در این سری از مقالات شما با مفهوم بدافزار یا Malware و همچنین انواع بدافزارها و حملات مهندسی اجتماعی یا Social Engineering آشنا خواهید شد. در ادامه تفاوت بین ویروس و کرم ( Virus and Worm ) را متوجه خواهید شد ، کمی در خصوص بدافراهایی که تغییر شکل می دهند و خود را از شکلی به شکل دیگر تبدیل می کنند آشنا خواهید شد ، با انواع بدافزارهایی که برای رسیدن به اهداف مالی خود تلاش می کنند آشنا خواهید شد، با انواع ویروس ها و کرم های اینترنتی معروف آشنا خواهید شد و در نهایت شما می توانید انواع حملات مهندسی اجتماعی یا حملاتی که بدون نیاز به دانش فنی انجام می شوند را شناسایی و روش های مقابله با آنها را یاد بگیرید.
در ابتدا بایستی بررسی کنیم که واژه بدافزار به چه معناست ؟ شما با واژه نرم افزار یا Software ، سخت افزار یا Hardware آشنایی دارید اما بد افزار چیست ؟ بدافزارها یا Malware ها در واقع نرم افزارهایی هستند که برعکس یک نرم افزار عادی که نیاز ما را برطرف می کند و به ما در جهت رسیدن به اهدافمان کمک می کند ، جهت تخریب یا سوء استفاده از کاربران نوشته شده است ، قطعا یک بدافزار در زیرمجموعه های یک نرم افزار قرار می گیرد ، با توجه به اینکه بد افزارها با استفاده از روش های معمول برنامه نویسی و با استفاده از کد نویسی ایجاد می شوند بنابراین آنها کدهای مخرب یا سوء استفاده کنند هستند.
یک بدافزار چه می کند ؟ نرم افزارهای مخرب به نرم افزاری گفته می شود که در وهله اول بدون اینکه کاربر بداند بر روی سیستم قربانی یا هدف نصب و شروع به فعالیت می کنند و ممکن است در بسیاری مواقع کاربر از نصب شدن چنین نرم افزاری بر روی سیستم عامل خود اطلاع نداشته باشد. اینگونه نرم افزارها انواع و اقسام تخریب ها و سوء استفاده هایی را که فکر کنید را می توانند بر روی سیستم شما یا فرد قربانی انجام دهند ، هدف اصلی بدافزارها را می توان به صورت کلی به سه دسته تقسیم کرد : آلوده سازی سیستم ها ، مخفی ماندن و رسیدن به مقاصد یا اهداف از پیش تعیین شده و در نهایت بدست آوردن سود و منفعتی که قصد رسیدن به آن را دارند. بصورت کلی تمامی انواع بدافزارهایی که شناسایی شده اند در سه دسته بندی کلی قرار می گیرند که به ترتیب زیر می باشند :
منظور از منتشر شدن یعنی تکثیر شدن ، این نوع از بدافزارها به خودی می توانند از کدهای خود استفاده کرده و مثل یک ویروس همه جا را مبتلا کنند. معروفترین نوع از این نوع بدافزارها به نام ویروس یا بهتر بگوییم Computer Virus شناخته می شود. ویروس های کامپیوتری کدهای مخربی هستند که خودشان را بر روی همان کامپیوتری که بر روی آن قرار گرفته اند تکثیر می کنند. این نوع از کدهای مخرب روش های متنوعی برای آلوده کردن فایل ها و سیستم دارند که هر کدام را می توان بصورت جداگانه طبقه بندی کرد ، مهمترین روش های تکثیر ویروس ها به شکل زیر می باشد :
زمانی که نرم افزار آلوده شده با کد ویروس اجرا می شود ، ویروس خود را با چسباندن و گسترش دادن به سایر فایل های موجود بر روی همان کامپیوتر تکثیر می کند و سپس کد مخرب خود را به سرعت فعال می کند . معمولا ویروس ها بعد از اجرا شدن بر روی سیستم ها اثراتی از خود نشان می دهند برای مثال یک پیام تهدید آمیز یا اطلاع رسانی برای کاربر نمایش می دهند. البته این موضوع کاملا به نوع ویروسی که بر روی کامپیوتر اجرا می شود وابستگی دارد و هر کدام از آنها تخریبی از نوع خود را انجام می دهند. برخی از ویروس ها باعث Crash کردن یا هنگ گردن سیستم می شوند ، برخی هارد درایو شما را فرمت می کنند و یا فایل های شما را حذف می کنند ، برخی دیگر تنظیمات و تهمیدات امنیتی انجام شده بر روی سیستم عامل شما را عوض می کنند و بسیاری از موارد مشابه دیگر. نکته بسیار مهم در خصوص ویروس ها این است که آنها نمی توانند بصورت خودکار از کامپیوتری به کامپیوتری دیگر تکثیر شوند ، انتشار ویروس کاملا به فعالیت هایی دارد که کاربر با آن انجام می دهد ، ویروس ها به فایل ها متصل می شوندو تنها با استفاده از انتقال فایل آلوده است که کامپیوتر دیگری نیز آلوده می شود.
ویروس ها از نظر نوع کاری که بر روی سیستم عامل انجام می دهند به انواع و اقسام مختلفی طبقه بندی می شوند که از آن جمله می توان به ویروس های نرم افزاری که به فایل اجرایی نرم افزارها متصل می شوند ، ویروس های ماکرو که یک اسکریپت را اجرا می کنند ، ویروس های رزیدنت که با باز کردن فایل ها و یا سیستم عامل شروع به فعالیت می کنند ، ویروسهای بوت که قسمت Master Boot Record یا MBR سیستم را دچار اختلال می کنند ، ویروس های رترو که دیتابیس آنتی ویروس ها را مورد هجوم قرار می دهند اشاره کرد .
اما نوع دیگری از کدهای مخرب تکثیر شونده وجود دارد که به نام کرم یا Worm شناخته می شود. تفاوت این نوع برنامه مخرب با ویروس ها در این است که این نوع کد مخرب می تواند از نقاط ضعف موجود بر روی نرم افزارهای کاربردی و سیستم عامل ها برای سوء استفاده و رسیدن به اهداف خود استفاده کند. این نوع کد مخرب می تواند بدون نیاز به فایل میزبان خود را توسط شبکه تکثیر کرده و در یک شبکه بزرگ تکثیر شود. Worm ها می توانند منابع سیستم را تا حد زیادی استفاده کنند و از ترافیک زیادی را در شبکه شما ایجاد کنند ، Worm ها نیز می توانند همانند ویروس ها هر گونه تخریبی که نویسنده آن مد نظر داشته باشد را بر روی سیستم شما انجام دهند ، از جمله اینکه می توانند فایل های شما را حذف کرده و یا اینکه دسترسی از راه دور را برای مهاجم به کامپیوتر شما فراهم کنند.
ویروس ها هم ممکن است سعی کنند خود را از دید کاربر پنهان کنند اما برخی از بدافزارها وجود دارند که بصورت ویژه ای طراحی شده اند تا کارهای خود را بصورت مخفی انجام دهند. تروجان ها یا اسب های ترو ا ، Rootkit ها ، Backdoor ها و Logic Bomb ها از انواع این نوع کدهای مخرب هستند. تروجان یا اسب تروا نرم افزار مخربی است که خود را به جای یک نرم افزار سالم و کاربردی جا می زند و کاربر فریب خورده و آن را اجرا و نصب می کند. اینگونه کدهای مخرب به نرم افزارهای کاربردی مفید متصل می شوند و کدهای خود را مخفی می کنند ، به محض اجرا نرم افزار مربوطه این کد مخرب نیز خود را اجرا کرده و به سیستم عامل حمله می کند. برخی اوقات تروجان ها می توانند خود را به عنوان فایل داده یا فایل اطلاعات نیز معرفی کنند. تروجان ها معمولا خود را به عنوان نرم افزارهای کاربردی رایگان در اینترنت معرفی می کنند ، نمونه بارزی از تبلیغات در اینترنت را می توانید به این روش مشاهده کنید ، برای مثال تبلیغی مثل نرم افزار دانلود رایگان می تواند مستعد وجود یک تروجان در این نرم افزار باشد. معمولا کاربرد تروجان ها معمولا اسکن کردن سیستم برای بدست آوردن اطلاعات شخصی و شماره کارت های اعتباری و رمزهای عبور و انتقال این اطلاعات به مهاجم می باشد.
Rootkit ها از انوع دیگر کدهای مخرب مخفی شونده هستند ، این نوع از کدهای مخرب تا حدود زیادی ساختار کاریشان مشابه ساختار کاری تروجان ها و Backdoor ها می باشد با این تفاوت که کدهای خود را با کدهای سیستم عامل ترکیب می کنند و در برخی اوقات فایل های خود را جایگزین فایل های سیستم عامل می کنند ، این نرم افزارها می توانند فعالیت هایی که هکر انجام می دهد را براحتی مخفی کرده و عملیات های تخریبی خود را انجام دهند زیرا سیستم عامل به آنها شکی نمی برد. این نوع بدافزار تمامی لاگ های سیستم و یا رکوردهای مورد نظر مهاجم را می تواند حذف کند و بصورت ویژه برای مخفی نگاه داشتن فعالیت های یک هکر مورد استفاده قرار می گیرد. با توجه به اینکه این نوع بدافزارها می توانند خود را جایگزین فایل های سیستمی کنند بنابراین شناسایی آنها بسیار بسیار دشوار است و همیشه برای راه درمان پیشنهاد می شود که از راهکارهای SIV استفاده شود. Rootkit ها در درجه اول مخفی کاری در میان بدافزارها قرار می گیرند. سریعتری راهکار برای از بین بردن Rootkit ها نصب مجدد سیستم عامل یا فرمت کردن کامل هارد دیسک کامپیوتر می باشد.
Logic Bomb یا بمب های منطقی بدافزارهایی هستند که ممکن است چندین ماه یا حتی سال بدون انجام هیچگونه عملیات خاصی بر روی سیستم عامل هدف وجود داشته باشند و ساکت باقی بمانند. اینگونه بدافزارها به انجام شدن عملیات یا حرکت خاصی بر روی سیستم عامل توسط کاربر یا خود سیستم حساس هستند و به محض وقوع آن اتفاق شروع به فعالیت و اجرا خواهند کرد. شناسایی اینگونه بدافزارها قبل از اجرا بسیار سخت است زیرا عملی انجام نداده اند که بتوان از طریق آن ، آنها را شناسایی کرد. نوع دیگری از بدافزارها وجود دارد که بنام درب پشتی یا Backdoor شناخته می شوند ، این نوع از بدافزارها معمولا از نقاط ضعفی استفاده می کنند که برنامه نویس ها برای وارد کردن یا بروز کردن نرم افزارهای خود از آنها استفاده می کنند. برای مثلا یک برنامه نویس تا عرضه کردن نسخه نهایی نرم افزار خود چندین نسخه آزمایش ارائه می کند که در هر کدام از آنها برای اینکه بتواند در مراحل بعدی کد جدید را براحتی وارد کند و نرم افزار را بروز کند یک راه مخفی تعبیه می کند ، همین راه مخفی دقیقا چیزی است که مهاجم به آن نیاز دارد و به آن Backdoor گفته می شود. Backdoor ها تمهیدات امنیتی اصلی نرم افزارها را دور می زنند. توجه کنید که برنامه نویس قصد دارد تا در نسخه نهایی این Backdoor را حذف کند اما ...
برخی از بدافزارها وجود دارد که بصورت ویژه برای سود رسانی به مهاجمین ایجاد شده اند. از انواع این بدافزارها می توان به Botnet ها ، Spywareها ، Adware ها و KeyLogger ها اشاره کرد.شاید در این میان ساختار Botnet ها از همه چیز جالبتر باشد ، در ساختار Botnet ها یک یا چند کامپیوتر توسط یک نرم افزار مخرب یا همان بدافزار آلوده می شود به گونه ای که این سیستم در آینده تابع دستوراتی خواهد بود که از طرف کامپیوتر مهاجمین صادر می شود. معمولا کاربرد Botnet ها در انتشار ویروس ها ، Worm ها و Trojan ها بسیار محسوس است ، به کامپیوتر آلوده شده در این شبکه در اصطلاح فنی مرده متحرک یا Zombie گفته می شود. در واقع مجموعه ای از Zombie ها هستند که تشکیل یک Botnet را می دهند.
در گذشته مهاجمینی که از Botnet ها استفاده می کردند از شبکه های چت آنلاینت یا همان IM ها استفاده زیادی می کردند و براحتی می توانستند Zombie ها را کنترل کنند.اما امروزه از پروتکل های دیگری مانند HTTP هم استفاده می شود. اما ممکن است از خود سئوال کنیم که کاربرد یا مزیت وجود Botnet ها برای هکرها یا مهاجمین چیست ؟ در ابتدا توجه کنید که این شبکه در پس زمینه یا Background وجود دارد و Zombie ها از وجود چنین شبکه هایی بی خبر هستند و این بزرگترین مزیت برای مهاجمین می باشد تا به اهداف بعدی خود برسند . این شبکه ها می توانند تا چندین سال بر روی سیستم کلاینت فعالیت کنند بدون اینکه ردی از خودشان به جای بگذارند ، مهاجم می تواند از این شبکه برای بالا بردن آمار بازدید وب سایت ها ، ارسال اسپم و ایمیل های تبلیغاتی ، انجام حملات DDOS بر روی سرورهای قربانی و بسیاری دیگر از اینگونه اهداف استفاده کند.
Spyware مخفف کلمه Spy و Software می باشد و همانطور که از معنی کلمات پیدا است به معنای نرم افزار جاسوسی می باشد. اینگونه نرم افزارها بدون اطلاع کاربر اطلاعاتی در خصوص کاربر یا هر چیزی که می توانند را بدست آورده و برای مهاجم ارسال می کنند. کاربرد Spyware ها معمولا در زمینه های تبلیغات ، جمع آوری اطلاعات شخصی و اعمال تغییرات بر روی کامپیوترها می باشد . Spyware ها علاوه بر موارد ذکر شده یک سری تاثیرات منفی نیز بر روی سیستم قربانی دارند که از آن جمله می توان به پایین آمدن کارایی سیستم ، کم شدن ثبات نرم افزار ها ، اضافه شدن و نصب شدن Toolbar های عجیب و غریب بر روی مرورگرها ، ایجاد شدن Shortcut های عجیب بر روی سیستم ، عوض شدن صفحه Home Page مرورگرها و باز شدن صفحات Pop-up اشاره کرد.
Adware مخفف کلمات Advertisement یا تبلیغات و Software یا نرم افزار می باشد . اینگونه بدافزارها بر روی سیستم های هدف تبلیغات ناخواسته ایجاد می کنند. معمولا تبلیغات این بدافزار به شکل نمایش بنر ها و یا صفحات Pop-Up می باشد و در برخی اوقات صفحات اینترنتی را مرتب و پشت سر هم باز می کنند ، یکی از کارهایی که Adware ها می توانند انجام دهند دنبال کردن فعالیت هایی است که کاربر بر روی سیستم انجام می دهد ، به ویژه فعالیت های آنلاینی که توسط شخص انجام می شود. اینگونه بدافزارها واقعا می تواند کاربران را عصبی و ناراحت کند و همچنین می توانند سیستم کاربر را به اندازه زیادی کند کنند و از فعالیت عادی کاربر جلوگیری کنند.
Keyloggey از دو کلمه Keyboard و Logger تشکیل شدن است و بدافزاری است که کلیه کلید هایی که کاربر بر روی کیبورد خود فشار می دهد را در قالب یک فایل ذخیره می کند. این اطلاعات بعد ها می تواند برای مهاجم ارسال شود و توسط وی مورد استفاده قرار بگیرد ، در استفاده از این نوع بدافزارها معمولا مهاجم به دنبال اطلاعات قابل استفاده و مفیدی از جمله رمزهای عبور ، اطلاعات و شماره های کارت های اعتباری ، اطلاعات شخصی و ... می باشد. توجه کنید که Keylogger ها می توانند در قالب سخت افزار نیز وجود داشته باشند که در انتهای کیبورد شما متصل شده و اطلاعات را ثبت و ضبط می کنند ، این اطلاعات بعد ها می تواند توسط هکر مورد استفاده قرار بگیرد.
در این مقاله شما با واژه بدافزار و انواع آن از لحاظ روش های تکثیر و عملکرد آشنا شدید ، با مهمترین تکنیک هایی که بدافزارها برای سوء استفاده از کاربران استفاده می کنند آشنا شدید و در این لحظه دیگر قادر هستید بین بدافزارهای مختلف تفکیک قائل شوید ، شاید قبل از خواندن این مقاله همه انواع بدافزار را به عنوان ویروس می شناختید اما از این به بعد تفاوت هرکدام را به درستی درک می کنید ، در ادامه این سری مقالات شما در مقاله بعدی با مبحث حملات مهندسی اجتماعی یا Social Engineering آشنا خواهید شد. ITPro باشید.