بدافزار بدون فایل یکی از جدیدترین بدافزارهایی میباشد که کشف شده است. در واقع سن این بدافزار پایین بوده به طوری که در سال ۲۰۱۷ شناسایی شده است. به جهت نوین بودن این بدافزار انتظار میرود که کمی پیشرفتهتر از بدافزارهای قدیمی تر باشد. این بدافزار در جهت ارتقاخود و متمایز نمودن خود از دیگر بدافزارها، فکری به حال شناخته نشدن کرده است. بنابراین به جای اینکه خود را بر روی فایلی سوار نماید تا بتواند به اهداف خرابکارانه خود دست یابد، حافظه سیستم را نشانه گرفته است و مستقیماً و بدون نیاز به فایلی به حافظه سیستم حمل ور میشود. همانطور که میدانید حافظه سیستم برخلاف هارد دیسک سیستم، جزو آن دسته از قسمتهای سیستم میباشد که در هر بار خاموش شدن کلاً پاک شده و با روشن شدن دوباره سیستم، دوباره راه اندازی میگردد. بنابراین این ویروس بعد از خاموش شدن هیچ اثری از خود به جا نمیگذارد و شناسایی این نوع بدافزار بسیار سخت میباشد و نمیتوان از راه قانونی پیگیری برای اعمال خرابکارانه این نوع ویروس انجام داد. چرا که هیچ نوع اثر انگشتی از خود به جا نمیگذارد.
این بدافزارها جهت انجام اعمال خرابکارانه خود هیچ چیزی در داخل سیستم نصب نمیکنند و کدی را روی سیستم دانلود نمیکنند، بلکه از طریق پنهان نمودن خود در ابزارهایی از جمله ابزارهای مطمئن، بهرهوری و امنیتی، از خود رد پایی جهت شناسایی به جا نمیگذارند.power shel یکی از این ابزارها میباشد و از آنجاییکه سیستم عامل این ابزار را به عنوان ابزاری مطمئن شناسایی میکند و از بدافزار پنهان شده در پشت این ابزار خبری ندارد، بنابراین اکثراً نمیتواند به شناسایی بدافزار بدون فایل بپردازد و به کاربر درباره وجود چنین بدافزاری هشدار لازم را بدهد.
این بدافزار تازه شناسایی شده کمی خطرناکتر از بدافزارهای سنتی و قدیمی میباشد و باید بیشتر مراقب نفوذ چنین بدافزها و اعمال خرابکارانه آنها بود و احتمال موفقیت چنین بدافزارهایی بسیار بیشتر از بدافزارهای قدیمی و سنتی میباشد. نمونههایی از این نوع بدافزارها، بدافزارهای بدون فایل DNS Messenger منتشر شده توسط تیم اطلاعاتی تهدید talos cisco و بدافزار فایل Rogue Robin مب باشند.
بات نتها را میتوان به دو نوع دسته بندی نمود که عبارتند از: بات نتهای قانونی و بات نتهای غیرقانونی.
از بات نتهای قانونی در کارهای خرابکارانه و در جهت رسیدن به اهدافی مخربانه استفاده نمیشود و در واقع چنین بات نتهایی را نمیتوان در دسته بدافزارها قرار داد. مثلاً بات نتهایی که در جهت هدف ایندکس کردن موتورهای جستجو استفاده میشود از بات نت های قانونی می باشند ولی بات نتهایی هم وجود دارند که در جهت اهداف غیرقانونی و برای رسیدن به اعمال خرابکارانه استفاده میشوند. این نوع بات نتها را میتوان بدافزار نامید و و در دستهبندی بدافزارها جای داد. بنابراین جهت که ما هم در مورد بدافزارها بحث مینماییم، پس طبیعتاً در این مقاله در مورد بدافزارهای بات نت صحبت خواهیم کرد نه بات نتهای قانونی.
* مانند یک تروجان عمل مینمایند و از طریق ایمیل وارد سیستم میشوند.
* توسط اتصال کاربر به اینترنت و دانلودهای خودکاری که نیازی به دخالت انسانها ندارند و معمولاً توسط ویروسها و بدافزارها انجام میگیرند.
* زمانی که در مرورگر وب روزنهای جهت نفوذ پیدا کنند و از این طریق وارد سیستم میزبان شوند.
این نوع بدافزارها فقط کافی است که جایی برای رخنه کردن در دستگاه پیدا کنند و در آن نصب شوند، سپس میتوانند به هاست کامپیوتر متصل شده و به راحتی فرمان کنترل دستگاه را به جای کاربر در دست بگیرند و دستگاه را طبق اهداف خود به پیش ببرند.
معمولا اهداف چنین بدافزارهایی بزرگ میباشد و بنابراین هیچ نوع آثار خرابکاری در عملکرد معمولی دستگاه نخواهید دید. برای این بدافزارها فرقی نمیکند و میتوانند هر دستگاهی که به اینترنت متصل میشود، از کامپیوترهای شخصی گرفته تا تلفنهای آیپی، اینترنت اشیا و غیره را آلوده نمایند. دستگاهها با آلوده شدن به چنین بدافزهایی میتوانند بدون هیچ دردسری توسط هکرها آلوده گردند.
در برخی مواقع بات نتها دستگاه نشانه گرفته خود را به دستگاه زامبی تبدیل کرده و توسط چنین دستگاههایی اعمال و فعالیتهای مخرب خود را عملی مینمایند.
بات نتها نیز انواع متفاوتی دارند و انواع حملات توسط این بات نتها امکانپذیر میباشد. بنابراین برای بات نتها نیز مقالهای اختصاصی را خواهیم داشت.
این بدافزار یکی از سمیترین بدافزهایی میباشد که تا به حال معرفی شده است. بدافزاری که بتواند خود را در هسته سیستم عامل و یا جایی که امکان شناسایی آن وجود نداشته باشد به نظر شما خطرناک نیست؟ به قدری این بدافزار به خود اعتماد دارد که در برخی مواقع حتی خود را در نرمافزارهای آنتی ویروس مخفی میکند و به آنها طعنه میزند و میگوید که اگر میتوانی خودت را نابود کن تا منم نابود شوم.
در واقع این بدافزار به دنبال امنترین جایی از سیستم میباشند که امکان شناسایی و دسترسی به آن مکان سخت و یا حتی در برخی مواقع غیر ممکن گردد.
این بد افزار وقتی خود را در سیستم جای داد به هکرهای کنترل از راه دور خودش اجازه میدهد که بتوانند مدیریت کامل سیستم میزبان را به دست بگیرند و این یعنی فاجعه بزرگ. چرا که با مدیریت خودشان میتوانند به سرقت اطلاعات سیستم قربانی بپردازند و اطلاعات آن را ویرایش نمایند، فایل خاصی را در آن سیستم اجرا نمایند و یا بدافزاری دیگر را در داخل همین سیستم قربانی نصب نمایند. شناسایی این بدافزارها کاری بسیار دشوار میباشد و حتی برخی مواقع امکان شناسایی آنها وجود ندارد و نمیتوان اقدامات مخربانه آنها را جبران نمود. بنابراین تنها راه مقابله با این روت کیتها پیشگیری میباشد. چرا که اکثراً درمانی برای آن پیدا نخواهید کرد. حال شاید بگویید که چطور میتوانیم از ورود چنین بدافزار خطرناکی پیشگیری نماییم.
* همانطور که در همه اقدامات لازم برای پیشگیری از ورود انواع بدافزارها نیاز است که سیستمتان به یک آنتی ویروس و یا تجهیزات امنیتی قوی و قدرتمندی مجهز باشد، برای این بدافزار نیز نیاز است که تجهیزات امنیتی به روز و قدرتمندی را در سیستمتان داشته باشید. تجهیزاتی که راهکاری داشته باشد که بتواند فایلهای سیستمی را بررسی نماید تا از سلامت و درستی آن فایلها اطمینان خاطر به عمل بیاورد و بداند که در فایلهای بررسی شده هیچگونه دستکاری هایی به عمل نیامده است. بدین منظور استفاده از مکانیزمهای Sinature Integrity verifying یا SIV میتواند تنها راهکار باشد.
* برای اینکه بدافزار روت کیت را به سیستم خود دعوت نکنید، باید روی لینکهایی که مشکوک به نظر میرسند کلیک نکنید. معمولاً چنین لینکهای مشکوکی از طریق ایمیل به سیستم شما وارد میشوند.
* یکی دیگر از راههای پیشگیری این است که مدام سیستم خود را به روز رسانی نمایید تا سیستم به روزی داشته باشید.
* میتوانید با بررسی ترافیک اینترنت خود نیز یکی دیگر از راههای پیشگیرانه را عملی نمایید.
* با باز نکردن پیوستهای ایمیلی میتوانید خطر ورود به روت کیت به سیستم را کاهش دهید.
رودکیتها با اهدافی که در پیش میگیرند، سعی میکنند که هکرها و دیگر عوامل کنترل کننده از راه دور خود را قادر نمایند که در فرصتی مناسب به اعمال تخریب کننده خود اقدام نمایند و بدین منظور نیاز است که بدافزارهای مربوطه از دید کاربران و تجهیزات امنیتی سیستم قربانی به دور بمانند و روت کیتها این وظیفه خود را به نحو احسنت انجام میدهند.
روت کیت ها میتوانند از انواع روشها برای ورود و مخفی ماندن در سیستم استفاده نمایند مثلا میتوانند به برنامهها خود را وارد نموده و مخفی بمانند و یا در هستهها نفوذ پیدا کنند و هایپر وایزرها و سیستم عاملها را نشانه گیری نمایند و خود را در آنها تزریق نمایند و برای ورود خود میتوانند از حملات فیشینگ استفاده کنند و یا از طریق لینکها و پیوستهای مخرب استفاده نمایند و با کلیک کردن کاربران روی آنها وارد شوند و یا از طریق دانلودهایی که کاربران از آنها استفاده میکنند، وارد سیستم می شوند و امکان ورود از درایوهای مشترک را نیز دارا میباشند.
در واقع روت کیتها از یک برنامه و یا مجموعهای از ابزارهای نرمافزاری تشکیل شدهاند و بنابراین شناسایی کردن آنها سخت میباشد.
روت کیت ها علاوه بر اینکه برای سیستم قربانی مشکل نرمافزاری ایجاد مینمایتد، میتوانند مشکلاتی سختافزاری را نیز برای سیستم به ارمغان آورند. بنابراین باید این نوع نرمافزارها را جزو خطرناکترین تهدیدات سایبری به حساب آوریم. بدافزارهای روت کیت با قابلیتهای خود به راحتی میتوانند خود را از چشم ضد بدافزارهای موجود در سیستم به دور نگه دارند که هیچ، حتی میتوانند این برنامهها را از کار نیز بیندازند تا با خیال راحت به کار خود ادامه دهند.
* میتوانند عملیات جاسوسی را به وقوع پیوندند. در واقع هکرهایی که نیاز به عملیات جاسوسی دارند، میتوانند با استفاده از این نوع بدافزارها به اهداف خرابکارانه خود اقدام نمایند.
* میتوانند اطلاعات و دادههای سیستم قربانی را (حتی اگر دارای رمز عبور و نام کاربری باشند) به سرقت ببرند.
* میتوانند ترتیب حملات DDAS را بدهند.
* میتوانند به اپلیکیشنها و برنامههای نصب شده در سیستم، آسیبهایی جدی و گاه جبران ناپذیر وارد نمایند.
* به هکرها مجوز مدیریتی را ایجاد مینمایند تا بتوانند از راه دور دستورات خود را اجرا نمایند.
* به جای نرمافزارهای امنیتی موجود در سیستم، میتوانند نرمافزارهای جعلی را نصب نمایند و نرمافزارهای امنیتی را در کار بیندازند تا این نرمافزارهای امنیتی مشکلی را برای کار کردن آنها ایجاد نکنند.
* میتوانند برنامههایی را بدون اختیار و نیاز کاربر روی سیستم وی نصب نمایند تا با استفاده از این برنامه ها به اهداف خرابکارانه خود دست یابند.
* میتوانند بدافزارها و یا ویروسها و یا استخراج کنندگان رمز ارز را در سیستم قربانی نصب نمایند.
* سادهترین نوع خرابکاری این نوع بدافزارها این است که سیستم قربانی را به یک سیستم زامبی تبدیل میکنند.
ویندوز ۱۰ برای مشکلی که این بدافزارها با نصب برنامههای ناخواسته روی سیستم به وجود میآورند، چارهای اندیشیده است و با اقداماتی که انجام داده است، دیگر در نسخههای به روز این ویندوز مانع نصب برنامههای ناخواسته میشود.
علاوه بر اقداماتی که مایکروسافت در ویندوز ۱۰ برای جلوگیری از نصب برنامههای ناخواسته انجام داده است، قبلا نیز از ویندوز 8 به بعد با مجهز کردن ویندوزها به تکنولوژی signed Driver از آلوده شدن درایوها به روت کیت جلوگیری مینمود.
یکی دیگر از بدافزارهایی که ممکن است آثار خرابکاری این بدافزار جبران ناپذیر گردد، بدافزار Wiper میباشد. این بدافزار فقط برای هدف خاص تهیه شده است و مانند دیگر بدافزارها که میتوان از آنها در انواع و اقسام هدفهای مخربانه استفاده نمود، نمیباشند. هدفی که این بدافزار مختص آن طراحی گشته است، بسیار ساده و ابتدایی به نظر میرسد ولی با این هدف ساده ی خود، خسارات غیر قابل جبرانی را به سیستمهای قربانی وارد میکند. هدف این بدافزار حذف تمامی اطلاعات سیستم با شبکه مورد نظر میباشد.
این بدافزارها با هدفی که دارند باید اطمینان یابند که اطلاعات حذف شده آنها دیگر امکان بازیابی ندارد. در برخی مواقع حتی این حذف و عدم امکان بازیابی نیز آنها را راضی نمیکند و به دنبال آن هستند که کل هارد سیستم که حاوی اطلاعات میباشد را رمزگذاری نمایند تا دیگر کاربران سیستم امکان دسترسی به اطلاعات را نداشته باشند و در واقع آن هارد را غیرقابل استفاده مینمایند.
معمولا از این بدافزارها در شرکتهای دولتی و خصوصی استفاده میکنند و با حملات خود سعی میکنند شبکههای کامپیوتری آنها را از بین ببرند تا بتوانند به اهداف خود دست یابند. در برخی مواقع برای اینکه آثاری از نفوذ عوامل تهدید در سیستمهای قربانی به جای نماند، از این بدافزار استفاده میکنند و تمام دادهها و اطلاعات سیستم را حذف مینمایند تا امکان پیگیری وجود نداشته باشد. در برخی مواقع نیز دیده میشود که سیستمی را طعمه قرار میدهند و با حمله به آن سیستم سعی میکنند به اطلاعات و دادههای سیستمی دیگر دسترسی داشته باشند. به این نوع تاکتیک، تاکتیک انحرافی گفته میشود.
تفاوتی که بدافزار وایپر با باجافزارها دارد این است که در باج افزارها اطلاعات و دادهها به سرقت برده میشوند تا کاربران را مجبور به پرداخت مبلغی جهت دریافت اطلاعات و دادهها خود نمایند. در واقع در باج افزارها از اطلاعات و دادهها به عنوان گروگان استفاده میکنند و بعد از اینکه مبلغ درخواستی خود را از کاربران دریافت نمودند، اطلاعات و دادههای کاربران را به خودشان باز میگردانند. ولی در بدافزار wiper این چنین نیست و هدف این بدافزار از ابتدا این است که کل اطلاعات و دادههای سیستم و یا شبکه قربانی را حذف نمایند و امکان بازگرداندن آن اطلاعات و دادهها به هیچ وجه وجود نداشته باشد. در واقع در این نوع بدافزار نیت باج گیری در میان نمیباشد.
میتوان بدافزار wiper را خطرناکتر از بدافزار باج افزار به حساب آورد. چرا که برای جبران عملیات خرابکارانه باج افزار ها حداقل میتوان با پرداخت پول اطلاعات و دادهها را به دست آورد، ولی در بدافزار wiper به هیچ وجه نمیتوان اطلاعات و دادههای به سرقت رفته را دوباره بازگرداندن و میتوان گفت هدف این بدافزار از دست دادن شهرت سیستم قربانی و یا تخریب و آسیب رساندن به آن سیستم شبکه میباشد.
جهت مشاهده نرم افزار آنتی ویروس تحت شبکه ملی به لینک زیر مراجعه فرمائید
آنتی ویروس تحت شبکه ملی
