آموزش CEH (هکر کلاه سفید): ویروس‌های کامپیوتری چیستند و چگونه عمل می‌کنند؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

درست همان‌گونه که کامپیوترهای شخصی در دهه‌های 1980 و 1990 با سرعت خیره‌کننده‌ای پیشرفت کردند، ویروس‌ها و کرم‌ها نیز پیشرفت قابل ملاحظه‌ای داشتند. از اولین ویروس‌های فلاپی دیسک مانند Brain تا کرم‌های هوشمند امروزی مانند Cabir و تهدیدات مداوم پیشرفته مانند Stuxnet همگی در مسیر پیچیده‌تر شدن گام برداشته‌اند. مانند ویروس‌ها، اسب‌های تروجان نیز سابقه‌ای طولانی دارند. همان‌گونه که اشاره خواهیم کرد، این ابزارها خطری واقعی برای امنیت سیستم‌های کامپیوتری هستند. اگر یک مهاجم بتواند یک کاربر را برای نصب یکی از این برنامه‌ها فریب داده یا اغوا کند، هکر می‌تواند کنترل کامل سیستم قربانی را به دست آورد. بخش عمده‌ای از این بدافزارها بر مبنای این اصل کار می‌کنند که "شما نمی‌توانید آنچه را که مجبور به استفاده از آن هستید را انکار کنید" کار می‌کنند، به این معنی که برنامه‌های مخرب از پورت‌هایی مانند 25، 53 و 80 the که توسط مدیران شبکه باز می‌شوند به کار می‌گیرند. اگر برنامه‌ها از این پورت‌ها استفاده نکنند، هکرها همیشه این گزینه را دارند تا از رویکرد تغییر پورت‌ یا کانال‌های دیگری برای ارسال بارداده‌های مخرب استفاده کنند. از آن‌جایی که تغییر مسیر پورت به هکر اجازه می‌دهد تا ترافیک را به سمت پورت‌های باز هدایت کند، ابزارهای خطرناکی برای این منظور طراحی شده‌اند.

تهدیدات بدافزاری

هکرها می‌توانند با استفاده از روش‌های خاصی به شکل غیر مجاز به داده‌ها (exfiltrate) دسترسی پیدا کنند. نرم‌افزارهای جاسوسی یکی از راهکارهای موجود است. دسترسی غیر مجاز به داده‌ها بر مبنای روش‌هایی همچون ضبط کلیدهای تایپ شده توسط کاربر در زمان ورود به سیستم، تبلیغاتی که به شکل پاپ‌آپ ظاهر می‌شوند یا ردیابی فعالیت‌های کاربر از طریق کوکی‌هایی که روی سیستم او نصب نصب می‌شوند  انجام می‌شود. در این میان‌ها ضد‌ویروس‌ها و ضدبدافزارها می‌توانند کدهاب و فعالیت‌های مخرب بررسی کرد و در صورت تطابق امضا بدافزارها با نمونه‌های ثبت شده درون بانک‌های اطلاعاتی فعالیت‌ها و کدهای مخرب را متوقف کنند.

ویروس‌ها و کرم‌ها

ویروس‌ها و کرم‌ها زیرمجموعه‌ای از یک دسته بزرگ‌تر از کدهای مخرب یا بدافزارها هستند که شامل اسب‌های تروجان، درب‌های پشتی، ابزارهای مرتبط با کانال‌های مخفی، جاسوس‌افزارها، باج‌افزارها، بات‌نت‌ها و تهدیدات مداوم پیشرفته هستند. بدافزارها می‌توانند مجموعه‌ای مخرب از فعالیت‌ها را انجام دهند که نمایش پیام‌های تهدیدآمیز، انجام کارهای غیر معمول در سامانه‌ها و حتا خراب کردن داده‌های درون هارددیسک‌ها از جمله این موارد است. عاملی که ویروس‌ها را منحصر به فرد می‌کند این است که ویروس به‌طور معمول برای آلوده کردن نیاز به یک برنامه یا فایل میزبان دارد. ویروس‌های کامپیوتری شباهت زیادی به نمونه‌های زیستی دارند. کرم می‌تواند از یک سیستم به سیستم دیگر بدون نیاز به دخالت عامل انسانی منتقل شود. هنگامی که یک کرم اجرا می‌شود، می‌تواند دوباره تکثیر شود و برنامه‌ها و سیستم‌های بیشتری را آلوده کند. به عنوان مثال، یک کرم ممکن است به سراغ تمامی مخاطبان قربانی که در دفترچه آدرس (صندوق پستی یا گوشی هوشمند) قرار دارند، آن‌ها را آلوده کرده و همین روند را بارها و بارها تکرار کند. این‌کار باعث می‌شود در مدت زمان بسیار کوتاهی کاربران بسیار زیادی آلوده شوند. همچنین به این نکته دقت کنید که ارتباط نزدیکی میان ویروس‌ها و کرم‌ها با نرم‌افزارهای جاسوسی وجود دارد. نرم‌افزارهای جاسوسی نوع دیگری از نرم‌افزارهای مخرب هستند. از بسیاری جهات، نرم‌افزارهای جاسوسی شبیه به یک Trojan هستند، به این دلیل که اکثر کاربران نمی‌دانند که این برنامه مخرب روی سامانه‌ آن‌ها نصب شده است. نرم‌افزارهای جاسوسی عمدتا سعی می‌کنند در یک مکان مبهم پنهان شوند تا نرم‌افزارهای ضدجاسوسی به سادگی موفق نشوند آن‌ها را شناسایی کنند. این نرم‌افزارها با هدف سرقت اطلاعات شخصی یا تجاری کاربران توسعه پیدا می‌کنند و در برخی موارد پهنای باند اینترنتی قربانی را به سرعت مصرف می‌کنند. در موارد دیگری، ممکن است ترافیک وب را تغییر داده و تبلیغات آزاردهنده را به سمت قربانی روانه کنند. بسیاری از کاربران جاسوس‌افزارها را نوع دیگری از ویروس‌ها می‌دانند. برای آشنایی بهتر با انواع مخرب بدافزارها بهتر است تاریخچه مختصری از ویروس‌های رایانه‌ای، انواع متداول ویروس‌ها و برخی از شناخته شده‌ترین حملات ویروس را بررسی کنیم و در ادامه به سراغ برخی از ابزارهای مورد استفاده برای ساخت ویروس‌ها و بهترین روش‌های پیشگیری برویم.

انواع و روش‌های انتقال ویروس‌ها

اگرچه ویروس‌ها قدمتی طولانی دارند و ظهور آن‌ها به دهه 80 میلادی باز می‌گردد، اما طی سال‌ها روش‌های آلوده‌سازی آن‌ها تغییر پیدا کرده است. ویروس‌ها برای گسترش به کاربران و تعامل با تجهیزات وابسته هستند. این فعالیت‌های کاربری می‌تواند مواردی همچون راه‌اندازی کامپیوتر، اجرای خودکار CD / DVD / USB یا باز کردن ضمیمه ایمیل باشد. در حالت کلی ویروس‌ها به روش‌های زیر گسترش پیدا می‌کنند.

■ Master Record boot record: اصلی‌ترین روش حمله است  که رکورد اصلی دیسک سخت دیسک را نشانه می‌گیرد.

■ File infection: نمونه‌های کمی جدیدتر ویروس‌ها برای اجرا به فایل‌ها وابسته هستند و عمدتا به سراغ فایل‌هایی با فرمت فایلی .com و .exe می‌روند. هکرها سعی می‌کنند با اتکا بر روش‌های مهندسی اجتماعی کاربر را متقاعد کنند که برنامه مخرب را اجرا کند. تکنیک‌هایی همچون تغییر نام برنامه یا تلاش برای پنهان‌سازی پسوند .exe یا نشان دادن فایل آلوده به عنوان یک تصویر گرافیکی با فرمت فایلی .bmp از جمله روش‌های عادی استفاده شده از سوی هکرها است.

■ Macro infection: نوع بعدی ویروس‌ها هستند که اولین بار دهه 1990 میلادی شناسایی شدند. ویروس‌های ماکرو از قابلیت‌های اسکریپت‌نویسی نصب شده روی کامپیوتر کاربران سوء استفاده می‌کنند. بسیاری از کاربران قدیمی کامپیوتر ویروس I Love You را به خاطر دارند که نمونه‌ای از یک آلوده‌سازی مبتنی بر ماکرو بود.

■ Cluster: این نوع ویروس می‌تواند ورودی‌های جدول دایرکتوری را تغییر دهد به گونه‌ای که یک کاربر یا یک فرآیند سیستمی را بدافزارها نشان دهد.

■ Multipartite: این ویروس‌ها چند ریختی هستند و می‌توانند بیش از یک روش را برای انتشار استفاده کنند، در نتیجه ممکن است در بخش سکتور راه‌انداز یا فایل‌های اجرایی برنامه‌ها شناسایی شوند. ویروس NATAS از جمله ویروس‌های چندریختی بود.

■ Meme: اگرچه ویروس واقعی نیست، اما مانند ویروس شیوع می‌یابد و در اصل یک نامه زنجیره‌ای یا پیام الکترونیکی است که به‌طور مداوم ارسال می‌شود. Memes از رویکردی شبیه به ویروس‌ها برای گسترش استفاده می‌کند. به عنوان مونه ، شخصی یک ایمیل برای شما ارسال می‌کند و از شما می خواهد آن‌را برای ده نفر از دوستان‌تان ارسال کنید.

نکته: برای آزمون CEH لازم است انواع اوليه مکانيسم‌هاي حمله ويروسی را شناخته و اطلاعات کافی در مورد آن‌ها داشته باشید. Master boot record، آلوده‌سازی فایلی، ماکروهای آلوده‌کننده و سایر مواردی که به آن‌ها اشاره شد، از تکنیک‌های رایج مورد استفاده هکرها هستند.

بعد از آلوده‌سازی کامپیوتر قربانی، ویروس می‌تواند کارهای مختلف انجام دهد. برخی از ویروس‌ها می‌توانند به سرعت گسترش ‌یابند. ویروس‌های با نرخ آلوده‌سازی سریع قادر به آلوده کردن هر فایلی هستند، در حالی که برخی دیگر روی فایل‌های خاصی متمرکز می‌شوند. آلوده‌سازی پراکنده به این معنی است که ویروس زمان خود را صرف آلوده کردن یا خراب کردن فایل‌های مختلف می‌کند. این روش عمدتا با هدف ممانعت از پاک‌سازی سریع انجام می‌شود. برخی از ویروس‌ها سبک خاصی دارند و سعی می‌کنند از فایل‌های خاصی که عمدتا مقیم در حافظه هستند برای ادامه فعالیت استفاده کنند. این تنها راهی است که ویروس‌های بخش راه‌انداز قادر به گسترش خود هستند.

از آن‌جایی که شرکت‌های تولیدکننده نرم‌افزارهای ضدویروسی از روش‌های کارآمدتری برای تشخیص ویروس‌ها استفاده می‌کنند، هکرها به‌طور دائم راهکارهای ساخت ویروس‌ها را تغییر می‌دهند تا شناسایی آن‌ها مشکل شود. به‌طور مثال، در سال 2012، اعتقاد بر این بود که Flame پیشرفته‌ترین بدافزار تاریخ است. فلیم (شعله) این قابلیت را دارد که از طریق یک شبکه محلی به سیستم‌های سرایت کند. این بدافزار می‌تواند فعالیت‌های صوتی، اسکرین‌شات‌ها و کلیدهای تایپ شده روی صفحه‌کلید را ضبط کرده و با استفاده از دستگاه قربانی به واکشی اطلاعات مخاطبانی بپردازد که بلوتوث دستگاه آن‌ها فعال بوده و در نزدیکی کامپیوتر قربانی قرار دارند. تکنیک دیگری که سازندگان بدافزارها از آن استفاده می‌کنند تلاش برای ساخت ویروس‌های چندریختی است. ویروس‌های چندریختی می‌توانند هر بار که یک فایل جدید را آلوده کردند، امضای خود را تغییر دهند. راهکار فوق باعث می‌شود تا ضدویروس‌ها به سادگی قادر به شناسایی بدافزار باشند. یکی دیگر از تغییرات بزرگ  سازندگان بدافزارها در آلوده‌سازی سامانه‌ها به تغییر روش آلوده‌سازی باز می‌گردد. امروزه بخش اعظم بدافزارها برای یک هدف خاص نوشته می‌شوند و فعالیت خود را محدود به چند هدف مشخص می‌کنند. به همین دلیل ضدویروس‌ها به سادگی قادر به جمع‌آوری‌ اطلاعات کاربردی و ساخت امضا برای ویروس‌ها نیستند. همین دلیل ماندگاری بدافزار روی سامانه‌های هدف بیشتر می‌شود.

نکته: چه زمانی یک ویروس در عمل ویروس نیست؟ چه موقع ویروس فریبنده است؟ یک ویروس فریبنده ترکیبی از نامه‌های زنجیره‌ای، یادداشت‌ها یا ایمیل است که کاربر را ترغیب محتوای مخرب را برای سایر دوستان خود ارسال کند و به آن‌ها در مورد یک حادثه ناگوار هشدار دهد. برای ترغیب کاربران به انتشار بدافزار، درون ایمیل ممکن است از اطلاعات رسمی و نام افراد مهم استفاده شده باشد.

بارداده ویروس (Virus payloads)

ویروس‌ها باید بارداده خود را در مکانی ذخیره‌سازی کنند. آن‌ها همیشه می‌توانند بخشی از فایل آلوده را رونویسی کنند، اما انجام این‌کار باعث خراب شدن فایل آلوده می‌شود. بیشتر نویسندگان ویروس در تلاش هستند تا جایی که امکان دارند از شناسایی ویروس‌ها ممانعت به عمل آورند و به همین دلیل برنامه‌ای برای خراب کردن فایل‌ها در نظر ندارند. یکی از راه‌هایی که هکرها قادر هستند بارداده‌ها را در یک فایل وارد کنند به ابتدا یا انتهای فایل است. زمانی که بارداده مخرب در ابتدای یک فایل قرار بگیرد، هر زمان که فایل اجرا می‌شود، برنامه‌های اجرایی دیگر را آلوده می‌کند. در برخی موارد نیز بارداده مخرب در انتهای فایل قرار می‌گیرد. دقت کنید بارداده مخرب باید به گونه‌ای به یک فایل اضافه شود که باعث خرابی فایل نشود. اگر بارداده‌ها به شکل عادی به فایل‌های اجرایی اضافه شوند باعث خرابی فایل شده و سیستم‌عامل قادر به اجرای فایل نخواهد بود.

مهم نیست که چه روش آلودگی به کار گرفته می‌شود، تمامی ویروس‌ها در یکسری مولفه‌ها وجه اشتراکی با یکدیگر دارند. تمامی ویروس‌ها روال یک رویه جست‌جو و آلودگی مشخصی را دنبال می‌کنند. رویه جست‌وجو وظیفه پیدا کردن فایل‌های جدید، فضای دیسک یا حافظه اصلی را برای آلوده‌سازی بر عهده دارد. اگر ویروس راهی برای بهره‌برداری از رویه جست‌وجو به‌دست نیاورد، رویه جست‌وجو بی فایده بوده و مؤلفه دوم ویروس یعنی روال آلوده‌سازی به کار گرفته می‌شود. این بخش از ویروس وظیفه کپی کردن ویروس و اتصال آن به میزبان مناسب را بر عهده دارد. عملیات بیشتر ویروس‌ها در اینجا متوقف نمی‌شوند و در مرحله بعد به سراغ رویکرد تزریق بار داده مضاعف می‌روند. هدف از رویه بارداده پاک کردن هارد دیسک، نمایش پیام‌های تهدیدآمیز یا ارسال ویروس برای مخاطبان قربانی است. ویروس اطلاعات فوق را از طریق ایمیل، حساب‌های کاربری، مخاطبان ذخیره شده روی دستگاه‌های همراه و موارد مشابه به دست می‌آورد. افرادی که متوجه نمی‌شوند از طریق یکی از مخاطبان خود آلوده به ویروس شده‌اند.

بسیاری از ویروس‌ها مجهز به رویه ضدشناسایی هستند. این رویه‌ها به ویروس‌ها اجازه می‌دهند مدت زمان بیشتری به دور از سامانه‌های کشف بدافزاری به فعالیت‌های مخرب خود ادامه دهند. اصلی‌ترین و مهم‌ترین رویه موجود در ویروس‌ها روال ماشه است. هدف آن اجرای بدافزار در زمان و تاریخ مشخص است. رویه ماشه می‌تواند برای انجام یک عمل خاص در زمان معین تنظیم شود. شکل زیر مؤلفه‌های مختلف یک ویروس کامپیوتری را نشان می‌دهد.

تاریخچه ویروس‌ها

ویروس‌های رایانه‌ای ساخته و پرداخته یک مکانیزم طبیعی نیستند و توسط هکرهایی که بعضا برنامه‌نویسان متبحری هستند ایجاد می‌شوند. اولین ویروس کامپیوتری در سال 1984 و زمانی‌که فرد کوهن روی پایان‌نامه دکتری خود مشغول به کار بود شناسایی شد. او در پایان نامه خود به برنامه‌هایی با قابلیت تکرارشوندگی اشاره کرد که قادر به تکثیر خود بودند. فردی به او پیشنهاد داد نام این برنامه‌ها را ویروس بنامد. اواسط دهه 1980 میلادی تحقیقات جدی پیرامون ویروس‌های کامپیوتری آغاز شد. در سال 1985، رالف برگر، مهندس سیستم‌های کامپیوتری در کشور آلمان یکی از اولین برنامه‌های خودتکثیری به‌نام Virdem را ایجاد کرد. او در همان سال در Chaos Computer Club سخن‌رانی تاثیرگذاری انجام داد و درباره تاثیرات مخرب این برنامه‌ها به مخاطبان هشدار داد. سخن‌رانی وی در مورد ویروس‌های رایانه‌ای سایر کاربران را ترغیب کرد تا به سراغ این پدیده بروند. در مدت زمان کوتاهی شرکت‌ها با حجم افسارگسیخته‌ای از ویروس‌ها روبرو شدند. در سال 1987 مشخص شد برخی از افراد به دلیل مخرب بودن، ویروس‌های رایانه‌ای را ایجاد کنند تا اسناد و اوراق امتحانی ذخیره شده در سامانه‌های کامپیوتری دانشگاه Delaware را تخریب یا دستکاری کنند. Brain از جمله این ویروس‌ها بود. ویروس‌ها می‌توانند برای خراب کردن داده‌ها یا اجرای دستورالعمل‌های خاصی استفاده شوند. در حالی که ویروس Brain در آن زمان تاثیرات مخرب بسیار کمی داشت، اما امروزه شاهد شکل‌گیری بازار سیاهی در ارتباط با ویروس‌ها و بدافزارها هستیم. بازاری که توسعه‌دهندگان با مهارت‌های بالا در آن به فعالیت اشتغال دارند.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH