کمیته رکن چهارم – نصب نرمافزار آنتیویروس بر روی سیستمهای رایانهای از جمله روشهای متداول برای شناسایی و حذف بدافزارها است. تقریباً تمام آنتیویروسها دارای یک پایگاه داده هستند که امضاهای بدافزارهای شناسایی شده در آن وجود دارد. شیوه عملکرد آنتیویروسها به این صورت است که در صورت شناسایی فایلی که با یکی از این امضاها مطابقت داشته باشد، آن فایل را از روی سیستم مربوطه حذف میکنند.
به تازگی طراحان بدافزارها فایلهای مخربی را ابداع کردهاند که قابلیت دور زدن آنتیویروسها را دارند. آنها جهت ایجاد چنین فایلهایی از رویکردهای چندوجهی که شامل انجام تغییرات مختصر در فایل بدافزارها است به منظور پیشگیری از شناسایی آنها استفاده میکنند. در این مطلب این بدافزارهای چندوجهی و نحوه مقابله با آنها را با هم بررسی میکنیم.
چندوجهی بودن به چه معنا است؟
ریشه اصطلاح چندوجهی یا چندریختی بودن (Polymorphism) به علم زیستشناسی برمیگردد. مفهوم چندوجهی اشاره به موجودی دارد که در شکل و فرمهای مختلف وجود داشته باشد. این اصطلاح در علوم رایانه نیز از اهمیت و جایگاه خاصی برخوردار است. چندوجهی در برنامهنویسی اشاره به ایجاد یک رابط کاربری واحد در انواع مختلف دارد.
بدافزار چندوجهی چیست؟
طراحان بدافزارها جهت جلوگیری از امکان شناسایی بدافزارها توسط آنتیویروسها تغییراتی را در شکل ظاهری و فرمهای آنها ایجاد میکنند. چنین بدافزارهایی که رفتار و ظاهر آنها با یکدیگر متفاوت است تحت عنوان بدافزارهای چندریختی شناخته میشوند. مجرمان سایبری معتقدند با ایجاد تغییرات کوچک در یک بدافزار خاص میتوان از شناسایی نسخههای جدید آن توسط آنتیویروسها و سایر ابزارهای امنیتی جلوگیری کرد.
به این ترتیب هکرها به راحتی تعداد بیشماری فایل که ظاهراً متفاوت و منحصربهفرد هستند را ایجاد میکنند. در حقیقت تمامی این فایلها آلوده بوده و از یک روش یکسان برای ایجاد آلودگی در سیستمها و شبکهها استفاده میکنند. از آنجا که این فایلها با یکدیگر متفاوت هستند، به راحتی و بدون اینکه توسط آنتیویروسها قابل شناسایی باشند میتوانند آنها را دور بزنند!
اگرچه مفهوم بدافزار چندوجهی موضوع جدیدی نیست و برای اولینبار در دهه ۸۰ میلادی ابداع شد ولی امروزه با توجه به پیشرفت ابزارهای ضدبدافزار، مهاجمان معمولاً از بدافزارهای چندوجهی جهت نفوذ به سیستمهای قربانیان احتمالی خود استفاده میکنند. با وجود اینکه کارشناسان و تیمهای امنیتی از رویکردهای دفاعی بسیار پیشرفته برای شناسایی و مقابله با حملات سایبری استفاده مینمایند اما همچنان بدافزارهای چندوجهی از کارایی بالایی برخوردار بوده و به راحتی قابل شناسایی نیستند. از این رو رویکرد استفاده از بدافزارهای چندوجهی از محبوبیت بسیار زیادی در بین هکرها برخوردار شده است. همچنین این روش برای تمام بدافزارها مثل تروجانها، روتکیتها، باجافزارها و کیلاگرها نیز قابل استفاده است.
نحوه عملکرد بدافزار چندوجهی چگونه است؟
طراحان بدافزارها معمولاً از کدهای چندوجهی برای تولید بدافزارهایی که با سرعتی فراتر از سرعت تشخیص آنتیویروسها جهش مییابند استفاده میکنند. بعضی از این کدها حتی ممکن است هر ۱۵ الی ۲۰ ثانیه تغییر کنند. بنابراین حتی در کوتاهترین فاصله زمانی که موتور آنتیویروس، یک فایل خاص را شناسایی، ثبت و مسدود میکند همچنان نمونههای جدیدی ایجاد میشوند که آنتیویروسها قادر به شناسایی آنها نیستند.
به این ترتیب برخلاف بدافزارهای معمولی که به سرعت حذف یا قرنطینه میشوند، بدافزارهای چندوجهی به راحتی به سیستم مدنظر نفوذ میکنند. بنابراین اگر قربانی، نشانههای آلودگی بدافزاری را تشخیص ندهد بدافزار به صورت نامحدود به اجرای خود بر روی سیستم وی ادامه خواهد داد.
نحوه عملکرد بدافزارهای چندوجهیچه تفاوتی بین بدافزار چندوجهی و بدافزار دگرگونشونده وجود دارد؟
بدافزارهای چندوجهی و دگرگونشونده از روش جهش برای جلوگیری از امکان شناسایی توسط آنتیویروسهای مبتنی بر امضا استفاده میکنند. از این رو ممکن است از دو اصطلاح چندوجهی و دگرگونشونده به جای یکدیگر استفاده شود ولی باید توجه داشت که یک تفاوت بسیار مهم بین این بدافزارها وجود دارد.
در بدافزارهای چندوجهی، طراحان با ایجاد یک تغییر جزئی در بخشی از کد بدافزار، نمونه جدیدی از آن را تولید میکنند؛ در حالی که در بدافزارهای دگرگونشده، کل کد تغییر میکند. به همین خاطر بدافزارهای دگرگونشده دارای کارایی بسیار بیشتری بوده و شناسایی آنها نسبت به بدافزارهای چندوجهی بسیار سختتر است.
بدافزارهای چندوجهی چه افراد و سازمانهایی را مورد هدف قرار میدهند؟
اگرچه طراحی بدافزار چندوجهی نسبت به بدافزارهای سنتی به زمان بیشتری نیاز دارد ولی تولید آن در مقیاس انبوه چندان هزینهبر نیست. همچنین از آنجا که مجرمان سایبری از رویکردهای هک پیشرفته برای حمله به کسبوکارها و سایر اهداف ارزشمند استفاده میکنند، شرکتها و تمامی کاربران نباید مخاطرات این بدافزارها را نادیده گرفته و از آنها غافل شوند.
بدافزار چندوجهی در چه مواردی کاربرد دارد؟
با توجه به امکان ایجاد تغییر در کد همه بدافزارها به راحتی میتوان از بدافزارهای چندوجهی برای انجام اهداف مختلف استفاده کرد. بعضی از اقداماتی که توسط بدافزارهای چندوجهی قابل انجام هستند، عبارتند از:
- باجافزارهایی که فایلها را رمزنگاری و قفل نموده و برای باز کردن آنها درخواست باج میکنند.
- کیلاگرهایی که کلیدهای فشار داده شده بر روی صفحه کلید را جهت سرقت اطلاعات مهم از جمله کلمه عبور کاربران ثبت مینمایند.
- روتکیتهایی که امکان دسترسی به سیستمها را از راه دور فراهم میکنند.
- دستکاری مرورگر که باعث هدایت کاربر به سمت وبسایتهای مخرب میشود.
- آگهیافزار که سرعت رایانه را کاهش داده و محصولات مخرب را تبلیغ میکند.
چگونه از آلودگی به بدافزار چندوجهی جلوگیری کنیم؟
کارشناسان امنیتی همچنان توصیه میکنند از آنتیویروسهایی استفاده کنید که قدرت شناسایی بدافزارهای چندوجهی را دارند. در ادامه تعدادی از راهکارهای مقابله با این بدافزارها را بررسی میکنیم.
نصب آنتیویروس فرااکتشافی (هیوریستیک)
آنتیویروس فرااکتشافی نیز مانند سایر آنتیویروسهای سنتی از امضا برای تشخیص بدافزار استفاده میکند اما به جای پیدا کردن فایلهایی که با نمونههای شناخته شده تطبیق دارند، فایلهایی را جستجو میکند که بخشهایی از آن به بدافزارهای شناخته شده شباهت داشته باشند. به این ترتیب امکان تشخیص فایل بدافزار حتی پس از ایجاد تغییرات مهم و قابل توجه در آن وجود خواهد داشت.
نصب آنتیویروس مبتنی بر رفتار
تعدادی از آنتیویروسها با نظارت بر روی رایانه شما و رفتار فایلها و برنامهها میتوانند بدافزارها را شناسایی کنند. برای مثال برنامهای که ضربات وارد شده به صفحه کلید را ثبت کند، صرفنظر از اینکه امضای آن با بدافزارهای شناخته شده همخوانی دارد یا خیر یک کیلاگر محسوب میشود. چنین آنتیویروسهایی معمولاً قابلیت شناسایی بدافزارهای چندوجهی را هم دارند.
بهروز نگهداشتن نرمافزارها
انواع مختلفی از بدافزارها برای بهرهبرداری از آسیبپذیریهای شناخته شده در نرمافزارهای محبوب طراحی شدهاند. البته امکان حذف این آسیبپذیریها از طریق بهروزرسانی منظم نرمافزارها و برنامههای کاربردی وجود دارد. در نتیجه حتی در صورت وجود بدافزار چندوجهی بر روی رایانهتان همچنان آسیب جدی و قابل توجهی به سیستمتان وارد نخواهد شد.
تشخیص بدافزار توسط خود شما
جدای از پیچیدگی هر بدافزار، اجرای آن بر روی رایانه منجر به ایجاد نشانههای خاصی میشود. از جمله این علایم میتوان به موارد زیر اشاره کرد:
- کند شدن سرعت پردازشی رایانه
- افزایش ناگهانی تعداد تبلیغات اینترنتی
- باز شدن صفحات ناخواسته در مرورگر
- نمایش پیامهای غیرعادی توسط رایانه
حتی وقوع یکی از این نشانهها میتواند ناشی از وجود بدافزار در سیستمتان بوده و شما باید اقدامات لازم را جهت حذف آن انجام دهید.
دقت در هنگام استفاده از اینترنت
تمام بدافزارها از جمله بدافزارهای چندوجهی فقط در صورت انجام یک اقدام اشتباه از سوی خود قربانی امکان ایجاد آلودگی در سیستم وی را دارند. از این رو توجه به وبسایتهایی که از آنها بازدید میکنید، پیوستهای ایمیلی که باز و فایلهایی که دانلود میکنید و همچنین احتیاط در این زمینه یکی از روشهای آسان برای جلوگیری از نفوذ بدافزار به رایانهتان است.
آیا بدافزار چندوجهی مشکل مهمی است؟
مفهوم بدافزار چندوجهی موضوع تازهای نبوده و از جمله تهدیدات دایمی در دنیای اینترنت و فضای مجازی محسوب میشود. اگر تولیدکنندگان آنتیویروسها همچنان به استفاده از رویکردهای تشخیص مبتنی بر امضای خود ادامه دهند، این شرایط همچنان پایدار و ماندگار خواهد بود. استفاده از آنتیویروسهای مبتنی بر رفتار و همچنین توجه و دقت کافی به رفتارتان در هنگام کار با اینترنت و وبگردی میتواند مانع از آلودگی سیستمتان به بدافزارها شود.
منبع: فراست
