آیا تا به حال فکر کرده اید که کامپیوتر شما چگونه ویروسهارا شناسایی می کند؟
بیایید برای پیبردن به این راز با هم سری به پشت صحنه ESET بزنیم تا دریابیم که محققان چگونه ویروسها را شکار میکنند.
هدف واقعی از طراحی یک نرم افزار امنیتی با کارآیی مناسب، ایجاد اختلال در کارهای کامپیوتری و بمباران کردن شما با انبوهی از اطلاعات و هشدارها نیست.
در حقیقت سایتهایی که از یک نرم افزار امنیتی کارآمد بهره می برند تنها با اتکا به پیغام های pop –up گاه به گاه از کامپیوتر شما در برابر تهدیدهامحافظت کرده و شما را از خطرات جدی که سرراهتان قرار دارند مطلع میسازند.
البته واضح است که عدم وجود این مداخله گرها با عث میشود شما با راحتی و لذت بیشتری از کامپیوتر استفاده کنید اما بعضی وقتها این لذت دوام زیادی ندارد. شاید گاهی اوقات در مورد کارایی درست یا خرابی کامپیوتر خود دچار تردید بشوید.
با این حال، عوامل زیادی در پشت صحنه این سناریو دست اندرکارهستند. نرم افزار امنیتی تمامی فایلهای قابل دسترس شما و هر بایت از ترافیک اینترنت را بررسی میکند تا تهدیدهای بالقوه را تحت نظر قرار دهند.
علاوه براین، نرم افزارهای ویروس یاب به پشتوانه تیمی از مهندسان کار میکنند که ویروسها را از دنیای وحش اینترنت میربایند و پس از آنالیز کردن، آنهارا به نرم افزارهای ویروس کش یا بروزرسان واگذار می کنند تا با طالع نهاییشان روبرو گردند.
این دستاندرکاران پشت صحنه، شما را برای رهایی از شر بدافزارها یاری می نمایند.
برای پی بردن به اینکه مهندسان چگونه چنین کاری را انجام می دهند ما اطلاعاتی از مهندسان ESET گرفتیم تا بررسی جامعی در خصوص شناسایی ویروسها داشته باشیم.
ویروسکشی با تدبیر
نرم افزارهای ویروسیاب به منظور بررسی وجود بدافزار در فایلهای بارگذاری شده، فایلهای در حال اجرا و یا فایلهای موجود در وب سایتها طراحی شدهاند و این امکان را دارند تا قبل از اجرا شدن این بدافزارها آنها را سرجای خود بنشانند.
نرم افزار ضدویروس برای انجام این کار در ابتدا باید ماهیت ویروس و ظاهر آن را بشناسد تا بتواند نحوه متوقف کردن آن را تشخیص بدهد و نیز باید با برنامههای غیرویروسی آشنایی کامل داشته باشد تا برنامه های مجاز را بلاک ننماید.
معمولا با استفاده از یک دیتابیس به اصطلاح امضای فایل ها که حاوی تمامی اطلاعات نرم افزاری مورد نیاز برای شناسایی و بلاک کردن ویروس است می توان این کار را صورت داد.
این امضاها توسط یک تیم متخصص که کارشان شناسایی بدافزارها و طراحی راهکارهای لازم برای شناسایی و مقابله با آنها است به وجود آمدهاند.
شناسایی جدیدترین تهدیدات و مقابله با آنها از طریق بروزترین روشهای ممکن، بخش مهمی از فرآیند نبرد با ویروسها می باشد.
ESET که یکی از نرم افزارهای پیشرو در این زمینه است، امنیت همیشگی کامپیوتر شما را به خوبی تضمین میکند.
این نرم افزار با به کارگیری طیف متفاوت و وسیعی از روشهای تخصصی قادر است بدافزارها را شکار کرده و پس از آنالیز کردن آنها را بلاکه کند.
آشکارسازی هویت
یکی از هوشمندانهترین روشهای ESET در شناسایی و انهدام ویروسهای جدید، دخیل کردن کاربران در این روند است. همانطور که اشاره شد نرم افزار امنیتی، بدافزارها را به کمک امضاهای ویروس شناسایی می نماید.
در گذشته، یعنی در زمانی که اینگونه تهدیدات بسیار انگشت شمار بودند برای شناسایی هر تهدید تنها یک امضا طراحی می شد که می توانست به صورت یک فایل هش ساده (hash file) که fingerprint فایل است باشد.
اما امروزه نشانه های مربوط به شناسایی تهدیدات چندان واضح و قابل تشخیص نیستند. بدافزارها دائما بروز میشوند و طیف جدیدی از همان آلودگیها لحظه به لحظه گسترش مییابند.
در واقع اتکا به یک فایل ساده هش باعث میشود بسیاری از بدافزارها از چشم شما پنهان بمانند و جدای از آن هر نسخه واحد، امضای خاص خود را دارد.
ESET برای مقابله با این مشکل، امضاهای هوشمندانه ای پدید آورده است که به جای تحت نظر گرفتن ظاهر و عملکرد فایل، آلودگی بوقوع پیوسته در آن را هدف قرار میدهند. با استفاده از این روش یک امضا می تواند هزاران نوع بدافزار را پوشش داده و طیفهای جدید آن را قبل از نگاشته شدن بلاک نماید.
مهارتی که در پس این روش شناسایی وجود دارد نوشتن نوعی از امضاهای ویروسی است که برای پوشش دادن طیفهای متفاوت بدافزارها به اندازه ای گستردگی دارند و نرم افزارهای مجاز را نیز بلاک نمیکنند.
خبرهای جدید
امضاهای ESET میتوانند تهدیدات جدیدی که رفتارهایی مشابه با ویروسهای پیشین دارند را بلاک کنند. اعضای سرویس گزارشدهی، در خصوص بدافزارهای بلاک شده و دلیل آن اطلاعات جدیدی را به ESET ارسال مینمایند.
حتی اگر یک بایت از بدافزار نیز ناشناخته باشد از طریق اینترنت در ESET بارگذاری می شود تا آنالیزهای بیشتری روی آن صورت گیرد. از سوی دیگر، کاربران میتوانند فایلهای ناآشنا و مشکوک را به صورت دستی برای شرکت ارسال کنند.
این اقدام به شرکت کمک می کند تا در شناسایی بدافزارها و آلودگی های ویروسی و یافتن روشهایی برای مقابله با آنهاهمیشه پیشتاز باشد.
یک طعمه جذاب
از آنجا که اغلب کامپیوترها به سبب حملات مستقیم ویروسی آلوده می شوند ESET به هانیپاتها (honeypot) روی آورده است.
هانی پات به بیان ساده تر، کامپیوتری با مرکزیت اینترنت است که نقش یک طعمه دلفریب را برای تبهکاران اینترنتی بازی میکند.
هانی پات دائما مشغول نظارت و بررسی است و زمانی که مورد حمله و آلودگی قرار می گیرد امکان دسترسی به این تهدیدات و آنالیز کردن آنها را برای ESET میسر می سازد.
تمامی شرکتهای مهم فعال در زمینه آنتی ویروس در به اشتراک گذاشتن نمونهها با هم همکاری می کنند. ESET اطلاعات مربوط به تهدیداتی که سایر شرکتها موفق به کشف آن نشده اند را در اختیارشان قرار می دهد و نیز قادر است بدافزارهای کشف شده توسط شرکتهای دیگر را مورد آنالیز قرار دهد.
شناسایی انواع بدافزارها
ESET از طریق روشهای ذکر شده روزانه ۲۰۰،۰۰۰ فایل آلوده که قبلا هرگز دیده نشدهاند را دریافت میکند که همه آنها نیازمند آزمایش، امتحان کردن و گنجانده شدن در درون محصولات امنیتی میباشند.
این شرکت حتی با بکارگیری مهندسهایی در کشورهای اسلواکی، لهستان، کروات، چکسلواکی، روسیه، سنگاپور، کانادا و آرژانتین وجود یک فرد با مهارت جهت انجام اینگونه وظایف را به صورت شبانهروزی تضمین می نماید.
با این حال، هیچ یک از این ۲۰۰،۰۰۰فایل به صورت دستی پردازش نمی شوند چرا که بسیاری از بدافزارهای جدید در واقع نوع دیگری از بدافزارهای فعلی هستند.
در مورد تعدد گونه های بدافزار دلایل بسیاری را می توان برشمرد که در کنار آن دشواریهای مقابله با مشکلات و تهدیدات عمده، اضافه کردن مشخصههای جدید، بوجود آوردن راهکارهای امنیتی جدید و یا تغییر آنها، شناسایی تهدیدات را مشکلتر می سازد.
تشخیص اینکه بسیاری از بدافزارها از یک نوع هستند امتیاز مهمی برای شرکت محسوب میشود. ESET جهت بررسیهای مقدماتی روندهای روتینی را به صورت اتوماتیک به اجرا میگذارد و در صورت کشف فایلی که مربوط به یکی از انواع بدافزارهای شناخته شده باشد میتواند فایلهای امضا را تنظیم کرده و بدون اجازه به وارد شدن جستجو گران آن را نابود میکند.
قلمرو ناشناخته
در صورت جدید بودن یک بدافزار و عدم نسبت آن با بدافزارهای شناخته شده، فایلهای یافت شده را میتوان رهسپار آنالیزهای عمقیتر نمود. بعنوان مثال Flashback botnet یکی از نمونه بدافزارهای جدید است.
یک بوت نت شبکه ای از کامپیوترهای آلوده است که تبهکاران سایبری بواسطه آن بسیاری از اهداف خود مانند ارسال ایمیلهای اسپم به چندین کامپیوتر را عملی میکنند.
بوت نت از طریق Flashback با بیش از ۶۰۰،۰۰۰کامپیوتر مک مرتبط بود. ESET پس از آنالیز این تهدید، بوت نت را تحت نظارت و بررسی قرار داد و متعاقب آن با دنبال کردن فرمانها و سرورهای کنترل، مدیریت کامپیوترهای آلوده را بدست گرفت.
این اطلاعات به شرکت امکان می دهد تا اطلاعات مربوط به انواع جدید بدافزارهای Flashback را جمع آوری کرده و به سرعت کاربران را از این تهدید برهاند. چنین پیشزمینهای در خصوص نحوه عملکرد بدافزارها، امکان نوشتن امضاهای درستتر و جامع تر که بدافزارهاباید بوسیله آنهابلاک شوند را فراهم می آورد.
بازخورد اطلاعات
پس از شناسایی و طبقهبندی تهدیدات، لازم است که اطلاعات حاصل شده به نرم افزار ارجاع داده شود. نحوه شناسایی تهدیدات تا میزان زیادی به امضاها متکی است و امضاهای جامعی که ESET از آنها استفاده میکند امنیت گستردهای را بوجود میآورد اما برای اطمینان از توان آنها در رویارویی با تهدیدات جدید و بلاک نکردن نرم افزارهای قانونی هنوز هم نیاز به بروزرسانی است.
مدت زمان لازم برای خلق یک امضا به نوع تهدید بستگی دارد. درصورتی که این تهدید یکی از انواع شناخته شده باشد و شناسایی آن نیز بصورت اتوماتیک صورت گرفته باشد ایجاد یا بروزرسانی امضای اتوماتیک تنهابه چند دقیقه زمان نیاز دارد.
در مورد بدافزارهای جدید این زمان کمی بیشتر است هرچند که این امضاها بمنظور بلاک کردن تهدیدات باید به سرعت ایجاد شده و اطلاعات مربوط به آن برای بررسیهای بیشتر بازخورد داده شود. تنظیمات امضاها را می توان در مراحل بعدی نیز انجام داد.
نرم افزار ESET معمولا چهار بار در طول روز بروزرسانی میشود. با این حال، امضاها پیشرو هستند و نه تنها بدافزارهای شناخته شده قبلی بلکه طیفهایی از بدافزارها که تحریرگران آنها سرگرم اختراع و تدبیرشان هستند را تحت پوشش قرار می دهند تا مشتریهاهمچنان در حلقه امنیت باقی بمانند.
گاهی اوقات تبهکاران اینترنتی رویکردهای افراطگرایانهای را در پیش میگیرند (مانند حملات هدفمند) تا به این وسیله دیوارهای تدافعی گذشته را درهم شکنند.
خوشبختانه، تکنولوژی ابری که در ESET Live Grid نامیده میشود میتواند راه حل بسیار خوبی برای این مشکل باشد. این تکنولوژی قادر است با مقیاسبندیهای خاص خود طغیان تهدیدات را کنترل کرده و در مقابل آنها واکنش درستتر و سریعتری نشان بدهد.
مکانیسمهای دیگری امکان غیرفعال یا فعالسازی امضاها را فراهم می آورند.
به این ترتیب میتوان نتیجه گرفت که یک شرکت ارائه دهنده نرم افزارهای آنتی ویروس مانند ESET تمامی فایلهای ویندوز را از لحاظ آلودگی مورد بررسی قرار میدهد و امضاهای شناساییی شده مربوط به آنها را قبل از اینکه بتوانند مشکلی ایجاد کنند غیرفعال میکند.
نادیدنیها
شاید نرم افزار آنتیویروس شما با داشتن یک دیتابیس ساده امضای ویروسی که بین شما و تمامی بدافزارهای اینترنتی واسط شده سیار ساده و ابتدایی به نظر بیاید اما واقعیت این است که همین ابزار به ظاهر ساده از ظاهر شدن بسیاری از پیغامهای هشداردهنده روی صفحه کامپیوتر شما جلوگیری میکند.
بنابراین زمانی که باخبر می شوید تهدیدات بالقوه ای در کمین نشستهاند بهتر است تلاش مداوم تیم کارشناسانی که روزانه ۲۰۰،۰۰۰ فایل را با هدف یافتن بدافزارها و محافظت از شما بررسی میکنند به یاد بیاورید.