انواع بدافزار ها بخش سه

انواع بدافزار ها بخش سه

 114    0

در این مقاله در مورد بدافزار بدون فایل یا Fileless malware و بدافزار بات نت و بد افزار روت کیت و پیشگیری از ورود روت کیت‌ها و بدافزار وایپر یا...

 

قبل از مطالعه ی این بخش قسمت قبلی انواع بدافزار ها بخش 2 را بخوانید :

 

بدافزار بدون فایل یا Fileless malware

 

 

 

malearw

 

 

بدافزار بدون فایل یکی از جدیدترین بدافزارهایی می‌باشد که کشف شده است. در واقع سن این بدافزار پایین بوده به طوری که در سال ۲۰۱۷ شناسایی شده است. به جهت نوین بودن این بدافزار انتظار می‌رود که کمی پیشرفته‌تر از بدافزارهای قدیمی تر باشد. این بدافزار در جهت ارتقاخود و متمایز نمودن خود از دیگر بدافزارها، فکری به حال شناخته نشدن کرده است. بنابراین به جای اینکه خود را بر روی فایلی سوار نماید تا بتواند به اهداف خرابکارانه خود دست یابد، حافظه سیستم را نشانه گرفته است و مستقیماً و بدون نیاز به فایلی به حافظه سیستم حمل ور می‌شود. همانطور که می‌دانید حافظه سیستم برخلاف هارد دیسک سیستم، جزو آن دسته از قسمت‌های سیستم می‌باشد که در هر بار خاموش شدن کلاً پاک شده و با روشن شدن دوباره سیستم، دوباره راه اندازی می‌گردد. بنابراین این ویروس بعد از خاموش شدن هیچ اثری از خود به جا نمی‌گذارد و شناسایی این نوع بدافزار بسیار سخت می‌باشد و نمی‌توان از راه قانونی پیگیری برای اعمال خرابکارانه این نوع ویروس انجام داد. چرا که هیچ نوع اثر انگشتی از خود به جا نمی‌گذارد.


این بدافزارها جهت انجام اعمال خرابکارانه خود هیچ چیزی در داخل سیستم نصب نمی‌کنند و کدی را روی سیستم دانلود نمی‌کنند، بلکه از طریق پنهان نمودن خود در ابزارهایی از جمله ابزارهای مطمئن، بهره‌وری و امنیتی، از خود رد پایی جهت شناسایی به جا نمی‌گذارند.power shel یکی از این ابزارها می‌باشد و از آنجاییکه سیستم عامل این ابزار را به عنوان ابزاری مطمئن شناسایی می‌کند و از بدافزار پنهان شده در پشت این ابزار خبری ندارد، بنابراین اکثراً نمی‌تواند به شناسایی بدافزار بدون فایل بپردازد و به کاربر درباره وجود چنین بدافزاری هشدار لازم را بدهد.


این بدافزار تازه شناسایی شده کمی خطرناک‌تر از بدافزارهای سنتی و قدیمی می‌باشد و باید بیشتر مراقب نفوذ چنین بدافزها و اعمال خرابکارانه آنها بود و احتمال موفقیت چنین بدافزارهایی بسیار بیشتر از بدافزارهای قدیمی و سنتی می‌باشد. نمونه‌هایی از این نوع بدافزارها، بدافزارهای بدون فایل DNS Messenger منتشر شده توسط تیم اطلاعاتی تهدید talos cisco و بدافزار فایل Rogue Robin مب باشند.

 

 

بدافزار بات نت

 

 

Botnet

 

 

بات نت‌ها را می‌توان به دو نوع دسته بندی نمود که عبارتند از: بات نت‌های قانونی و بات نت‌های غیرقانونی.


از بات نت‌های قانونی در کارهای خرابکارانه و در جهت رسیدن به اهدافی مخربانه استفاده نمی‌شود و در واقع چنین بات نت‌هایی را نمی‌توان در دسته بدافزارها قرار داد. مثلاً بات نت‌هایی که در جهت هدف ایندکس کردن موتورهای جستجو استفاده می‌شود از بات نت های قانونی می باشند ولی بات نت‌هایی هم وجود دارند که در جهت اهداف غیرقانونی و برای رسیدن به اعمال خرابکارانه استفاده می‌شوند. این نوع بات نت‌ها را می‌توان بدافزار نامید و و در دسته‌بندی بدافزارها جای داد. بنابراین جهت که ما هم در مورد بدافزارها بحث می‌نماییم، پس طبیعتاً در این مقاله در مورد بدافزارهای بات نت صحبت خواهیم کرد نه بات نت‌های قانونی.

 


بات نت‌ها مجموعه‌ای از رایانه‌ها می‌باشند که این رایانه‌ها به صورت جمعی کار می‌کنند و هدفشان تکمیل کارهای تکراری می‌باشد. بات نتها از چندین روش می‌توانند وارد سیستم میزبان گردند که عبارتند از:


* مانند یک تروجان عمل می‌نمایند و از طریق ایمیل وارد سیستم می‌شوند.


* توسط اتصال کاربر به اینترنت و دانلودهای خودکاری که نیازی به دخالت انسان‌ها ندارند و معمولاً توسط ویروس‌ها و بدافزارها انجام می‌گیرند.


* زمانی که در مرورگر وب روزنه‌ای جهت نفوذ پیدا کنند و از این طریق وارد سیستم میزبان شوند.


این نوع بدافزارها فقط کافی است که جایی برای رخنه کردن در دستگاه پیدا کنند و در آن نصب شوند، سپس می‌توانند به هاست کامپیوتر متصل شده و به راحتی فرمان کنترل دستگاه را به جای کاربر در دست بگیرند و دستگاه را طبق اهداف خود به پیش ببرند.


معمولا اهداف چنین بدافزارهایی بزرگ می‌باشد و بنابراین هیچ نوع آثار خرابکاری در عملکرد معمولی دستگاه نخواهید دید. برای این بدافزارها فرقی نمی‌کند و می‌توانند هر دستگاهی که به اینترنت متصل می‌شود، از کامپیوترهای شخصی گرفته تا تلفن‌های آی‌پی، اینترنت اشیا و غیره را آلوده نمایند. دستگاه‌ها با آلوده شدن به چنین بدافزهایی می‌توانند بدون هیچ دردسری توسط هکرها آلوده گردند.


در برخی مواقع بات نت‌ها دستگاه نشانه گرفته خود را به دستگاه زامبی تبدیل کرده و توسط چنین دستگاه‌هایی اعمال و فعالیت‌های مخرب خود را عملی می‌نمایند.


بات نت‌ها نیز انواع متفاوتی دارند و انواع حملات توسط این بات نت‌ها امکان‌پذیر می‌باشد‌. بنابراین برای بات نت‌ها نیز مقاله‌ای اختصاصی را خواهیم داشت.

 

 

بد افزار روت کیت

 

 

Rootkit

 

 

این بدافزار یکی از سمی‌ترین بدافزهایی می‌باشد که تا به حال معرفی شده است. بدافزاری که بتواند خود را در هسته سیستم عامل و یا جایی که امکان شناسایی آن وجود نداشته باشد به نظر شما خطرناک نیست؟ به قدری این بدافزار به خود اعتماد دارد که در برخی مواقع حتی خود را در نرم‌افزارهای آنتی ویروس مخفی می‌کند و به آنها طعنه می‌زند و می‌گوید که اگر می‌توانی خودت را نابود کن تا منم نابود شوم.


در واقع این بدافزار به دنبال امن‌ترین جایی از سیستم می‌باشند که امکان شناسایی و دسترسی به آن مکان سخت و یا حتی در برخی مواقع غیر ممکن گردد.


این بد افزار وقتی خود را در سیستم جای داد به هکرهای کنترل از راه دور خودش اجازه می‌دهد که بتوانند مدیریت کامل سیستم میزبان را به دست بگیرند و این یعنی فاجعه بزرگ. چرا که با مدیریت خودشان می‌توانند به سرقت اطلاعات سیستم قربانی بپردازند و اطلاعات آن را ویرایش نمایند، فایل خاصی را در آن سیستم اجرا نمایند و یا بدافزاری دیگر را در داخل همین سیستم قربانی نصب نمایند. شناسایی این بدافزارها کاری بسیار دشوار می‌باشد و حتی برخی مواقع امکان شناسایی آنها وجود ندارد و نمی‌توان اقدامات مخربانه آنها را جبران نمود. بنابراین تنها راه مقابله با این روت کیت‌ها پیشگیری می‌باشد. چرا که اکثراً درمانی برای آن پیدا نخواهید کرد. حال شاید بگویید که چطور می‌توانیم از ورود چنین بدافزار خطرناکی پیشگیری نماییم.

 

 

پیشگیری از ورود روت کیت‌ها

 

* همانطور که در همه اقدامات لازم برای پیشگیری از ورود انواع بدافزارها نیاز است که سیستمتان به یک آنتی ویروس و یا تجهیزات امنیتی قوی و قدرتمندی مجهز باشد، برای این بدافزار نیز نیاز است که تجهیزات امنیتی به روز و قدرتمندی را در سیستمتان داشته باشید. تجهیزاتی که راهکاری داشته باشد که بتواند فایل‌های سیستمی را بررسی نماید تا از سلامت و درستی آن فایل‌ها اطمینان خاطر به عمل بیاورد و بداند که در فایل‌های بررسی شده هیچگونه دستکاری هایی به عمل نیامده است. بدین منظور استفاده از مکانیزم‌های Sinature Integrity verifying یا SIV می‌تواند تنها راهکار باشد.


* برای اینکه بدافزار روت کیت را به سیستم خود دعوت نکنید، باید روی لینک‌هایی که مشکوک به نظر می‌رسند کلیک نکنید. معمولاً چنین لینک‌های مشکوکی از طریق ایمیل به سیستم شما وارد می‌شوند.


* یکی دیگر از راه‌های پیشگیری این است که مدام سیستم خود را به روز رسانی نمایید تا سیستم به روزی داشته باشید.


* می‌توانید با بررسی ترافیک اینترنت خود نیز یکی دیگر از راه‌های پیشگیرانه را عملی نمایید.


* با باز نکردن پیوست‌های ایمیلی می‌توانید خطر ورود به روت کیت به سیستم را کاهش دهید.

 

رودکیت‌ها با اهدافی که در پیش می‌گیرند، سعی می‌کنند که هکرها و دیگر عوامل کنترل کننده از راه دور خود را قادر نمایند که در فرصتی مناسب به اعمال تخریب کننده خود اقدام نمایند و بدین منظور نیاز است که بدافزارهای مربوطه از دید کاربران و تجهیزات امنیتی سیستم قربانی به دور بمانند و روت کیت‌ها این وظیفه خود را به نحو احسنت انجام می‌دهند.

 

روت کیت ها می‌توانند از انواع روش‌ها برای ورود و مخفی ماندن در سیستم استفاده نمایند مثلا می‌توانند به برنامه‌ها خود را وارد نموده و مخفی بمانند و یا در هسته‌ها نفوذ پیدا کنند و هایپر وایزرها و سیستم عامل‌ها را نشانه گیری نمایند و خود را در آنها تزریق نمایند و برای ورود خود می‌توانند از حملات فیشینگ استفاده کنند و یا از طریق لینک‌ها و پیوست‌های مخرب استفاده نمایند و با کلیک کردن کاربران روی آنها وارد شوند و یا از طریق دانلودهایی که کاربران از آنها استفاده می‌کنند، وارد سیستم می شوند و امکان ورود از درایو‌های مشترک را نیز دارا می‌باشند.


در واقع روت کیت‌ها از یک برنامه و یا مجموعه‌ای از ابزارهای نرم‌افزاری تشکیل شده‌اند و بنابراین شناسایی کردن آنها سخت می‌باشد.


روت کیت ها علاوه بر اینکه برای سیستم قربانی مشکل نرم‌افزاری ایجاد می‌نمایتد، می‌توانند مشکلاتی سخت‌افزاری را نیز برای سیستم به ارمغان آورند. بنابراین باید این نوع نرم‌افزارها را جزو خطرناک‌ترین تهدیدات سایبری به حساب آوریم. بدافزارهای روت کیت با قابلیت‌های خود به راحتی می‌توانند خود را از چشم ضد بدافزارهای موجود در سیستم به دور نگه دارند که هیچ، حتی می‌توانند این برنامه‌ها را از کار نیز بیندازند تا با خیال راحت به کار خود ادامه دهند.

 

 

اعمال خرابکارانه روت کیت ها

 

* می‌توانند عملیات جاسوسی را به وقوع پیوندند. در واقع هکرهایی که نیاز به عملیات جاسوسی دارند، می‌توانند با استفاده از این نوع بدافزارها به اهداف خرابکارانه خود اقدام نمایند.


* می‌توانند اطلاعات و داده‌های سیستم قربانی را (حتی اگر دارای رمز عبور و نام کاربری باشند) به سرقت ببرند.


* می‌توانند ترتیب حملات DDAS را بدهند.


* می‌توانند به اپلیکیشن‌ها و برنامه‌های نصب شده در سیستم، آسیب‌هایی جدی و گاه جبران ناپذیر وارد نمایند.


* به هکرها مجوز مدیریتی را ایجاد می‌نمایند تا بتوانند از راه دور دستورات خود را اجرا نمایند.


* به جای نرم‌افزارهای امنیتی موجود در سیستم، می‌توانند نرم‌افزارهای جعلی را نصب نمایند و نرم‌افزارهای امنیتی را در کار بیندازند تا این نرم‌افزارهای امنیتی مشکلی را برای کار کردن آنها ایجاد نکنند‌.


* می‌توانند برنامه‌هایی را بدون اختیار و نیاز کاربر روی سیستم وی نصب نمایند تا با استفاده از این برنامه ها به اهداف خرابکارانه خود دست یابند.


* می‌توانند بدافزارها و یا ویروس‌ها و یا استخراج کنندگان رمز ارز را در سیستم قربانی نصب نمایند.


* ساده‌ترین نوع خرابکاری این نوع بدافزارها این است که سیستم قربانی را به یک سیستم زامبی تبدیل می‌کنند.

 

 

**** نکته۱

 

ویندوز ۱۰ برای مشکلی که این بدافزارها با نصب برنامه‌های ناخواسته روی سیستم به وجود می‌آورند، چاره‌ای اندیشیده است و با اقداماتی که انجام داده است، دیگر در نسخه‌های به روز این ویندوز مانع نصب برنامه‌های ناخواسته می‌شود.

 

 

***نکته ۲

 

علاوه بر اقداماتی که مایکروسافت در ویندوز ۱۰ برای جلوگیری از نصب برنامه‌های ناخواسته انجام داده است، قبلا نیز از ویندوز 8 به بعد با مجهز کردن ویندوزها به تکنولوژی signed Driver از آلوده شدن درایوها به روت کیت جلوگیری می‌نمود.

 

 

بدافزار وایپر یا Wiper

 

 

Wiper

 

یکی دیگر از بدافزارهایی که ممکن است آثار خرابکاری این بدافزار جبران ناپذیر گردد، بدافزار Wiper می‌باشد. این بدافزار فقط برای هدف خاص تهیه شده است و مانند دیگر بدافزارها که می‌توان از آنها در انواع و اقسام هدف‌های مخربانه استفاده نمود، نمی‌باشند. هدفی که این بدافزار مختص آن طراحی گشته است، بسیار ساده و ابتدایی به نظر می‌رسد ولی با این هدف ساده ی خود، خسارات غیر قابل جبرانی را به سیستم‌های قربانی وارد می‌کند. هدف این بدافزار حذف تمامی اطلاعات سیستم با شبکه مورد نظر می‌باشد.

 

این بدافزارها با هدفی که دارند باید اطمینان یابند که اطلاعات حذف شده آنها دیگر امکان بازیابی ندارد. در برخی مواقع حتی این حذف و عدم امکان بازیابی نیز آنها را راضی نمی‌کند و به دنبال آن هستند که کل هارد سیستم که حاوی اطلاعات می‌باشد را رمزگذاری نمایند تا دیگر کاربران سیستم امکان دسترسی به اطلاعات را نداشته باشند و در واقع آن هارد را غیرقابل استفاده می‌نمایند.

 

معمولا از این بدافزارها در شرکت‌های دولتی و خصوصی استفاده می‌کنند و با حملات خود سعی می‌کنند شبکه‌های کامپیوتری آنها را از بین ببرند تا بتوانند به اهداف خود دست یابند. در برخی مواقع برای اینکه آثاری از نفوذ عوامل تهدید در سیستم‌های قربانی به جای نماند، از این بدافزار استفاده می‌کنند و تمام داده‌ها و اطلاعات سیستم را حذف می‌نمایند تا امکان پیگیری وجود نداشته باشد. در برخی مواقع نیز دیده می‌شود که سیستمی را طعمه قرار می‌دهند و با حمله به آن سیستم سعی می‌کنند به اطلاعات و داده‌های سیستمی دیگر دسترسی داشته باشند. به این نوع تاکتیک، تاکتیک انحرافی گفته می‌شود.

 


تفاوتی که بدافزار وایپر با باج‌افزارها دارد این است که در باج افزارها اطلاعات و داده‌ها به سرقت برده می‌شوند تا کاربران را مجبور به پرداخت مبلغی جهت دریافت اطلاعات و داده‌ها خود نمایند. در واقع در باج افزارها از اطلاعات و داده‌ها به عنوان گروگان استفاده می‌کنند و بعد از اینکه مبلغ درخواستی خود را از کاربران دریافت نمودند، اطلاعات و داده‌های کاربران را به خودشان باز می‌گردانند. ولی در بدافزار wiper این چنین نیست و هدف این بدافزار از ابتدا این است که کل اطلاعات و داده‌های سیستم و یا شبکه قربانی را حذف نمایند و امکان بازگرداندن آن اطلاعات و داده‌ها به هیچ وجه وجود نداشته باشد. در واقع در این نوع بدافزار نیت باج گیری در میان نمی‌باشد.

 

می‌توان بدافزار wiper را خطرناک‌تر از بدافزار باج افزار به حساب آورد. چرا که برای جبران عملیات خرابکارانه باج افزار ها حداقل می‌توان با پرداخت پول اطلاعات و داده‌ها را به دست آورد، ولی در بدافزار wiper به هیچ وجه نمی‌توان اطلاعات و داده‌های به سرقت رفته را دوباره بازگرداندن و می‌توان گفت هدف این بدافزار از دست دادن شهرت سیستم قربانی و یا تخریب و آسیب رساندن به آن سیستم شبکه می‌باشد.

 

بعد از مطالعه ی این قسمت معرفی انواع بدافزارها بخش 4 را مطالعه فرمایید :


به نقل از:

جهت مشاهده نرم افزار آنتی ویروس تحت شبکه ملی به لینک زیر مراجعه فرمائید

آنتی ویروس تحت شبکه ملی



نظر خود را با ما درمیان بگذارید: