بدافزار چیست و معرفی ۱۲ بدافزار (malware) + روش پیشگیری
بدافزار یا malware که مخفف کلمه malicious software است اشاره به هر نوع نرمافزار مخربی دارد که توسط یک خرابکار و یا همان هکر طراحی و توسعه داده شده است. بدافزارها انواع مختلفی دارند و بهصورت خطرناکی میتواند برای شبکههای سازمانها، کامپیوترهای شخصی و حتی سرورها مشکلآفرین باشند.
بهتر است تا با استفاده از راهکارهای مختلفی، از ورود هر نوع بدافزار به سیستم یا شبکه جلوگیری شود ولی در صورت آلوده شدن چهکار باید کرد؟ این آلوده شدن چه ضررهایی در پی خواهد داشت؟ با پیشرفت علم و افزایش قدرت بدافزارها، آیا قدرت آنتیویروسها نیز افزایشیافته است؟ آیا سیستمهای متصل به شبکه با دستخالی در برابر این خطرات ایستادهاند؟ برای پاسخ به این سوالات تا انتهای مقاله همراه ما باشید.
بدافزار چیست و چرا به وجود آمده است؟
همانطور که در ابتدای متن نیز اشاره شد بدافزار نوعی نرمافزار بوده ولی با اهداف خبیثانه و بهمنظور ایجاد اختلال در کارکرد سیستم، دزدی اطلاعات، اخاذی و باجگیری از قربانی و… طراحی و ساخته شده است. بدافزار از ترکیب دوکلمه malicious به معنای مخرب و software به معنای نرمافزار خلق شده که در دنیای کامپیوتر با نام malware به معنای نرمافزار مخرب، مشکلات بزرگی برای سازمانها و افراد به وجود آورده است.
تا جایی که امروزه تعداد زیادی از شرکتهای بزرگ امنیتی و فناوری برای مقابله با این نوع حملات سایبری تأسیس و توسعه یافتهاند. یک بدافزار ممکن است از نظر طراحی و برنامهریزی با نوع دیگری متفاوت باشد. دلیل این موضوع هدف خرابکار از ساخت آن است. امکان دارد تا هکری برای رخنه به یک شبکه گسترده سازمانی، یک بدافزار را طراحی کند تا با اختلال در کارکرد سیستمی، وارد شبکه شود. یا حتی با رمزگذاری اطلاعات حساس یک کامپیوتر شخصی، از قربانی اخاذی کرده و بهازای دریافت مبلغی اطلاعات را برگرداند.
در هر اجتماعی احتمال وجود خرابکار و یک یا حتی چند عامل مخرب وجود دارد. شبکههای کامپیوتری که بزرگترین آن نیز اینترنت است، از این قاعده مستثنی نیستند. شاید نتوان یک دلیل ثابت برای بهوجودآمدن بدافزارها نام برد ولی در حالت کلی بهمنظور دزدی اطلاعات و کسب درآمد از این روش، هکرها اقدام به طراحی و توسعه تعداد زیادی بدافزار مانند ویروس، کرم، باجافزار، تروجان و… کردهاند که اجتماع کامپیوترها را تهدید میکند.
برای مطالعه بیشتر مقالات کرم کامپیوتری و باج افزار را مطالعه کنید.
انواع بد افزار و روش کار هرکدام
دزدهای زیادی در جامعه وجود دارد. دزد طلا، دزد ماشین، دزد بانک و کیفقاپ که هرکدام بسته به مهارت و تجربهای که دارند از اقشار مختلف جامعه دزدی میکنند. دقیقا در دنیای کامپیوتر و شبکه نیز به این صورت هکرهای مختلفی وجود دارند که با روشهای گوناگونی، جامعه هدف و سازمانها مختلفی را مورد آسیب قرار میدهند.
بسته به هدف یک هکر، ممکن است ابزاری که استفاده میکند متفاوت باشد و بدافزاری که طراحی و برنامهریزی کرده است نقشهای مختلفی ایفا کند. برای مثال یک هکر قصد جاسوسی و دزدی اطلاعات داشته و درنتیجه با طراحی یک بدافزار جاسوسی از کامپیوتر هدف، بدون ایجاد اختلال در عملکرد سیستم، اطلاعات را به مقصد موردنظر ارسال میکند. یا خرابکاری دیگر با طراحی یک بدافزاری خاص، میخواهد شبکه وسیعتری از کامپیوترها را آلوده کند و درنهایت با فروش یک آنتیویروس ساخته شده توسط خود، پولی به جیب بزند.
ازاینرو بر اساس المانهای مختلفی که یک فرد خرابکار در نظر دارد، انواع مختلفی از بدافزارها را میتوان یافت. در ادامه ۱۲ مورد از برترین بدافزارها که معرفی شدهاند را با هم بررسی می کنیم.
- Virus
- Worms
- Trojan virus
- Spyware
- Adware
- Ransomware
- Fileless malware
- بد افزار بات نت
- بد افزار روت کیت
- بد افزار Wiper
- بد افزار کی لاگر
- بد افزار ارز دیجیتال
هرکدام از این بدافزارها به شیوه خاصی سیستم شمار را مورد هدف قرار میدهند که ممکن است خلاص شدن از دستشان ساده و یا بسیار دشوار باشد. در ادامه به معرفی و بررسی تکتک این بدافزارها بهصورت اختصاصی پرداختهایم.
۱. Virus
مشهورترین بدافزاری که هر فردی حتی یکبار نام آن را نیز شنیده است، virus یا همان ویروس نام دارد. این نوع بدافزار برای واردشدن به سیستم شما یا یک شبکه نیاز به یک فایل دارد. هر نوع فایلی میتواند حامل یک ویروس باشد مانند یک عکس، ویدئو، سند، PDF، word، excel و بسیاری دیگر از فایلها. نکتهای که وجود دارد این است که ویروسها برای انتشار یافتن در سیستم نیاز دارند تا قربانی فایل موردنظر را اجرا یا باز کند.
همانند یک ویروس در دنیای واقعی که بعد از واردشدن به بدن بهصورت تصاعدی تکثیر میشود، ویروسهای دنیای کامپیوتر نیز بعد از اجرا شدن در یک کامپیوتر بهسرعت تکثیر و پخش شده و قسمتهای مختلفی را بر اساس برنامهریزی خود درگیر میکنند. ممکن است هدف از انتشار یک ویروس اختلال در کارایی شبکه و ایجاد یک شکاف برای نفوذ هکر به دیتابیس و پایگاهداده باشد.
هدف از ارسال ویروس به شبکه میتواند سرقت دادههای حساس، راهاندازی حملات DDoS یا اجرای حملات باج افزار باشد.
مقاله آنتی ویروس چیست را برای مطالعه بیشتر از دست ندهید.
۲. Worms یا کرم ها
کرمها نوع متفاوتی از بدافزارها هستند که مانند ویروس بعد از ورود به درون محیط یک شبکه یا یک کامپیوتر بهسرعت تکثیر میشوند. اما برخلاف ویروسها، کرمها نیازی به یک برنامه یا فایل میزبان برای اجرا شدن در محیط باینری ندارند. منظور از اجرا شدن بدون نیاز به یک برنامه میزبان این نیست که برای ورود به محیط کامپیوتر نیز به این برنامهها نیاز ندارد. بلکه با دانلود یک نرمافزار آلوده از سطح اینترنت و سایتی نامعتبر یا حتی از طریق پلاگ کردن یک فلش آلوده، کرم به داخل سیستم همراه با یک فایل نفوذ پیدا میکند.
نکته اینجاست که دیگر نیازی به بازکردن برنامه برای اجرا شدن کرم نیست. بلکه بر اساس برنامهریزی که بروی کرم اعمال شده است، بهصورت خودکفا تکثیر شده و دستگاههای آلوده شده را مختل میکند. هکرها اهداف مختلفی از طراحی و توسعه کرمها میتوانند داشته باشند. مانند ایجاد اختلال در خدماترسانی یک سازمان برای لطمه به اعتبار آنها یا دزدی اطلاعات.
۳. Trojan virus یا ویروس تروجان
در دو مورد قبلی به ویژگی تکثیر شدن کرمها و ویروسها اشاره شد. درحالیکه trojan virus (ویروس تروجان) به این صورت عمل نمیکند. هدف از ساخت تروجان برای ازکارانداختن سیستم یا دسترسی به اطلاعات حساس و دستکاری آنها است. تروجانها اغلب درون یک برنامه مفید و کاربردی پنهان میشوند و قربانی بعد از دانلود آن و بیخبر از هم چیز شاهد اختلال در عملکرد سیستم خود خواهد بود.
بعد از ورود یک تروجان به داخل محیط کامپیوتر شما، بهصورت خودکار (بر اساس برنامهریزی که توسط هکر بر روی آن اعمال شده) نقاط حساس و اطلاعات مهم دستگاه شما توسط این ویروس مسدود، حذف و یا دستکاری میشود. ازاینرو امکان دارد که یک ویروس تروجان آسیب و ضرری سنگین برای سازمانها و شبکههای اطلاعاتی بیدفاع داشته باشد. هدف اصلی از طراحی و توسعه تروجانها توسط خرابکاران، دزدی اطلاعات یا حذف آنها است.
برای مطالعه بیشتر تروجان چیست را ازدست ندهید.
Spyware .۴
Spyware از ترکیب دوکلمه spy به معنای جاسوس و software به معنای نرمافزار، تشکیل شده است. همانطور که از نامش نیز پیداست، هدف از طراحی این نوع بدافزار مانیتورینگ (نظارت و دیدبانی) و استراق سمع است. شاید تولد این نوع برنامه مخرب در زمان جنگ سرد بهمنظور رسد و جاسوسی از سیستمهای دشمنان توسط دولتها باشد. اما نکتهای که حائز اهمیت است، امکان دارد یک بدافزار جاسوسی بدون اطلاع قربانی تا سالها از اطلاعات و حرکات وی سوءاستفاده کرده و این اطلاعات را به مقصدی نامعلوم ارسال کند.
زیرا اکثر بدافزارهای جاسوسی بدون اختلال در عملکرد سیستمی، با شما و سیستم شما زندگی میکند. همانند ویروس ایدز که شاید تا 20 سال در بدن قربانی باشد و بعد از 20 سال باعث بیماری او شود. ازاینرو در سازمانها و ارگانهای بزرگ با شبکه اطلاعاتی وسیع و حساس باید تمهیدات مناسبی در جهت نظارت بر اقدامات برنامهها اجرا شود. همچنین برای اطلاعات بیشتر در همین رابطه مقاله Spyware چیست را مطالعه نمایید.
۵. Adware یا بد افزار تبلیغاتی
مورد پنجم از انواع بدافزارها adware یا بدافزارهای تبلیغاتی هستند. کار این نوع بدافزارها جمعآوری برخی اطلاعات از سیستم و کامپیوتر شما بوده و نمایش یکسری تبلیغات بر اساس این اطلاعات است. شاید در نگاه اول این نوع بدافزار خطری برای شما و اطلاعات شما نداشته باشد و بهعنوان یک مزاحم شناخته شود. واقعیت این است که این طرز فکر درست بوده و یک بدافزار تبلیغاتی بهتنهایی چیزی جز یک مزاحم نیست.
اما این بدافزار بیآزار ممکن است شما را به سمت یک سایت مخرب هدایت کند و موجب دانلود کردن یک نرمافزار مخربی شود که بستر رشد و تکثیر دیگر انواع بدافزارهای موجود را فراهم میآورد. ازاینرو همواره باید یک برنامه امنیتی قدرتمند بر اجرای این نوع بدافزارها نظارت داشته باشد.
مطالعه مقاله بهترین نرم افزار های امنیت شبکه را پیشنهاد میکنیم.
۶. Ransomware
Ransomware یا باجافزار نوع دیگری از بدافزارهای خلق شده در بستر اینترنت است که ممکن است سیستم شما به آن آلوده شود. باجافزارها طبق برنامهریزی که توسط عامل سازنده بر روی آنها پیاده میشود، اغلب بعد از ورود به محیط کامپیوتر شما با استفاده از یک برنامه یا فایل میزبان، شروع به جمعآوری اطلاعات حساس و حیاتی سیستم و کامپیوتر شما میکنند. سپس با رمزگذاری آنها، بهصورت کامل سیستم شما را از کار انداخته یا قسمتی از کارایی و عملکرد آن را مختل میکنند.
در نهایت برای بازپسگیری اطلاعات و اسناد ذخیره شده در سیستم خود نیاز دارید تا میزان پول خواسته شده را پرداخت کنید. (اغلب در این نوع بدافزارها از قربانی درخواست پول میشود تا کلید رمزگشایی اسناد ارسال گردد) این نوع بدافزار ممکن است باعث ازبین رفتن و کل یا بخشی از اطلاعات حیاتی سازمانها و ارگانهای بزرگ شود و در برخی موارد ممکن است این اطلاعات به سرقت رود. به همین دلیل برخی از مهندسین امنیت فناوری اطلاعات این نوع بدافزار را جزو خطرناک ترینها میدانند.
۷. Fileless malware
شاید یکی از کوچکترین فرزندان بدافزارها fileless malware باشد. دلیل نامگذاری کوچکترین فرزند کشف شدن آن در سالهای اخیر است. در سال 2017 تیم اطلاعاتی تهدید talos cisco از یکی از بدافزارهای fileless malware با نام DNSMessenger منتشر کرد. این نوع بدافزار به دلیل برنامهریزی خاصی که دارد، مقیم حافظه بوده و نیازی به یک برنامه یا فایل میزبان برای ورود به محیط کامپیوتری و اجرا بر روی هارد درایو ندارد.
به همین دلیل شناسایی و تشخیص آن دشوارتر از دیگر بدافزارها بوده و همچنین ردیابی بدافزار fileless برای تحقیقات قانونی نیز بسیار سخت است. زیرا بعد از راهاندازی دوباره سیستم اثری از آن باقی نخواهد ماند. (بعد از هر بار راهاندازی سیستم، قسمت memory بهصورت کامل پاکسازی میشود برخلاف hard disk).
ویژگی بارز این بد افزار این است که ابتدا چیزی روی سیستم نصب نمیکند؛ در عوض، تغییراتی در فایلهای محلی سیستم عامل مثل PowerShell یا WMI پدید میآورد. حملات بدون فایل توسط نرم افزارهای آنتی ویروس قابل شناسایی نیست، چون سیستم عامل فایلهای ویرایش شده را قانونی تشخیص میدهد. از آنجایی که این حملات مخفیانه هستند، احتمال موفقیت آنها تا ده برابر بیشتر از حملات بد افزاری قدیمی است.
۸. بد افزار بات نت
رباتها برنامههای نرمافزاری هستند که بهطور خودکار و برحسب یکسری فرمان، عملیاتی انجام میدهند. این ابزارها معمولا در جهت مقاصد قانونی مثل ایندکسکردن موتورهای جستجو استفاده میشوند، اما اگر در جهت اهداف مخرب مورد استفاده قرار گیرند، در قالب بد افزارهای خودانتشار به یک سرور مرکزی وصل میشوند. باتنت شبکهای از رباتهاست که برای اجرای سیل گستردهای از حملات کنترل از راه دور مانند حملات DDoS بهکار برده میشوند. برای آگاهی بیشتر مقالات بات نت چیست و حملات DOS و DDoS چیست مطالعه نمایید.
۹. بد افزار روت کیت
بد افزار مخرب روت کیت، مدیریت کامل رایانه قربانی را در اختیار عوامل کنترل از راه دور این حمله میگذارد. روت کیتها را میتوان به برنامهها، هستهها، هایپروایزرها یا سیستم عاملها تزریق کرد. آنها از طریق فیشینگ، پیوستهای مخرب، دانلودهای مخرب و درایوهای مشترک پخش میشوند و حتی برای پنهان کردن بد افزارهای دیگر مانند کی لاگرها کاربرد دارند. در همین رابطه مقاله فیشینگ چیست را مطالعه نمایید.
۱۰. بد افزار Wiper
هدف وایپر پاککردن اطلاعات کاربر و اطمینان از عدم امکان بازیابی آن است. این بد افزار معمولا برای از بین بردن شبکههای کامپیوتری در بخشهای مختلف شرکتهای دولتی یا خصوصی مورد استفاده قرار میگیرد. همچنین عوامل تهدید از این ابزار برای پوشاندن آثار باقیمانده نفوذ استفاده کرده و قدرت پاسخگویی قربانی را تضعیف میکنند.
۱۱. بد افزار کی لاگر
کی لاگر نوعی نرم افزار جاسوسی است که بر فعالیت کاربر نظارت میکند. کسبوکارها از این نرم افزار برای نظارت بر فعالیت کارکنان استفاده میکنند و حتی برخی از خانوادهها برای پیگیری رفتارهای آنلاین کودکان خود دست به دامن کی لاگر میشوند. اما وقتی با هدف اجرای اهداف مخرب روی کامپیوتر قربانی نصب میشوند، دسترسی مجرم به دادههای حیاتی مثل رمز عبور، اطلاعات بانکی و سایر اطلاعات حساس را فراهم میکنند.
۱۲. بد افزار ارز دیجیتال
بدافزار کریپتو که به اسم بدافزار استخراج رمزنگاری نیز شناخته میشود، نرمافزار مخربی است که توسط عوامل تهدید روی دستگاه قربانی نصب میشود تا بدون اطلاع او، از منابع محاسباتی سیستم او برای استخراج ارز رمز ارز استفاده کند. در این جنگ رمزنگاری، قربانی نهتنها هیچ بازده مثبتی دریافت نمیکند، بلکه متحمل ضررهای شدید از نظر منابع محاسباتی و قدرت پردازش خواهد شد.
پیشگیری از بدافزار و حفاظت پیشرفته از بدافزار (AMP) چگونه است؟
دقت در دانلود برنامه و نرمافزار از سایتهای معتبر، استفادهنکردن از فلش تا قبل از اسکن آن، محتاط در استفاده از اینترنت و پرهیز از ورود به سایت یا لینک مخرب و بسیاری دیگر از توصیهها که در نهایت سیستم شما به بدافزار آلوده خواهد شد! بله درست متوجه شدید. طبق آمار دقیق شرکتهای بزرگ فعال در حوزه امنیت سایبری، تقریبا همه دستگاهها با رعایت پروتکلهای امنیتی بهصورت کامل، بازهم میزبان انواع بدافزار malware خواهند بود.
شاید برای کامپیوترهای خانگی و شخصی (PC) این نوع بدافزارها تهدیدات مهمی بهحساب نیاید و در نهایت از طریق آنتیویروس نصب شده بر روی سیستم حذف شود. ولی برای شبکههای سازمانی که نگهدارنده اطلاعات مهم و حیاتی هستند، ورود بدافزار خطرناک خواهد بود. زیرا بدافزار وارد شده در اکثر موارد معمولی نبوده و با برنامهریزی دقیق و قوی، بسیار مخرب است. پس نیاز است تا از Advanced Malware Protection (AMP) یا حفاظت پیشرفته بدافزار در این شبکهها استفاده شود. به دو دلیل:
- اول این که بدافزارها با پیشرفت تکنولوژی و ابزارهای کدنویسی بسیار قدرتمندتر از قبل شدهاند و شناسایی یا حذف آنها از طریق روش جستجو در دیتابیس آنتیویروسها دیگر کارآمد نیست. زیرا در مواردی حتی آنتیویروس یک بدافزار را بهعنوان عامل مخرب شناسایی نمیکند چه رسد به اینکه قادر به حذف آن باشد.
- دلیل دوم این است، در 98 درصد موارد رخنه امنیتی بهوسیله اشتباهات انسانی بوده و یک نرمافزار قدرتمند با مانیتورینگ و نظارت لحظهای بر سیستم و شبکه نیاز است. تا هر لحظه تمامی اقدامات کاربران و حتی نرمافزارها را زیر نظر گیرد تا در صورت مشاهده عملی مشکوک اقدامات لازم را انجام دهد.
AMP یا حفاظت پیشرفته بدافزار با استفاده از هوش مصنوعی، بهصورت خودکار قادر به بررسی رفتارهای جدید و ناشناخته (البته در حد متوسط و نه پیشرفته زیرا عمر هوش مصنوعی بسیار کم است و نیاز به بالغ شدن دارد) و اقدام متقابل است.
چطور سیستم را از بد افزارها پاک کنیم؟
چنانچه احساس میکنید رایانه، تلفن هوشمند یا تبلت شما به بد افزار آلوده شده، در اولین قدم هرگونه عملیات آنلاین مثل خرید، تراکنشهای بانکی یا هر فعالیت دیگر که با واردکردن نام کاربری و رمز عبور در ارتباط است را متوقف کنید. یک نرمافزار آنتیویروس قابل اعتماد نصب کنید. اما مهمتر از آن، مطمئن شوید سیستم عامل و برنامههای شما کاملا بهروز باشد. طبیعی است که برنامههای قدیمیتر از ویژگیهای امنیتی جدید برخوردار نباشند. به محض آنکه سیستم با ویندوز ۱۰ آلوده به بد افزارها شد:
مرحله اول: رایانه را به حالت Safe Mode ببرید.
- وارد صحفه Reboot سیستم شوید.
- از منو گزینه «troubleshooting» و سپس «Advanced Options» را انتخاب کرده و «Startup Settings» را بزنید. پس از ورود به صفحه Startup Settings، روی گزینه «restart» کلیک کنید.
- در مرحله بعد، پنجرهای را با گزینههای شمارهدار مشاهده میکنید که میتوانید برای انتخاب هریک از آنها عدد مربوطه را وارد کنید. برای ورود به حالت Safe Mode عدد ۴ را بزنید.
احتمالا پس از ورود این حالت متوجه عملکرد سریعتر سیستم میشوید که بهخاطر آلودگی به بد افزار کند شده بود.
مرحله دوم: حذف فایلهای موقت
احتمال دارد پوشه فایلهای موقت حاوی فایلهای مخرب باشد. بنابراین کل فایلها و پوشههای موقت را حذف کنید تا درهمکاریهای غیرضروری از سیستم پاک و فضای بیشتری آزاد شود.
مرحله سوم: حذف برنامههای مشکوک
برنامههای مشکوک که اصلا خاطرتان نیست کی و چرا نصب کردید را حذف کنید. هیچ بعید نیست که این برنامهها حاوی بد افزارهای مخرب باشند.
مرحله چهارم: پاککردن System Restore Point ها
گاهی اوقات System Restore Point ها حاوی بد افزار میشوند و برای از بین بردن ردپای بد افزار و حل مشکل، باید آنها را حذف کرد. میتوانید تکتک این نقاط بازیابی را حذف کنید.
مرحله پنجم: ریاستارت کردن تنظیمات مرورگر وب
مرورگرها دروازه ورود بد افزارها هستند. آسیبپذیریهای امنیتی در برنامههای مرورگر وب گاهی زمینه سوءاستفاده را برای بد افزارها فراهم میکند. بهتر است به محض آلودگی سیستم، بد افزار را به حالت اولیه ریست کنید.
مرحله ششم: نصب آنتی بد افزار و اسکن سیستم
حالا که فایلهای غیرضروری و مشکوک را از روی سیستم پاک کردهاید، زمان نصب یا بهروزرسانی نرم افزار آنتی بد افزار است تا از شر هرگونه نفوذ غیرمجاز بهطور کامل خلاص شوید. گزینه بهروزرسانی خودکار را فعال کنید تا نرمافزار همیشه بهروز بماند.
مرحله هفتم: بازیابی سیستم عامل
برای اطلاع از نحوه بازیابی سیستم عامل (مانند Windows یا Mac OS) باید به وبسایت سازنده دستگاه مراجعه کنید. با بازیابی سیستم معمولا مقدار زیادی از دادههای ذخیره شده در دستگاه را پس میگیرید که باعث میشود جایگزین بهتری نسبت به نصب مجدد سیستم عامل باشد.
مرحله هشتم: نصب مجدد سیستم عامل
این آخرین تیر شما برای حذف بد افزار است. با این روش مطمئن هستید که دستگاه بهطور کامل از هر عامل نفوذی تمیز شده و دیگر خبری از بد افزارها نخواهد بود. البته تمام دادههای ذخیره شده که از آنها بکاپ نگرفتهاید را از دست میدهید.
چطور بد افزارها را شناسایی کنیم؟
ممکن است بگویید حالا که محافظ بد افزار نصب کردهام، نیاز نیست نگران هشدارهای زیرودرشت رخنه در سیستم باشم. اگر اتفاقی رخ دهد، نرم افزار حتما به من خبر میدهد. یادتان باشد حتی بهترین نرم افزارها کامل نیستند و نباید علائم هشدار را نادیده گرفت. حواستان به این اتفاقات باشد:
- تبلیغات پاپ آپ امانتان را بریده و همه جا ظاهر میشود.
- مرورگر مدام تغییر مسیر میدهد و اصطلاحا درگیر حملات تغییر مسیر میشوید.
- از یک برنامه ناشناس هشدارهای ترسناک دریافت میکنید.
- سروکله پستهای عجیبغریب و مرموز در رسانههای اجتماعیتان پیدا میشود.
- کل رایانه با یخشی از دادههای شما در ازای «باج» قفل میشود.
- ابزارهای سیستمی غیرفعال میشوند.
- همه چیز کاملاً عادی به نظر میرسد. بسیاری از اوقات تمام فعالیتها را از چشمتان پنهان میماند و بد افزار هیچ ردی از خود باقی نمیگذارد.
در صورت مشاهده این علائم برای آنکه صددرصد از وجود بد افزار مطمئن شوید، وارد Task Manager ویندوز شوید و نگاهی به فهرست برنامههای در حال اجرا بیندازید. بد افزارها اغلب حجم زیادی از CPU، حافظه یا منابع دیسک را به خود اختصاص میدهند.
اکتیو دایرکتوری چیست؟ برای اطلاعات بیشتر می توانید مقاله مورد نظر را مطالعه نمایید.
بهترین روشهای مخفیسازی بد افزارها چیست؟
به مرور زمان نویسندگان بد افزارها یاد گرفتهاند با استفاده از صدها تکنیک مخفیسازی، از کنترلهای امنیتی فرار کنند. در این بخش از مقاله نگاهی به بهترین روشهای مخفیسازی بد افزارها میاندازیم.
. ممانعت از درخواستهای رهگیری (Read Request Intercepts)
در این روش بد افزار خود را بهعنوان سیستمعامل ویندوز به نرم افزار آنتیویروس معرفی میکند. به عبارتی با قطع و رد درخواست یا ارائه یک نسخه تقلبی سالم از فایل، خود را کاملامخفی نگه میدارد. عملیات رد درخواست با تزریق کد به فایلهای سیستمعامل اصلی انجام میشود.
. خوداصلاحی (Self Modification)
برخی از انواع ویروسها و بد افزارها با ردیابی کدهایی که برنامههای آنتیویروس بهعنوان کد مرجع استفاده می کنند، هر بار که ویروس به دستگاه جدیدی تزریق میشود، آن قطعه کد را تغییر داده و خود را پنهان میکنند. عملا امضای خود را تغییر میدهند تا روی تمام دستگاههای آلوده منحصر به فرد باشند. به همین راحتی برنامه آنتیویروس فریب میخورد و فکر میکند ویروس یا بد افزاری روی سیستم وجود ندارد.
. خودرمزگذاری (Self-Encryption)
بد افزارها برای آنکه شناسایی نشوند، به ۳ شکل مختلف خود را رمزگذاری میکنند. یک مدل با استفاده از رمز XOR، ورودی را با یک کلید ساده قفل میکند. از آنجا که رمزگشایی این قفل به الگوریتم جداگانهای نیاز ندارد. بد افزار به راحتی پنهان میشود و میتوان آن را باز کرد.
. بستهبندی (Packers)
یکی از بهترین روشهای مخفیشدن بد افزارها، استفاده از برنامههای Packer است. این برنامهها ساختار فایل اجرایی را با عملیات فشردهسازی تغییر میدهند تا دیگر تشخیص آن بهعنوان بد افزار راحت نباشد. در این حالت بسیاری از آنتیویروسها نمیتوانند با قاطیت یک فایل را بد افزار معرفی کنند.
. بد افزار چند شکلی (Polymorphic Malware)
در این حالت بد افزار با بستهبندی و رمزگذاری مکرر، مدام ظاهرخود را تغییر میدهد و جهش پیدا میکند. این بد افزارها ازالگوریتمهای رمزگذاری پیچیده استفادهمیکنند و این قابلیت را دارند تا با هر مرتبه کپی، جهش پیدا کنند.
. Downloader، Dropper و Staged Loading
برخی از بد افزارها طوری طراحی میشوند که پیش از نصب به کمک برنامههای مرحلهبندی droppers یا downloader اطلاعات کسب کنند و جلوی هشدارهای امنیتی موقع نصب را بگیرند. بسیاری از آنها فرایندهای امنیتی را از بین میبرند یا فعالیت آنها را رصد میکنند.
هدف از تحلیل بد افزار چیست؟
هدف از تجزیه و تحلیل بد افزار معمولا دستیابی به اطلاعاتی است که برای مقابله با نفوذ نیاز داریم.
میخواهیم بدانیم دقیقا چه اتفاقی افتاده و مطمئن شویم که تمام دستگاهها و فایلهای آلوده را پیدا کردهایم. با تحلیل میفهمیم بد افزار دقیقا چه کارهایی میتواند انجام دهد، چطور باید آن را شناسایی کنیم و چطور آسیبهای ناشی از آن را اندازهگیری و مهار کنیم. اهمیت تحلیل بد افزار را میتوان در چند مورد خلاصه کرد:
- تعیین ماهیت و هدف بد افزار: تا بتوانید تشخیص دهید این بد افزار یک دزد اطلاعات، ربات HTTP، ربات هرزنامه، روت کیت، کی لاگر یا RAT و غیره است یا خیر.
- درک خطرات و عواقب ناشی از نفوذ بد افزار.
- شناسایی اندیکاتورهای مرتبط با بد افزار: تا بتوانید با آن آلودگیهای مشابه را با نتورک مانیتورینگ شناسایی کنید. برای مثال اگر طی تجزیه و تحلیل خود تشخیص دهید که یک بد افزار با دامنه یا آدرس IP خاصی ارتباط دارد، میتوانید با نظارت بر ترافیک شبکه، همه هاستهایی که با آن آدرس IP ارتباط دارند را شناسایی کنبد.
- استخراج اندیکاتورهای مبتنی بر میزبان: مثل نام فایل و کلیدهای رجیستری که به نوبه خود برای تعیین آلودگی مورد استفاده قرار میگیرند. برای مثال اگر متوجه شدید که یک بد افزار کلید رجیستری خاصی تولید میکند، میتوانید از این کلید بهعنوان امضا استفاده کنید و کل شبکه را اسکن کنید تا هاستهای دارایی این کلید رجیستری شناسایی شوند.
- برای تعیین قصد و انگیزه مهاجم: اگر در طول تجزیه و تحلیل متوجه شدید که بد افزار در حال سرقت اعتبارات بانکی است، استنباط میکنید که انگیزه مهاجم سود مادی است.
برای مطالعه بیشتر مقاله امنیت شبکه چیست را از دست ندهید.
جمعبندی
شبکه گسترده کامپیوترها علاوه بر مزایایی که دارد، به همراه خود برخی عوامل و بدافزارهای مخرب را نیز انتشار میدهد. در حالت کلی به هر نوع نرمافزاری که برای اهداف خبیثانه و از طرف یک خرابکار یا هکر طراحی شده باشد، malware یا بدافزار میگویند. انواع مختلفی از malware وجود دارد که بر اساس اهداف طراح، دستهبندی میشود.
در این مقاله به معرفی و بررسی ۱۲ مورد از بدافزارهای موجود پرداختیم که توسط شرکت امنیت سایبری cisco جمعآوری شده بود. برای جلوگیری از گرفتار شدن در دام هکرها و بدافزارها و جلوگیری از تحمیل ضررهای مالی و حقوقی، بهتر است تا فرهنگ استفاده درست از اینترنت را بیاموزیم.
انواع مختلف بد افزارها کدامند؟
شامل ویروسها، کرمها، تروجانها، روتکیتها، spyware، adware و ransomware هستند.
بدافزار ویروس چه تفاوتی با کرم دارد؟
ویروسها به فایلها متصل میشوند و نیاز به اجرای فایل آلوده دارند، در حالی که کرمها به طور مستقل منتشر میشوند.
چگونه میتوان فهمید که یک سیستم آلوده به بدافزار است؟
شانههایی مانند کاهش سرعت سیستم، پیامهای ناخواسته، و رفتار غیرعادی برنامهها میتواند نشاندهنده آلودگی باشد.
آیا بدافزارها فقط بر روی کامپیوترها تأثیر میگذارند؟
بدافزارها میتوانند بر روی دستگاههای موبایل، تبلتها و حتی دستگاههای متصل به اینترنت نیز تأثیر بگذارند.
1 دیدگاه
سلام وقت به خیر
شبکه ما دچار حمله بدافزار شده چه کاری به صورت اورژانسی میتونیم انجام بدیم؟