‌داری آنلاین، نام کاربری، گذرواژه و….) و رمزنگاری اطلاعات با استفاده از باج‌افزار طراحی شده از پیامدهای شناسایی دیرهنگام بدافزارها است. دو روز زمان برای شناسایی بدافزار و اقدامی متقابل برای حذف بدافزار زمان کمی نیست. شکل ۱ مدت زمان موردنیاز ضدویروس‌ها برای شناسایی و حذف بدافزارها را نشان می‌دهد.

چگونه بدافزارهای نسل دوم و سوم از مکانیزم‌های امنیتی عبور می‌کنند؟

برخی کاربران تصور می‌کنند، هکرها گریزان از اجتماع هستند و شبانه‌روز در پشت کامپیوتر خود نشسته و به فکر نفوذ به کامپیوترهای شخصی یا زیرساخت‌های ارتباطی هستند. این حرف تا حدودی درست است، اما واقعیت این است که بیشتر هکرها عضو سازمان‌های بزرگ مجرمانه هستند و کسب‌وکارهای بزرگی را هدایت می‌کنند. این افراد توسعه‌دهندگان مجرب و حرفه‌ای را استخدام می‌کنند تا مطمئن شوند جدیدترین روش‌های پنهان‌سازی حملات به کار گرفته شده و سود کلانی عاید آن‌ها می‌شود. گزارش امنیتی منتشر شده توسط دپارتمان امنیتی شرکت سیسکو اعلام می‌دارد: «بیشتر عملیات باج‌افزاری توسط تیم‌هایی متشکل از هکرها و برنامه‌نویسان ناشناس پیاده‌سازی می‌شوند که به‌روزرسانی‌های ارائه شده توسط سازندگان ضدویروس‌ها را زیر نظر می‌گیرند تا همواره درباره جدیدترین شیوه‌های مقابله با حملات بدافزاری اطلاع کافی در اختیار داشته باشند و در صورت لزوم تکنیک‌های پیاده‌سازی حملات را تغییر دهند. هکرها برای دریافت باج‌ها به بیت‌کوین وابسته هستند، زیرا نهادهای قانونی به سختی می‌توانند پرداخت‌ها را ردیابی کرده و به هکرها برسند. در برخی موارد هکرها تضمین می‌دهند که پس از پرداخت وجه، کاربر می‌تواند دوباره به فایل‌های رمزگذاری شده دسترسی پیدا کند. در نمونه‌های پیشرفته‌تر، هکرها افرادی را به عنوان پشتیبان عملیات تعیین می‌کنند تا جزییات را به دقت برنامه‌ریزی دنبال کنند. با این حال، هکرها برای موفقیت در پیاده‌سازی چنین سازوکار زیرزمینی، مجبور هستند در گام اول بدافزارهای خود را به گونه‌ای طراحی کنند که به دور از مکانیزم‌های امنیتی و سامانه‌های تشخیص و پیشگیری از نفوذ به سامانه‌ها وارد شوند. هرچه زمان پیدا شدن بدافزارها با تاخیر همراه باشد، اطلاعات محرمانه بیشتری کسب شده و آسیب شدیدتری به هدف وارد می‌شود. به همین دلیل هکرها در زمان ساخت بدافزارهای نسل جدید ابتدا مکانیزم کاری ابزارهای امنیتی را بررسی می‌کنند.»

آشنایی با روش‌های نفوذ و تخریب سامانه‌ها

برای اطلاعات بیشتر در ارتباط با پیامدهای مخرب ورود بدافزارها به سامانه‌های شخصی و سازمانی و ضرباتی که به سامانه‌ها وارد می‌کنند به چند مورد رایج اشاره می‌کنیم.

۱٫ تخریب هارددیسک

برخی از بدافزارها با هدف تخریب اطلاعات درون هارددیسک‌ها یا خود هارددیسک‌ها ساخته و توزیع می‌شوند. به‌طور مثال، بدافزار Rombertik پس از تکمیل فرآیند دانلود و پیش از شروع جاسوسی از کامپیوتر قربانیان؛ یک بررسی نهایی انجام می‌دهد تا مطمئن شود مکانیزم‌های امنیتی حافظه اصلی سیستم را زیر نظر نگرفته‌اند. جاسوس‌افزار فوق اگر نشانه‌ای مبنی بر فعال بودن ضدویروس‌ها پیدا کند، فعالیتی در جهت خراب کردن بوت اصلی کامپیوتر آغاز می‌کند. بدافزار فوق سیستم را راه‌اندازی مجدد کرده، MBR هارددیسک را غیر قابل دسترس کرده و کامپیوتر قربانی را وارد یک حلقه بی‌نهایت از راه‌اندازی مجدد می‌کند. MBR اولین سکتور از هارددیسک‌ها است که سیستم پیش از بارگذاری سیستم‌عامل به سراغ آن می‌رود. به همین دلیل اگر سکتور فوق حذف یا خراب شود، کاربر باید دوباره سیستم‌عامل را روی کامپیوتر خود نصب کند که به معنای از دست رفتن داده‌ها است. اگر بدافزار توسط ضدویروس‌ها یا حتا بدافزارهای امنیتی زیر نظر گرفته شود (پس از آلوده‌سازی قربانی ضدویروسی روی سامانه نصب شود)، خود را نابود کرده و محتویات روی کامپیوتر قربانی را پاک می‌کند. همان‌گونه که مشاهده می‌کنید، تولیدکنندگان بدافزارها زمانی که سعی در خراب کردن اهدافی داشته باشند، کاملا توقف‌ناپذیر هستند. آن‌ها به سرعت داده‌ها را نابود می‌کنند و حتا داده‌های درون نسخه‌های پشتیبان را خراب می‌کنند. به همین دلیل امکان پیش‌بینی قطعی فعالیت‌هایی که یک بدافزار روی سیستم یک قربانی انجام می‌دهد وجود ندارد.

۲٫ جلوگیری از اجرا در محیط جعبه شن

هر زمان ضدویروس‌ها، فایل مخربی را روی سیستم کاربر شناسایی کنند، آن‌را به درون جعبه شن (یک محیط مجازی برای اجرای ایمن نرم‌افزارها) ارسال می‌کنند. راهکار فوق به ضدویروس‌ها اجازه می‌دهد تا کدها یا فایل‌های مخربی که توسط تولیدکنندگان، وب‌سایت‌های مخرب یا کاربران ناشناس دریافت شده را در محیط محدودی اجرا کنند و اجازه ندهند کل سیستم آلوده شود. در نقطه مقابل، هکرها به دنبال پیدا کردن راهی برای پیشگیری از انجام این کار هستند. به‌طور مثال، فایل مخرب را با چند صدهزار نمونه دیگر ترکیب می‌کنند تا الگوریتم‌های ضدویروس را فریب دهند. به همین دلیل تلاش ضدویروس‌ها برای شناسایی، مسدودسازی یا حذف آلودگی بدافزارها به جایی نخواهد رسید. هکرها از راهکارهای دیگری برای پیشگیری از انتقال کدهای مخرب به جعبه شن استفاده می‌کنند. با توجه به این‌که جعبه شن یک محیط مجازی است، هکرها بدافزارهای خود را به قابلیت بررسی ورودی‌های رجیستری، بررسی پورت‌های مشخص و پردازه‌های در حال اجرا روی یک سیستم تجهیز می‌کنند. زمانی که بدافزار متوجه شود در محیط مجازی در حال اجرا است، فعالیت خود را متوقف می‌کند، در نتیجه ضدویروس تصور می‌کند که فایل ایمن است و آن‌را از وضعیت قرنطینه خارج می‌کند.

۳٫ سایه‌افکنی روی دامنه

سایه‌افکنی روی دامنه (Domain Shadowing) یکی از مهم‌ترین اقدامات انجام شده توسط هکرها است. راهکار فوق به آن‌ها کمک می‌کند اکسپلویت‌ها و ارتباط میان بارداده‌ها و سرورهای تحت کنترل را پنهان کنند. برای این منظور آن‌ها به آدرس‌های اینترنتی زیادی نیاز دارند که از آن‌ها استفاده کرده و سپس دور بیندازند. دپارتمان امنیتی سیسکو در این خصوص می‌گوید: «سازندگان کیت‌های بهره‌برداری، حساب کاربری مربوط به نام دامنه مالک یک سایت را به‌دست آورده و در ادامه زیردامنه‌ای تحت دامنه قانونی قربانی به ثبت می‌رسانند. کاربران تنها زمانی از وجود این زیردامنه مطلع می‌شوند که اطلاعات حساب کاربری خود را بازبینی کنند. این زیردامنه‌ها به سرورهای مخرب اشاره دارند و عمدتا دارای عمر بسیار کوتاه هستند، به همین دلیل مسدود کردن آن‌ها کار ساده‌ای نیست. کیت بهره‌برداری angler یکی از قدرتمندترین کیت‌ها در زمینه است. سایه‌افکنی روی دامنه راهکار جدیدی نیست و نزدیک به هفت سال پیش توسعه هکرها به کار گرفته شد. پژوهش‌های انجام شده نشان می‌دهند در اغلب فعالیت‌های مجرمانه مربوط به زیردامنه‌های مخرب (نزدیک به ۷۵ درصد) ردپایی از کیت Angler وجود دارد. کیت بهره‌برداری فوق به مجموعه‌‌ای از بارداده‌های مخرب متعلق به بدافزارها و باج‌افزارهایی همچون Cryptowall با استفاده از فایل‌های اکسپلویت خدمت‌رسانی می‌کند.»

۴٫ به‌کارگیری تکنیک Fast Flux با هدف پنهان‌سازی کدهای اصلی باج‌افزارها

هکرها در بیشتر موارد بیش از یک تکنیک را برای پنهان‌سازی بدافزارها و سورس‌ کدهای مخرب استفاده می‌کنند. Fast Flux یک راهکار رایج در این زمینه است. در روش فوق هکرها تعدادی از آدرس‌های آی‌پی که متعلق به یک نام دامنه منحصر به فرد واجد شرایط است را استفاده می‌کنند. در مرحله بعد، آدرس‌های آی‌پی و رکوردهای DNS را تغییر می‌دهند تا تکنیک‌های تحلیل‌گر خودکار موفق به شناسایی منبع آلودگی نشوند. Fast Flux بیشتر توسط بات‌نت‌ها، کمپین‌ها فیشینگ و وب‌سایت‌هایی که بدافزارهایی را روی سامانه قربانی بارگذاری می‌کنند استفاده می‌شود تا منابع آلودگی که کاربران زیادی را قربانی کرده پنهان باقی بماند. راهکار فوق جدید نیست، اما همواره توسط هکرها استفاده می‌شود.

۵٫ به‌کارگیری الگوریتم‌های رمزنگاری محتوای باج‌افزار توسط Encrypted Payload

رمز‌نگاری یک راهکار قدرتمند برای حفظ محرمانگی و محافظت از داده‌ها است، اما زمانی که توسط هکرها استفاده ‌شود دردسرآفرین است. به‌طور مثال، زمانی که هکرها تصمیم می‌گیرند بارداده خود را برای آلوده‌سازی کامپیوتر قربانی رمزگذاری کنند، شناسایی بارداده توسط ضدویروس به مدت زمان بیشتری نیاز دارد، این مدت زمان اضافی شانس بدافزار برای آسیب‌رساندن به سامانه‌ها را دوچندان می‌کند.

۶٫ به‌کارگیری ویژگی رفتار چندریختی با هدف عدم شناسایی باج‌افزار توسط ضدویروس

رمزنگاری تنها یکی از تکنیک‌های به‌کار گرفته شده توسط بدافزارها است. تغییر نام فایل‌ها و فشرده‌سازی آن‌ها از جمله روش‌های رایجی است که توسط هکرها استفاده می‌شود. این راهکارهای ساده مدت زمان پنهان ماندن بدافزار را افزایش می‌دهند (شکل ۲).

۷٫ به‌کارگیری جملات ادبی برای پنهان‌سازی کیت‌های بهره‌برداری

سیسکو می‌گوید: «برخی از هکرها برای پنهان‌سازی کیت‌های مخرب به سراغ متون ادبی قرن ۱۹ میلادی می‌روند. به‌طور مثال، در یک نمونه شناسایی شده، هکرها متون احساسی جین آستن را در صفحات وب و درون هایپرلینک‌ها قرار دادند تا شناسایی کیت‌های بهره‌برداری روی سایت‌های میزبان کار ساده‌ای نباشد. اضافه کردن پاراگراف‌های اقتباس شده از متون کلاسیک به یک کیت بهره‌برداری در صفحات وب که هایپرلینک‌ها را ارائه می‌کنند یکی از تاثیرگذارترین راهکارهای رایج برای پنهان‌سازی است. ضدویروس‌ها و سایر مکانیزم‌های امنیتی پس از مطالعه چنین متن‌هایی درون یک صفحه وب، در اغلب موارد به چشم یک صفحه قانونی به این مدل محتوا نگاه می‌کنند. کاربران در نگاه اول تعجب می‌کنند که چرا محتوایی عجیب از نویسندگان قدیمی در صفحات وب قرار دارد، اما نگران نمی‌شوند که همین موضوع به هکرها اجازه می‌دهد اکسپلویت‌های خود را به کامپیوتر قربانیان تزریق کنند.»

۸٫ به‌کارگیری Tor و پروژه‌های پنهان‌ساز

Tor نرم‌افزاری است که برخی از کاربران برای پنهان‌سازی ترافیک اینترنت از آن استفاده می‌کنند. هکرها از این شبکه مرموز برای پنهان‌سازی ارتباطات خود همچون تبادل اطلاعات میان یک بارداده و سرور مخرب استفاده می‌کنند. شکل ۳ خانواده‌ای از بدافزارهای مخرب که از Tor برای توزیع و تکثیر استفاده می‌کنند را نشان می‌دهد. پروژه I2P نیز برای یک چنین فعالیت‌هایی استفاده می‌شود. پروژه فوق قابلیت‌هایی همچون گفت‌وگو، وبلاگ‌نویسی و انتقال فایل با نام مستعار و به شکل ایمن در اختیار هکرها قرار می‌دهد.

۹٫ ماکروهای به‌کار گرفته شده توسط مایکروسافت

ماکروهای مایکروسافت یکی از بدترین ابزارهای آلوده‌سازی هستند که همواره توسط مجرمان استفاده می‌شوند. مایکروسافت تلاش‌های زیادی برای پیشگیری از اجرای خودکار ماکروها انجام داده است. با این حال، کار زیادی برای محافظت از کاربران در برابر حملات مهندسی اجتماعی نمی‌توان انجام داد. برای آن‌که کاربران متقاعد شوند ماکروها را اجرا کنند هکرها از تکنیک‌های مهندسی اجتماعی استفاده می‌کنند و سعی می‌کنند به هویت واقعی کاربر (از طریق ایمیل، گوشی هوشمند، شبکه‌های اجتماعی) اشاره کنند. هکرها برای آن‌که اطمینان حاصل کنند، حملات آن‌ها در تیرراس ابزارهای امنیتی قرار ندارد، دائما شکل تهدیدات را تغییر می‌دهند تا مکانیسم‌های شناسایی مجبور شوند کار خود را از ابتدا تکرار کنند. Dridex از جمله این موارد است. یک بدافزار خطرناک بانکی که ماکروهای مایکروسافت را به عنوان ابزار آلوده‌سازی سامانه کاربران به کار می‌گیرد. سیسکو می‌گوید: «کمپین‌های هرزنامه‌‌ای، بارداده Dridex را برای کاربران ارسال می‌کنند، اما کمپین‌های فوق عمر کوتاهی دارند و به شکل متناوب راهکار فنی انتقال داده‌های آن‌ها تغییر می‌کند تا ابزارهای امنیتی موفق به شناسایی آن‌ها نشوند. درست است که ضدویروس‌ها و سایر ابزارهای امنیتی به سرعت قادر به شناسایی این کمپین‌ها هستند، اما عمر این کمپین‌های هرزنامه کوتاه است و پیش از شناسایی حجم زیادی از هرزنامه‌ها در قالب ضمایم ایمیلی برای کاربران ارسال می‌شوند. در ادامه کمپین دیگری ایجاد می‌شود و ضدویروس مجبور است از ابتدا فرآیند شناسایی را آغاز کند.»

۱۰٫ توانایی زیاد در پنهان ماندن

این نوع بدافزارها بر مبنای یک زمان‌بندی خاص کار می‌کنند. به عبارت دقیق‌تر، زمانی که سیستم کاربر کاملا آسیب‌پذیر است، اجرا شده و فعالیت‌های کاربر را زیر نظر می‌گیرند. به‌طور مثال، این فرآیند ممکن است در زمان راه‌اندازی سیستم رخ دهد. در برخی موارد بدافزار کار خاصی انجام نمی‌دهد و به همین دلیل ابزارهای امنیتی نمی‌توانند بدافزار را شناسایی کنند.

چگونه در برابر بدافزارهای غیرقابل شناسایی از خود محافظت کنیم؟

ممکن است بدافزارها را مشاهده نکنید، اما احتمال وجود آن‌ها در یک سامانه را نباید دست‌کم بگیرید. برای شناسایی بدافزارها باید کاملا هوشیار باشید و نباید امیدتان تنها به ضدویروس‌ها باشد، زیرا همان‌گونه که اشاره شد هکرها از روش‌های مختلفی برای فریب ضدویروس‌ها استفاده می‌کنند. سعی کنید سیستم‌عامل و نرم‌افزارهای خود را به‌روز نگه دارید. از ابزارهای امنیتی برای فیلتر کردن ترافیک وب و مسدودسازی تهدیدات بالقوه استفاده کنید تا شانس آلودگی سیستم کاهش یابد. به سراغ بازدید از وب‌سایت‌های مشکوک و خطرناک نروید، سایت‌هایی همچون تورنت با اعلان‌های مشکوک شما را در معرض یک آلودگی جدی قرار می‌دهند. به ایمیل‌های ناشناسی که دریافت می‌کنید پاسخ  ندهید و سطح دانش خود در برابر حملات فشینگ، ایمیل‌های هرزنامه و مهندسی اجتماعی را افزایش دهید.

کلام آخر

هکرها می‌دانند کاربران از ابزارهای امنیتی و ضدویروس‌ها برای مقابله با تهدیدات سایبری استفاده می‌کنند. به همین دلیل به سراغ روش‌های مختلفی می‌روند تا ابزارهای امنیتی را فریب داده و به سرعت به کاربران برسند. پیشنهاد می‌کنیم در کنار ضدویروس‌ها از ابزارهای امنیتی مکمل دیگری استفاده کنید تا لایه‌های امنیتی سامانه‌تان دوچندان شود. همواره به این نکته دقت کنید امنیت پیشگیرانه ضروری است. در سال‌های آتی سازمان‌ها و کاربران خانگی برای محافظت از سامانه‌های خود مجبور هستند به سراغ راهکارهای پیشگیرانه مختلفی بروند. بهتر است کمی در مورد فعالیت هکرها تحقیق کرده و همانند یک هکر فکر کنید تا از گزند حملات آن‌ها در امان باشید. همچنین، فراموش نکنید اطلاعات حساس خود را پنهان کرده و به جای ذخیره‌سازی آن‌ها روی هارددیسک کامپیوتر، روی یک هارددیسک خارجی ذخیره‌سازی کنید تا هکرها موفق نشوند به سادگی به اطلاعات مهم دست پیدا کنند.

منبع: heimdal security

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.