x
تبلیغات

Security Top Image 01 

 

بدافزارها، نرم افزارهایی هستند که بدون رضایت یا آگاهی کاربر بر روی سیستم نصب می شوند.

این موارد شامل ویروس ها، کرم ها، اسب های تروا، نرم افزارهای جاسوسی و نظایر اینها می باشند. اگر یک رایانه روشن باشد، پس مستعد آلوده شدن با بدافزار است. بیشتر بدافزارها، از طریق اینترنت (مثلا از طریق پست الکترونیک)، منتقل می شوند اما مکانیزمهای انتقال دیگری نیز وجود دارد. برای مثال، ممکن است به مجرد اتصال یک فلش آلوده به کامپیوتر، بدافزار بر روی سیستم نصب شود.

 

امروزه قصد اولیه بدافزارها، بدست آوردن پول است. بدافزارها تلاش می کنند تا در حد امکان اطلاعات بیشتری را بدست آورند و سپس مهاجمین از این اطلاعات برای بدست آوردن پول استفاده می کنند. برخی اوقات این کار با دزدیدن هویت ها، اطلاعات مالی و خالی کردن حساب های بانکی انجام می شود. برخی اوقات مهاجمین به جمع کردن مقادیر کم در یک زمان از میلیون ها کاربر می پردازند. هدف دیگر بدافزارها، جاسوسی است، هم جاسوسی تجاری و هم جاسوسی دولتی.

 

جدول 2-1 برخی از انواع بدافزارها را معرفی می کند. در بخشهای زیر این موارد را با جزئیات بیشتری مورد بررسی قرار می دهیم.

نوع محافظت توضیحات
ویروس
نرم افزار ضد بدافزار به روز، کاربران آموزش دیده نیازمند تعامل توسط یک کاربر است
کرم
نرم افزار ضد بدافزار به روز، دیواره آتش به تعامل کاربر نیاز ندارد
اسب تروا نرم افزار ضد ویروس ، کاربران آموزش دیده شبیه نرم افزاری سودمند است اما یک جزء مخفی دارد
سرریز حافظه سیستم عامل ها و برنامه های کاربردی به روز  شده در معرض قراردادن حافظه با ارسال کد غیر منتظره ای به یک سیستم
نرم افزار جاسوسی نرم افزار ضد ویروس به روز یا نرم افزار ضد جاسوسی بدون آگاهی کاربر، اطلاعاتی درباره کاربر را جمع آوری می کند

Botnet ها و ضد بدافزارها

بیشتر بد افزارهای امروزی با هدف اولیه مسلط شدن یه یک رایانه و وصل نمودن آن به یک botnet (یا شبکه رباتی) عمل می کنند. رایانه ها به عنوان مشابه سازی شده یا تسخیر شده عمل می کنند و برای مهاجمین کار می کنند. بسیاری از botnet ها شامل دهها هزار نسخه شبیه سازی شده می شوند و برخی بیش از یک میلیون نسخه شبیه سازی شده دارند. یک سرویس دهنده که با عنوان سرویس دهنده دستور-و-کنترل شناخته می شود، مشابه سازی شده های درون یک botnet را کنترل می کند، و یک مهاجم، سرویس دهنده را کنترل می کند. برای مهاجمین اینکه تقریبا به اندازه یک کاربر رایانه کنترل روی سیستم داشته باشند، غیر معمول نیست.

شبیه سازی شده ها با سرویس دهنده دستور-و-کنترل، برای اینکه تعیین شود که چه کاری انجام دهند، بصورت دوره ای بررسی می شوند. می توان آنها را برای اجرای حملات منع سرویس بر ضد اهدافی بر روی شبکه اینترنت یا ارسال میزان سیل آسایی از هرزنامه های آلوده برای کاربران غیر مشکوک، بکار گرفت. تمام این کارها کاملا برای کاربر ناشناخته است.

هر رایانه ای که به اینترنت دسترسی دارد (حتی رایانه هایی که در شبکه های خصوصی هستند)، می توانند تسخیر شده باشند. بهترین راه های محافظت، نرم افزار ها و ضد ویروس های فعال و کاربران آموزش دیده می باشند. 

ویروس

یک ویروس رایانه ای، یک برنامه قابل اجرا است که از رایانه ای به رایانه دیگر منتشر می شود. یکی از عملکرد های کلیدی برای یک ویروس، تکثیر خودش است. به واسطه این خود تکثیری است که انتقال می یابند. نویسندگان ویروس آنها را برای اخلال در عملیات معمول یک رایانه می نویسند. برخی از خرابی هایی که یک ویروس می تواند به بار بیاورد شامل موارد زیر می شود :

  • عضو کردن رایانه شما در یک شبکه رباتی
  • خراب کردن یا حذف اطلاعات سیستم شما
  • حذف هر آنچه بر روی دیسک سخت شما وجود دارد
  • ارسال خود از طریق پست الکترونیک به رایانه های دیگر با استفاده از فهرست آدرس های پست الکترونیک شما

ویروس ها در اشکال مختلف وجود دارند. رایج ترین روش حمل یک ویروس بعنوان یک فایل الصاق شده به یک پیام پست الکترونیک یا از طریق پیام رسانی فوری است. برای مثال، هرزنامه غالبا حاوی بدافزار است. هرز نامه ها می توانند شامل آگهی های تبلیغاتی بی ضرر باشند، اما امروزه هرزنامه هایی که حاوی کدهای بدخواه هستند، بیشتر رایج شده اند.

هرزنامه، یک نامه الکترونیکی ناخواسته یا درخواست نشده است. هرزنامه غالبا شامل بدافزار به عنوان یک فایل الصاق شده است، با کدهای جاسازی شده که می تواند باعث خرابی شود یا به وب سایت های بدخواه وصل شود.

برخی از راه های معمول که ویروس ها می توانند از طریق آنها انتقال یابند عبارتند از :

الصاقیه به نامه های الکترونیکی ناخواسته: هرزنامه ها غالبا بدافزار بوده و رایج ترین راه برای انتقال ویروس ها هستند. چنین پیام هایی ممکن است شبیه کارت های تبریک، فایل های صوتی، فایل های ویدیویی، یا تصاویر به نظر برسند. هنگامی که کاربر برای باز کردن فایل الصاق شده بر روی آن دوبار کلیک می کند، ویروس خودش را بر روی رایانه نصب می کند.

کدهای موجود در نامه های الکترونیکی ناخواسته: برخی از پیام های پست الکترونیک حاوی کدهای جاسازی شده ای در درون خود هستند. هنگامی که کاربر نامه الکترونیکی را باز می کند، کد اجرا می شود و ویروس نصب می شود. برخی از برنامه های پست الکترونیک (مانند Microsoft Outlook)، بصورت پیش فرض جلو اجرای کدها را می گیرند، اما ممکن است سایر برنامه های پست الکترونیک اجازه دهند کدها اجرا شوند.

نصب شده بر روی درایوهای USB: برخی اوقات ویروس ها به دنبال یک درایو USB هستند و بصورت خودکار درایو را هنگامی که به سیستم وصل می شود، آلوده  می کنند. وقتی کاربر درایو را به سیستم دیگری متصل می کند، ویروس آن سیستم را نیز آلوده می کند.

جاسازی شده درون فایل های بارگذاری شده: فایل های رایگان قابل بارگذاری، بعضی اوقات آلوده هستند. این فایل ها ممکن است رایگان افزار (کاملا رایگان) یا  اشتراک افزار (نیمه رایگان) باشند.

رایگان افزار نرم افزاری است که بدون پرداخت هیچ هزینه ای قابل دستیابی است. اشتراک افزار نرم افزاری است که برای یک دوره زمانی آزمایشی بدون هزینه در دسترس است. کاربر در صورتیکه بعد از اتمام دوره زمانی آزمایشی بخواهد به استفاده از آن ادامه دهد، ملزم به پرداخت هزینه است.

کرم ها

یک کرم یک برنامه نرم افزاری است که در یک شبکه، خودش را از رایانه ای به رایانه ای دیگر کپی می کند. بعد از اینکه یک کرم خودش را روی یک رایانه نصب می کند، قادر خواهد بود بسیاری از همان عملیات های مخرب را مانند ویروس انجام دهد. 

بزرگترین تفاوت بین یک کرم و یک ویروس این است که یک ویروس باید به نوعی در تعاملات انسانی اجرا شود اما یک کرم به هیچ تعامل انسانی نیاز ندارد. کرم ها می توانند خودشان را از طریق یک یا چندین روش متفاوت در سطح شبکه گسترش دهند. برای مثال، یک کرم می تواند آدرسهای IP رایانه های دیگر روی شبکه را تشخیص داده و سپس به دنبال درگاه های  باز آنها بگردد. هنگامی که کرم یک پورت قابل استفاده را پیدا می کند، رایانه های دیگر را آلوده می کند. کرم ها، می توانند آدرس های پست الکترونیک ذخیره شده در کتابخانه آدرس کاربر را نیز بخوانند و سپس خودشان را از طریق پست الکترونیک ارسال کنند.

از آنجا که کرم درسراسر شبکه گسترش می یابد، می تواند باعث کاهش کارایی شبکه شود. برخی از کرم ها، با گسترش سیل آسا، شبکه را با ترافیک بسیار زیادی که باعث کاهش سرعت کل شبکه می شود مواجه می کنند.

برخی از کرم های مشهوری که به شبکه ها و سیستم ها حمله کرده و آنها را آلوده کرده اند در زیر آمده اند:

Morris: کرم Morris یکی از اولین کرم ها بوده و بر اساس نام ایجاد کننده اش Robert Morris، نامگذاری شده است. این کرم از آسیب پذیری های موجود در برنامه ها یونیکس مانند Sendmail و Finger استفاده کرد و کلمات عبور ضعیف را شکست (کرک کرد). این کرم سیستم ها را چندین بار آلوده کرد و هر بار آلودگیی باعث مصرف منابع سیستم شد تا اینکه سرانجام، سیستم آلوده غیر قابل استفاده می شد یا واقعا از کار می افتاد (کرش می کرد).

Conficker (با عناوین Kido ،Downadup و Downup نیز شناخته می شود): بزرگترین کرم شناخته شده است. این کرم به سیستم های ویندوزی که وصله های به روزرسانی روی آنها نصب نشده است حمله می کند. تخمین زده شده است که این کرم بیش از 7 میلیون رایانه را آلوده کرده است که هر کدام از آنها در یک شبکه رباتی عظیم که در 200 کشور گسترش یافته است، کنترل می شوند.

Sasser: کرم Sasser از آسیب پذیری سرریز در حافظه برخی از سیستم های ویندوزی استفاده می کند. کرم به دنبال سایر سیستم های شبکه که پورت 445 آنها باز است می گردد و سپس حمله سرریز حافظه را برروی این پورت آغاز می کند. سیستم های آلوده بصورت تصادفی از کار می افتند و دوباره راه اندازی می شوند. این کرم باعث ایجاد مشکلات بزرگی برای چندین شرکت شده است. برای نمونه، ماشین های اشعه ایکس در یک بیمارستان خاموش شدند، که این کار باعث جلوگیری از ارایه سرویس های اورژانسی اشعه ایکس شد. همچنین این کرم در شرکت دیگری باعث بسته شدن تمامی 130 دفتر شرکت شد که این به دلیل طبیعت مخرب این کرم بود.

سرریز حافظه، در بخش دیگر مورد بررسی قرار می گیرد. بهترین دفاع در برابر حملات سرریز حافظه، به روز نگه داشتن سیستم عامل بوسیله نسخه های به روزآوری شده می باشد.

Blaster: کرم Blaster نیز از آسیب پذیری سرریز در حافظه در برخی سیستم های ویندوزی استفاده می کند. این کرم با ارسال خودش به کاربران دیگر روی شبکه،  بدون اینکه لازم باشد کاربران یک فایل الصاق شده به نامه الکترونیکی را باز کنند، منتشر می شود.

اسب های تروا

بدافزار اسب تروا، نرم افزاری است که به نظر کاربرد مشخصی دارد اما در واقع چیز دیگری است. برای مثال، ممکن است یک کاربر فریفته شود که یک بازی یا یک افزارکار  را بارگذاری کند. اما، علاوه بر بازی یا افزارکار، بارگذاری شامل نرم افزار بدخواهی که درون آن جایگذاری شده نیز می باشد. هنگامی که کاربر برنامه را نصب می کند، اسب تروا نیز نصب می شود.

نام اسب تروا، از اسب تروای اسطوره ای اقتباس شده است. در یونان اسطوره ای، یونانیان چندین سال سعی می کردند شهر تروی را تسخیر کنند اما موفق نبودند. سپس آنها یک اسب چوبی عظیم ساختند و مردم تروی را متقاعد کردند که آن اسب چوبی هدیه ای از طرف خدا است. سربازان یونانی در درون اسب مخفی شدند، و بقیه ارتش یونان از اردوگاهشان عقب نشینی کردند و وانمود کردند که تسلیم شده اند. مردم تروی اسب را به دورن شهر کشیدند و برای بخت و اقبال خوب خود جشن گرفتند. به مجرد اینکه مردمی که در جشن شرکت کرده بودند به خواب رفتند، سربازان از اسب بیرون آمدند و دروازه های شهر را باز کردند تا ارتش یونان (که برگشته بودند) وارد شهر شوند. اسب تروا به نظر چیزی بود (یک هدیه از طرف خداوند) اما چیز دیگری بود (وسیله ای برای سربازان، که موجب سقوط شهر تروی شد). به طور مشابه، نرم افزار اسب تروا به نظر چیزی می رسد اما چیز دیگری است.

امروزه مشهورترین نوع اسب تروا، Rogueware نامیده می شود. Rogueware یک برنامه جعلی است که انجام یک وظیفه خاص مثلا کار ضد ویروس را تبلیغ می کند. برنامه به کاربر اعلام می کند که رایانه اش آلوده است و سپس برای حذف این تهدید از کاربر می خواهد پرداخت انجام دهد. هدف برنامه تقاضای پرداخت است و چه تهدیدی بر روی ماشین وجود داشته باشد و چه وجود نداشته باشد، هرگز واقعا بررسی نمی شود. برای مثال، ممکن است در هنگام بازدید کاربر از یک وب سایت، یک کادر محاوره ای مانند شکل 2-1 را ببیند. علائم هشدار دهنده می توانند برای کاربران ناآگاه ترسناک باشند.

آزمایشگاه های ضد ویروس Panda، وجود قریب به یک میلیون از Rogueware های گوناگون را در سال 2009 ، گزارش دادند. مهاجمین بیش از 400 میلیون دلار در سال از طریق Rogueware درآمد داشته اند.

شکل 1-2 : پیام هشدار Rougeware

من این کادر محاوره ای شکل 1-2 را ایجاد کرده ام، اما هشدارهایی که توسط نویسندگان rogueware ایجاد می شود شبیه همین هستند.

اگر کاربر دکمه Scan System Now نشان داده شده در شکل 1-2 را بفشارد، بارگذاری و نصب نرم افزار بدخواه آغاز می شود. برخی از Rogueware ها ویروس های دیگری را نیز نصب می کنند. بیشتر آنها غالبا، گزارش می دهند که سیستم کاربر با ویروس خاصی آلوده شده است اما متاسفانه نسخه آزمایشی رایگان نرم افزار آنها را از بین نمی برد. کاربر ترغیب می شود که نسخه کامل نرم افزار را بخرد. بسیاری از کاربران برای «درست کردن» رایانه شان، با خوشحالی نرم افزار را می خرند. سپس برخی از مهاجمین اطلاعات کارت اعتباری خریداران را می فروشند.

در شکل 1-2، نسخه rogueware ،Infected Your PC نامیده شده است. اگرچه این نشان می دهد که مشکلی اتفاق افتاده ، لیکن در واقع Rogueware موجود نیست. برای مثال، یک نسخه از Roguware ،Secutity Essential 2010 نامیده می شود. در واقع آن برنامه Security Essential Microsoft واقعی که شرکت مایکروسافت ایجاد کرده و انتشار داده نیست، اما نامش آنقدر مشابه نسخه اصلی است که بسیاری از کاربران را فریب می دهد.

بعدا در این فصل، چگونگی بارگذاری و نصب Microsoft Security Essentials برروی سیستم شما مورد بررسی قرار خواهد گرفت. Microsoft Security Essentials یک Rogueware نیست.

Rogueware ها با نام های متفاوت و رابط های کاربری مختلف ظاهر می شوند، اما همه آنها در تلاش برای یک هدف هستند، فریب کاربر که آن را بر روی سیستم اش نصب کند و سرانجام، درخواست پرداخت پول از کاربر. مهاجمین خبره هستند و برنامه هایی که خیلی واقعی به نظر می رسند ایجاد می کنند. بهترین دفاع به روز نگه داشتن نرم افزار ضد ویروس با استفاده از یک منبع قابل اعتماد و آگاه نمودن کاربران است.

Stuxnet

Stuxnet اولین بدافزار شناخته شده ای است که نشان داده است توانایی تاثیر گذاری روی سخت افزار سیستم کنترل صنعتی را دارد. حتی هنگامی که شبکه ها از اینترنت ایزوله شده اند، Stuxnet با موفقیت به شبکه ها نفوذ کرده و به این سخت افزار دسترسی می یابد.

این بدافزار کار خود را بعنوان بدافزاری که سیستم های ویندوزی را آلوده می کند، آغاز می نماید. Stuxnet  اصولا از طریق حافظه های فلش USB انتقال می یابد. هنگامی که کاربری فلش آلوده ای را به رایانه ای که دارای سیستم عامل ویندوز است متصل می کند، ویروس، سیستم را آلوده می کند. Stuxnet، سیستم های ویندوزی را خراب نمی کند، اما در عوض از یک کرم برای جستجوی یک سخت افزار خاص استفاده می کند.

اگرچه اثبات اینکه تاسیسات انرژی هسته ای ایران هدف این بدافزار بوده دشوار است، سخت افزار استفاده شده در این تاسیسات تحت تاثیر قرار گرفت. همان سخت افزار در دیگر تاسیسات صنعتی سایر کشورها نیز استفاده می شود. برای مثال تاسیسات هند، پاکستان، و اندونزی نیز آلوده شده اند. اگر Stuxnet بتواند مکان سخت افزار را بیابد، سیستم را با بدافزار دیگری که تجهیزات را تخریب می کند، آلوده می کند. 

Stuxnet در رسانه ها توجه زیادی را به خود جلب کرده است و تئوری های مختلفی درباره اینکه چه کسی و چرا آنرا ایجاد کرده، نوشته شده است. احتمالا ، حقیقت تا ده ها سال آشکار نخواهد شد، اما این بدافزار بعنوان بدافزاری با خطرات بالقوه بسیار، در اذهان کارشناسان امنیت می ماند.

حملات buffer overflow

برنامه های کاربردی از فضای حافظه (Buffer) برای ذخیره موقتی داده ها استفاده می کنند. برای مثال، وقتی شما فرمی را که بر روی یک صفحه وب قرار دارد پر می کنید، اطلاعات شما بطور موقت در Buffer برنامه ذخیره می شود. حملات Buffer Overflow از آسیب پذیری های شناخته شده درون سیستم عامل ها و برنامه های کاربردی استفاده می کنند. Buffer Overflow هنگامی اتفاق می افتد که یک برنامه کاربردی داده هایی دریافت می کند که قادر به اداره آنها نیست، در نتیجه یک خطا روی می دهد. خطا باعث می شود برنامه کاربردی داده هایی بیشتر از آنچه Buffer می تواند اداره کند، را در یک Buffer بنویسد و به این ترتیب داده های پیش بینی نشده به فضاهای حافظه دیگر، سرریز می کنند.

تمام خطاهای برنامه کاربردی منجر به Buffer Overflow نمی شوند. اما، هنگامی که Buffer Overflow اتفاق می افتد، ممکن است از یک خطا استفاده شده باشد.

شکل 2-2 را در نظر بگیرید. غالبا در Buffer برنامه، فضایی از حافظه در دسترس برنامه های کاربردی قراردارد. برنامه کاربردی به این فضا دسترسی دارد اما به فضاهای دیگر حافظه دسترسی ندارد. در سمت راست شکل 2-2، نشان داده شده است که برنامه کابردی ورودی پیش بینی نشده ای دریافت کرده که باعث ایجاد یک خطای داخلی شده است. خطا باعث می شود که حافظه سیستم دیگری برای برنامه کاربردی در معرض استفاده قرار گیرد که این منجر به وقوع Buffer Overflow می شود.

شکل 2-2 : آسیب پذیری Buffer Overflow

هنگامی که مهاجمین داده ای که می تواند باعث Buffer Overflow شود را کشف می کنند، به انتهای داده کد خود را اضافه می کنند. این داده منجر به سرریز میانگیر می شود، و این کد درون فضای حافظه ای که در اثر سرریز میانگیر در دسترس برنامه قرار گرفته وارد می شود. به عبارت دیگر، آنها کد بدخواه را می نویسند و به سیستم وارد می کنند.

ممکن است از اصطلاح داده پیش بینی نشده، متعجب شده باشید. این داده می تواند هر داده ای باشد که ایجاد کننده برنامه کاربردی آنرا پیش بینی نکرده و برای آن برنامه ای ندارد. برای نمونه، شما احتمالا می دانید که هیچ عددی را نمی توان به صفر تقسیم کرد. اگر سعی کنید این کار را انجام دهید، خطایی دریافت خواهید کرد. اگر ایجاد کننده برنامه کاربردی ، احتمال اینکه کاربر عدد صفر وارد نماید را پیش بینی نکند، عدد صفر توسط برنامه کاربردی، پیش بینی نشده در نظر گرفته می شود و ممکن است باعث شود سیستم وارد وضعیت ناشناخته ای شود.

بیشتر برنامه ها، خطاهای تقسیم بر صفر را مدیریت می کنند. برنامه خطایی به کاربر نمایش می دهد، اما به کار خود ادامه می دهد.

بیشتر ایجاد کنندگان برنامه های کاربردی با بررسی ورودی صحیح، آشنا هستند. آنها از مکانیزم بررسی خطا برای اینکه به زیبایی به کاربر نشان دهند که چه ورودی هایی مجاز هستند، استفاده می کنند و ورودی های نا معتبر کاربر را نادیده می گیرند. اما تعداد داده های ورودی تقریبا بینهایت است و اگر تنها یکی که برای آن برنامه ریزی نشده کشف شود، ممکن است یک Buffer Overflow اتفاق بیافتد.

سه روش عمده برای اجتناب از مشکلات مرتبط با حملات سرریز میانگیر وجود دارد:

اعتبار سنجی ورودی : ایجاد کننده برنامه کاربردی باید قبل از بکارگیری تمامی داده های وروردی آنها را اعتبار سنجی نماید. برای مثال ، اگر انتظار می رود ورودی عددی بین 1 و 100 باشد، برنامه باید بررسی نمایدکه داده ورودی عددی معتبر بین 1 و 100 باشد. هنگامی که کاربر عدد نامعتبری را وارد می کند، برنامه کاربردیی نباید از آن استفاده نماید، اما در عوض خطایی مناسب کاربر ارایه دهد که به کاربر اینکه چه داده هایی معتبر در نظر گرفته می شوند را نشان دهد.

آزمون برنامه کاربردی: آزمون برنامه کاربردی برنامه کاربردی را قبل از انتشار، بصورت آزمایشی در مراحل آن قرار می دهد. هدف از آزمون تشخیص و رفع مشکلات است. آزمون وظیفه ای یکی از انواع آزمون است که برای آزمایش برنامه کاربردی مورد استفاده قرار می گیرد. برای مثال، اگر عددی بین 1 و 100 مورد انتظار است،، برای اینکه مشاهده شود که برنامه چگونه ورودی را در لبه مقادیر پذیرفته شده مدیریت می کند، اعداد 0 ، 1 ، 2 ، 99 ، 100 و 101 وارد می شوند. مشکلات کشف شده، برای ایجاد کننده برنامه فرستاده می شوند تا آن را اصلاح کند. 

وصله های به روز: وقتی آسیب پذیری های سرریز میانگیر کشف شد، معمولا فروشنده یا ایجاد کننده برنامه کاربردی برای اصلاح مشکل موجود محصول فایل های وصله را انتشار می دهد. البته ، این وصله تنها در صورت اعمال سودمند است. بسیاری از کرم ها، از آسیب پذیری های سرریز میانگیر بهره برداری می کنند، اما تنهاا بر روی سیستم هایی که فایل های وصله بر روی آنها نصب نشده است، موفق هستند. اگر فایل وصله به سیستم اعمال شود، کرم، نمی تواند از آسیب پذیری سوء استفاده نماید. 

جاسوس افزار 

جاسوس افزار نرم افزاری است که بدون اجازه کاربر یا بدون اینکه به کاربر اعلام کند یا هیچ کنترلی را در اختیار کاربر قراردهد، خودش را بر روی سیستم نصب می کند. جاسوس افزار ممکن است هیچ نشانه ای نداشته باشد زیرا تا حد زیادی بصورت غیر عامل  عمل می کند. این بدافزار در پس زمینه می نشیند، اطلاعات جمع آوری می کند و نمی خواهد کشف شود.

سالها پیش، جاسوس افزار به ردگیری کاربر و تشخیص عادت های خرید او برای اینکه با آگهی های تبلیغاتی خاص کاربر را مورد هدف قرار دهد، راضی می شد. اما، جاسوس افزارهای به تدریج بدخواه شدند.

جاسوس افزار غالبا به دنبال جمع آوری اطلاعات شخصی درباره یک کاربر و عادت های برخط یک کاربر است. بیشتر جاسوس افزارهای بدخواه تلاش می کنند درباره کاربر، اطلاعات قابل شناسایی شخصی  را کشف کنند. این PII میتواند برای شناسایی دزدی یا برای هک کردن حساب های مالی برخط یک کاربر ، استفاده شود.

یکی از روش های رایج جاسوس افزار، استفاده از یک keylogger است. Keylogger برنامه ای است که تمامی ضربه های کلید های صفحه کلید سیستم را ثبت می کند. کلید ها درون یک فایل ثبت(لاگ) می شوند، که مهاجم بعدا آنرا بررسی می کند. فایل لاگ شامل همه چیزهایی است که کاربر تایپ کرده که شامل URLها، نام های کاربری و کلمات عبور می باشد. برای مثال، هنگامی که کاربر با نام کاربری و کلمه عبور به سایت وب بانک اش وارد می شود، نرم افزار Keylogger می تواند نام کاربری، کلمه عبور، یا PIN تایپ شده توسط کاربر را ثبت کند. مهاجم می تواند بعدا با استفاده از همان عوامل اعتبار سنجی (نام کاربری، کلمه عبور، PIN) ، خود را بجای کاربر جا بزند.

آشنایی با تهدید

بسیاری از مردم تهدید بدافزار را دست کم می گیرند. درک اینکه تهدید واقعا تا چه حد سنگین است، با ارزش است. گزارش امنیتی سالیانه 2010 آژانس MessageLabs، برخی از این آمارهای جالب را که در زیر فهرست شده را نشان می دهد. گزارش توسط شرکت Symantec پشتیبانی شده و از طریق آدرس زیر قابل دسترس است :

http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf

  • هرزنامه در حال افزایش است، 98% از تمامی نامه های الکترونیکی، هرز نامه هستند.
  • تقریبا 5 میلیون شبکه رباتی بطور منظم هرزنامه ارسال می کنند.
  • بیش از 88% از هزرنامه ها توسط شبکه های رباتی ارسال می شود.
  • شبکه رباتی Rustock شامل بین 1.1 میلیون تا 1.7 میلیون نسخه های شبیه سازی شده است که در روز، در حدود 44 بیلیون هرزنامه ارسال می کنند.

نه، آنها typo نیستند. شبکه رباتی Rustock، بیش از 1 بیلیون نسخه شبیه سازی شده داشت و بیش از بیلیون ها هرزنامه در یک روز ارسال می کرد. حداقل تا زمانی که مایکروسافت در مارچ 2011 به کاهش آن کمک کرد.

  • بیش از 339,600 مورد بدافزار در پست الکترونیک تشخیص داده شده.
  • تخمین زده می شود که تقریبا 95.1 بیلیون نامه الکترونیکی phishing در سال 2010 در حال گردش بوده اند.
  • حملات phishing ردگیری شده در مورد بیش از 1500 سازمان مختلف جعل هویت انجام داده اند.
  • تقریبا 43,000 سایت وب که دارای تهدیدات بدخواه وبی هستند تشخیص داده شده اند.
  • تقریبا 90% از سایت های وب مسدود شده، سایت های وب قانونی بودند که توسط بدافزارها به خطر افتاده اند.

واضح است که تهدید بدافزار، واقعی است. شما نمی توانید سرتان را زیر برف کنید و وانمود کنید که خطر وجود ندارد. سازمان ها باید این را درک کنند و اقدامات پیش گیرانه ای برای محافظت در برابر بدافزار به انجام برسانند.

 

  

لینک های مرتبط با این مقاله:

  1. اصول امنیت در سیستم عامل Windows (قسمت اول) - آشنایی با بدافزار و مهندسی اجتماعی
  2. اصول امنیت در سیستم عامل Windows (قسمت سوم) - محافظت در برابر بدافزارها
  3. اصول امنیت سیستم عامل Windows (قسمت چهارم) - ناکام گذاردن مهاجمین مهندسی اجتماعی
  4. اصول امنیت سیستم عامل windows (قسمت پنجم) - محافظت از پست الکترونیکی