رفتن به مطلب
اطلاعیه مهم: پایان فعالیت انجمن پس از 15 سال ×
اطلاعیه مهم: پایان فعالیت انجمن پس از 15 سال

آیا ضد‌ویروس مرده‌است؟ آری. زیرا‌…

Fahim

توسط Fahim،
در مقالات نرم افزاری

ارسال های توصیه شده

Fahim    9563

Fahim
ارسال شده در

بررسي نقاط ضعف ضد ويروس‌ها و آشنايي با HIPS

1004375.jpg

نويسنده: گري.اس ميليفسكي منبع: مجله‌ هكينگ، آگوست 2010 ترجمه: سيد مصطفي ناطق‌الاسلام

 

اشاره: میلیاردها دلار خسارت روی وب به‌دست نفوذگران به با ر آمده‌است. این نفوذگران زیرک سایبری، بزهکاران و هکرهایی هستند که انبوهی از ابزارها را در مجموعه جنگ‌افزارهای خود دارند، از جاسوس‌افزارها، روتکیت‌ها، تروجان‌ها، کرم‌ها، زامبی‌ها و بات‌نت‌ها گرفته تا ابزارهای تهاجم ترکیبی دیگر. از ویروس‌های قدیمی گرفته تا این بات‌نت‌ها همگی را می‌توانیم در دسته بدافزارها قرار دهیم.

میلیاردها دلار خسارت روی وب به‌دست نفوذگران به با ر آمده‌است. این نفوذگران زیرک سایبری، بزهکاران و هکرهایی هستند که انبوهی از ابزارها را در مجموعه جنگ‌افزارهای خود دارند، از جاسوس‌افزارها، روتکیت‌ها، تروجان‌ها، کرم‌ها، زامبی‌ها و بات‌نت‌ها گرفته تا ابزارهای تهاجم ترکیبی دیگر. از ویروس‌های قدیمی گرفته تا این بات‌نت‌ها همگی را می‌توانیم در دسته بدافزارها قرار دهیم.

برای آن که از عهده آشفتگی سایبری برآییم، نخست باید آن را بفهمیم. بدافزار چگونه کار می‌کند؟ چگونه طراحی شده‌است؟ پس از سال‌ها پژوهش درباره بزه‌های سایبری و آزمودن بدافزارهای ویرانگر، نقطه‌های اشتراک میان همه این کدهای ترسناک را یافته‌ايم. این یافته خود را قانون‌های بدافزار می‌ناميم.پیش از آن‌كه به این قانون‌ها بپردازيم، بگذارید برخی آمارهای تکان‌دهنده تازه درباره بدافزار را برای شما بيان كنم.

 

در گزارشی تازه، ۴۸ درصد از ۲۲ میلیون کامپیوتر بررسي‌شده به بدافزار آلوده بودند. گزارش تازه‌منتشرشده APWG در زمینه روند فعالیت‌های فیشینگ، جزئیاتی درباره بالاترین رکوردها در چندین شاخه فیشینگ ارائه می‌دهد، اما در ضمن اطلاعات جالبی درباره آلودگی‌های بدافزاری در بر دارد1. بر پایه این گزارش، شمار کلی کامپیوترهای آلوده در این نمونه‌گیری نسبت به دوره‌های پیشین کاهش یافته‌بود، اما 35/48 درصد از 22754847 کامپیوتر پویش ‌(اسکن) شده آلوده به بدافزار‌مانده‌اند. این رقم‌ها نشان‌ می‌دهند، ترفندهای پیش‌گیرانه سنتی INFOSEC یعنی فایروال‌ها، سیستم‌های تشخیص نفوذگری، سیستم‌های بازدارنده نفوذگری و ضد‌ویروس‌ها نمی‌توانند در برابر آخرین تهدیدهای داینامیک بدافزاری که هوشمندانه‌تر طراحی شده‌اند، تاب بياورند (شکل‌1).

 

ابزار جلوگیری از نفوذ \ضد‌ویروس

کارایی در برابر بدافزارهای نوین

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 1-کـــارایــی در بــــرابـــر بــدافــزارهای امروزی (منبــع:

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
).

 

با وجود آن‌که آلودگی به تروجان‌های مجرمانه یا بانکی نسبت به دوره پیشین کمی کاهش یافته‌است، بیش از یک و نیم میلیون کامپیوتر آلوده شده بودند. ترسناک‌تر این که افزون بر سي‌هزار کامپیوتر روزانه آلوده می‌شوند، در حالی که هر کدام همچنان گونه‌ای از ضد‌ویروس را اجرا می‌کنند. به گفته کارشناسان شرکت FireEye فهمیدن چرخه زندگی آلودگی‌های بدافزاری پیشرفته، برای طراحی و پیاده‌ ساختن دفاع‌های‌کارا که شبکه و کاربران را از هجوم و دزدی ایمن‌بدارند، کلیدی است2.

 

بیایید نگاه نزدیک‌تری به شکل ۳ بیاندازیم. نخست، در بخش ۱، کارمندی هنگام پرسه‌زنی در وب، با کلیک کردن روی لینک‌ها در ایمیلی که به واسطه مهندسي‌هاي اجتماعي به نظر مي‌رسد از منبع مطمئني آمده‌اند، مورد سوءاستفاده قرار می‌گیرد. برخی از تازه‌ترین هجوم‌ها از راه فایل‌های PDF ضمیمه‌ شده‌ای بوده‌اند که از آسیب‌پذیری‌ها ورخنه‌هاي كشف شده متداول ياCVE (سرنام Common Vulnerabilities and Exposures)Adobe Acrobat viewer بهره‌برداری‌مي‌كنند. هنگام رندر‌کردن پی‌دی‌اف، Acrobat viewer مورد سوءاستفاده قرار گرفته و طعمه فیشینگ کاشته می‌شود.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 2

 

سپس، در بخش دوم شکل ۳ این طعمه بدافزاری از روی ‌سایت هماهنگ‌شده‌ای که از ديد *****های محتوایی ضد‌ویروس‌ها و پراکسی‌سرورها بی‌خطر جلوه مي‌كنند، روی کامپیوترهای کارمندان نصب مي‌شود. این فرآیند از شیوه‌های فرار از ثبت نشانه استفاده‌كرده و از هر دو گونه آسیب‌پذیری‌های شناخته‌شده و شناخته نشده بهره می‌برد. هوشمندی این موج نوی بدافزارها در آن است که می‌توانند برای مدتی غیرفعال بمانند و وانمود کنند که بی‌خطر هستند تا هنگامی که زمان فعاليت فرا برسد. در بخش سوم شکل ۳ بدافزار دست‌به‌کار مي‌شود و کار خود، یعنی ربودن داده‌ها و در بسیاری موردها گستردن آلودگی‌های بعدی از راه گسترش به سرورهای SM‌‌B و جای‌گرفتن در سندهای مورد اطمینان ورد، اکسل، پاورپوینت و فایل‌‌های PDF و فایل‌های داده‌ای مورد اطمینان دیگر را آغاز مي‌كند. تنها يك حفره امنيتي به تنهایی می‌تواند به چندین آلودگی منجر شود، در حالی که بدافزار مشغول منتقل‌كردن داده‌هایی است که از راه گزارشگران صفحه‌کلید و چنگک‌های فایلی (file Logger) می‌رباید و همه این‌ها زیر بینی فایروال سنتی، مدیر اصلاحيه‌ها و سیستم‌های یافتن و جلوگیری از نفوذ شما که همگی به‌روز هستند و نیز پراکسی‌های محتوا صورت می‌گیرد.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

شكل 3

1- کامپیوتر کارمندی مورد هجوم قرار می‌گیرد: «بذر» بدافزار کاشته می‌شود

- پرسه‌زنی در وب

- لینک‌های درون ایمیل‌های هدف‌دار

- فایل‌های اجرایی مهندسی اجتماعی‌ شده

2- بدافزار طعمه نصب می‌شود

سرور callback مخفیانه

3- دزدی بدخواهانه داده‌هاو آلودگی‌های پیامد آن

- داده‌های ربوده‌شده از راه گزارشگر صفحه كليد و قلاب‌ها فایلی را آپلود می‌کند.

- یک نفوذ به ده‌ها آلودگی می‌انجامد

- تبهکاران بر سیستم کنترل کامل دارند

 

از نرخ پیروزی هجوم‌های بدافزاری امروزی، که تنها برای امریکا در آدرس

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
قابل مشاهده است، آشکار مي‌شود که راه‌های دفاعی INFOSEC در حال شکست‌خوردن هستند. بله، ضد‌ویروس مرده ‌است! اگر می‌خواهید به نبرد با آخرین بدافزار بروید یا حتی وجود داشتن آن را در محیط خود تشخیص دهید، باید ريشه‌ها را بفهمید. در اين مقاله قانون‌های بدافزار را برای کمک کردن به شما در فهم بهتر چگونگی کارکرد آن تدوین كرده‌ايم. پس از توضیح دادن این قانون‌ها، یک راه‌حل نوید‌بخش و خودکار را برای این مسئله بيان خواهيم كرد. بدافزار از آسیب‌پذیری‌ها و كشف‌شده‌هاي متداول(CVEها) بهره می‌برد.

 

هرچند ممکن است نه‌میلیون نشانه در پايگاه داده پویشگر مک‌آفی یا سیمانتک شما باشد (و این شمار به شکل نمایی افزایش می‌یابد)، کمتر از پنجاه‌هزار CVE وجود دارد. اگر برای نمونه تنها یک CVE را ببندید، بیش از ۱۱۰هزار گونه بدافزار W32 را مسدود خواهیدكرد. اگر شما هم از سایت

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
برای آگاه شدن از حفره قابل بهره‌برداری در شبکه‌ خود بازدید نكنيد، تبهکاران سایبری توسعه‌دهنده بدافزارها حتماً این کار را روزانه انجام می‌دهند. به یاد بسپارید که هر چیزی با یک آدرس IP یک CVE دارد. باید دریابید کدام‌ يك از آن‌هاحفره‌هاي خطرناك هستند و چگونه می‌توان آن‌ها را اصلاح، بازآرایی و برطرف كرد، یا به بیانی سیستم را مستحکم ساخت.

 

قانون‌های بدافزار حاصل سال‌ها پژوهش در زمینه امنیت اطلاعات (INFOSEC) است. این مقاله شش اصل كلي را درباره رفتار بد افزارها شرح مي‌دهد. اگرچه این قانون‌ها نخستین‌بار در این مقاله توضیح داده می‌شوند، بر‌اساس داده‌هایی که مستقل از خط سیر زمانی مربوط به روند رفتاری بدافزارهای کنونی است، باید چندین نسل معتبر بمانند. بینش ناشی از این قانون‌ها به متخصصان امنیت کمک خواهدکرد از شیوع بدافزارها روی شبکه‌های خود جلوگیری كنند. با فهمیدن این قانون‌ها، باید بتوان شبکه‌های پاکیزه‌تر، سالم‌تر و نیرومندتری ايجاد كرد.

 

zedvirusk_s.jpgقانون‌های بدافزار

شش اصل عمومي رفتار بدافزارها عبارتند از:

1- ساخته شدن

2- تکثیر

3- رشد

4- روش‌شناسی

5- مقاومت

6- اختصاصی شدن

 

آنچه در اين مقاله خواهيد آموخت ...

  • قانون‌های بدافزارها
  • دفاع کنش‌گرانه در مقابل بدافزارهای نوظهور

 

آن‌چه که باید بدانید

 

  • پوییدن برای یافتن آسیب‌پذیری‌ها

 

  • چگونگی اجرا کردن یک پویشگر ویروس

 

ساخته شدن بدافزار: بدافزار به دست خرابكاران سایبری، تبهکاران و هکرها ساخته می‌شود. همه بدافزارها یکسان ساخته نمی‌شوند. برخی حاصل تکامل تدریجی بدافزارهای موجود هستند.

تکثیر بدافزار: به‌طور میانگین، هر نمونه بدافزار یک دوجین نام گوناگون دارد. چون هیچ یک از فروشندگان اصلی ضدویروس نمی‌خواهند راز دانسته‌های خود را به اشتراک بگذارند و یک شیوه نام‌گذاری همگانی ایجاد ‌کنند، این مشکل همچنان ادامه خواهد داشت. با ظهور استاندارد همگانی شمارش بدافزار (CME)، امکان فهرست‌بندی مشترک و بی‌طرفانه بدافزارها فراهم خواهد شد (سايت

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
را ببینید)، که البته از سوی فروشندگان ضد‌ویروس به سستی پشتیبانی خواهدشد. تنها ما به عنوان گروهی از کارشناسان امنیت اطلاعات و هکرهای اخلاق‌مدار می‌توانیم این عرضه‌کنندگان را مجبور كنيم از قرون وسطای انحصار در‌آمده و بر سر نام‌گذاری مشترک توافق کنند. تا آن زمان رشد شیوع بدافزارها ادامه خواهد داشت و ناهماهنگ ثبت خواهدشد. افزون بر‌این، به جای مجموعه‌ای از دفاع‌های كنشي(Proactive) بازدارنده مشترک، فروشندگان ضد‌ویروس‌های واکنشی (Reactive) وجود خواهندداشت که به‌روز رساني‌هاي بزرگ و بزرگ‌تری برای پايگاه داده رمزنگاری‌شده MD5 اختصاصی خود خواهندنوشت تا آن که فضای آن‌ها و صبر ما تمام شود.

 

رشد بدافزار: بدافزار می‌تواند در همان روز اعلام خبر آسیب‌پذیری رشد کند و ثمر دهد. کد اپن سورس و رایگان نفوذگری که روی اینترنت موجود است، این پدیده را امكان‌پذير می‌سازد و نمی‌توان آن را وارونه ساخت.

روش‌شناسی بدافزار: اگرچه شمار و گوناگونی بدافزارهای وحشی با آهنگ نمایی افزایش خواهدیافت، کمتر از یک دوجین روش‌شناسی کلیدی در اجرا شدن و تکثیر آن‌ها مورد استفاده قرار می‌گیرد.

 

مقاومت بدافزار: در حالی که برخی از بدافزارها همیشگی هستند و فقط با از دست دادن داده‌ها می‌توان آن‌ها را نابود کرد یا زدود، بیشتر بدافزارها را می‌توان پاک کرد. اگر CVE يا رخنه‌ای که بدافزارها از راه آن نفوذ کرده‌اند برطرف نشود، بيشتر آن‌ها دوباره میزبان را آلوده خواهند كرد (

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
را ببینید).

 

اختصاصی شدن بدافزار: بیشتر بدافزارها مستقل از هدف هستند و با یک یا چند هدف از مجموعه محدود هدف‌های بازشناخت‌پذیر طراحی شده‌اند. اما برخی از موفق‌ترین حمله‌های بدافزاری ضد نهادهای مالی و سازمان‌های دولتی، به خوبی هدف‌گیری شده‌بودند.

 

اکنون که برداشتی پایه‌ای از این قانون‌ها دارید، بیایید ژرف‌تر در این قانون‌های پابرجا كاوش كنيم و سپس خواهید دید که چرا ضد‌ویروس مرده‌است. اما از خاکستر پايگاه داده ده میلیونی نشانه‌ها که با تابع MD5 رمزنگاری شده‌اند و روزانه توسط سیمانتک، مک‌آفی، ترندمایکرو، سوفوس و دیگران روزآمدسازی می‌شوند، ققنوس برمی‌خیزد: زنده باد HIPS (سرنام Host based Intrusion Prwention System) به معناي سیستم‌های بازدارنده مستقر روی میزبان. حال که خواندن اصل‌های عمومی بدافزار را به پایان رسانده‌ايد، شما را به جهان HIPS خواهيم‌برد که بازدارنده‌ترین دفاع در برابر بدافزارها است. دوست داشتيم به شما بگويیم که HIPS مفهومی کاملاً تازه است. اما در‌واقع چنین نیست. البته اگر BlackICE به تصاحب ISS و سپس IBM درنیامده و اکنون جایی در انبار تسلیحاتی آن‌ها پنهان نشده‌بود... . فقط پیام روی سایت آن‌ها را ببینید:

 

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

 

و اگـــر لینــک دانلــود کـردن آن را بــه نشاني

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
دنبال کنید، با این پیام روبه‌رو خواهیدشد: «فایل درخواستی برای دانلود در دسترس نيست.»به ظاهر خبر بدی است، نه؟ BlackIce پایه‌گذار این شیوه بود. اما این سیستم در آغاز روی ویندوز 3,1 اجرا می‌شد و اکنون مدت‌ها است که دیگر وجود ندارد. اما همانند لامپ حبابی، ایده‌های درخشان به سادگی ناپدید نمی‌شوند. به خواندن این مقاله ادامه دهید و در پایان خواهید دانست درون HIPS در پی چه باشید و کجا را برای یافتن HIPS بجویید.

 

ساخته شدن بدافزار

بدافزار به وسیله خرابكاران سایبری، تبهکاران و هکرها (به طور صحيح، نفوذگران (crackers)، اما هکر اکنون واژه مصطلح آن است) ساخته می‌شود. همه بدافزارها به یک شیوه ساخته نمي‌شوند. بیشتر آن‌ها حاصل تکامل تدریجی بدافزارهای موجود هستند. معمولاً بدافزار با بهره‌‌گیری از آسیب‌پذیری‌های شناخته‌شده ساخته می‌شود. این نفوذهاي نرم‌افزاری معمولاً توسط کارشناسان امنيتي کامپیوتر کشف مي‌شوند و به فرهنگ اصطلاحات داده‌های آسیب‌پذیری‌ها و رخنه‌های آشكار متداول يا CVE افزوده می‌شوند که به شرکت MITRE متعلق است و توسط آن و با بودجه فدرال از دولت امریکا اداره می‌شود (نشانی‌های

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
و
برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
را ببینید). بدافزار می‌تواند با نسبت یک به یک در برابر CVEها (یک بدافزار برای یک CVE) و یا چند به یک (چندین بهره‌کشی از یک CVE با کدهای مختلف، اما با بهره‌گیری از یک نفوذ مشترک) ساخته شود. بدافزارهای متفاوتی که از یک CVE استفاده می‌کنند، معمولاً روی یک شاخه بدافزاری نوشته شده‌اند. برای نمونه، یک بدافزار برای نفوذ RPC در ویندوز مایکروسافت، ویروسی به نام BAGEL است و بدافزار دیگری برای همین نفوذ یک کرم به نام SASSER است. شیوه بهره‌کشی هر دو بدافزار متکی بر کد کوتاهی است که بررسی می‌کند آیا پروتکل RPC ویندوز (Application یا سرویس) به درخواست‌ها پاسخ می‌دهد (در حالت Enabled است یا خير) و آیا بافر را می‌توان با داده‌ها سرریز كرد یا خير (پیکان نفوذ). فرمول ساختن قطعه‌ای بدافزار به نسبت ساده است:اگر نفوذ در Application باز یا سرویس فعال است، با پیکان نفوذ حمله کن.

 

اگر این کد مرکزی بدافزاری موفق‌شود، کارکردهای دیگری توسط آفریننده یا نویسنده بدافزار به آن افزوده خواهند شد. این کارکرد می‌تواند از نصب‌کردن دریچه‌های نفوذی همچون روتکیت‌ها، تروجان‌ها، جاسوس‌های صفحه‌کلید، جاسوس‌افزارها، بات‌نت‌ها و زامبی‌ها گرفته تا دزدی یا نابود کردن داده‌ها و همچنین حمله‌های گستاخانه denial of Service باشد که در آن‌ها سیستم قربانی، بی‌مصرف یا آفلاین می‌شود. اين روزها، ساختن بدافزارهای تركيبي رو به گسترش است. این ابزارها معمولاً پیکان‌های نفوذ چندگانه‌ای دارند که در یک بسته گردآمده‌اند. بدافزار تركيبي با ترکیب چند پیکان بدافزاری، سريع عمل مي‌كند و بيشترين آسیب را وارد می‌کند. برای نمونه، برخی بدافزارهای تركيبي مانند Bugbear از ویژگی‌های ویروس‌ها و کرم‌ها به طور همزمان استفاده می‌کنند، همچنین از یک یا چند CVE بهره‌برداری مي‌كنند. در میان تهدیدهای بدافزاری مشهور دیگری که موجب زیان‌های مالی مهیب و ازکارافتادگی سیستم‌ها شدند، می‌توان از Nimda و Cod Red نام برد.

 

تکثیر بدافزار

در حال حاضر هر بدافزار به‌طور میانگین یک دوجین نام دارد. با ظهور استاندارد همگانی شمارش بدافزار (CME)، امکان فهرست‌بندی مشترک و بی‌طرفانه بدافزار فراهم می‌شود. چون فروشندگان بسیاری در زمینه امنیت شبکه در این بازار متکثر حضور دارند که هر یک ادعا مي‌كنند بهتر و سریع‌تر هجوم‌های تازه را می‌يابند، هر کدام در حال حاضر الگوی نام‌گذاري خود را به کار می‌برند. برای نمونه، یک بدافزار مشهور که از راه پروتکل پیام‌رسان (Messenger) روی پلتفرم‌هاي ویندوزی به کاربران هجوم می‌برد، توسط یک شرکتBackdoor.IRS.Bot خوانده شده‌است.

 

اما شرکتی دیگر نام آن را WORM_IRCBOT.JK نهاده‌است. این‌ها چند نام دیگر همین بدافزار هستند:‌Worm/IRCBot.9374،‌Trojan.IRCBot-690 ،‌W32/Ircbot.TT Win32/Cuebot.K!Worm و... همه شرکت‌ها توافق دارند که این بدافزار یک کرم است که در پشتی IRC را روی میزبان قربانی می‌گشاید. گسترش آن از راه استفاده از آسیب‌پذیری Microsoft Windows Server Service Remote Buffer Overflow (گزارش‌شده در بولتن امنیتی شماره MS06-040 مایکروسافت) است. MITRE این آسیب‌پذیری را در قرارداد CME به نام CME-762 خوانده‌است. اما CME چه هست و چرا شما باید اهمیت بدهید؟ CME برای سامان دادن به الگوی همه‌‌گیری بدافزار توسعه داده‌شده و در آن شناسه‌های CME به تهدیدهای برجسته نسبت داده می‌شود. بر‌اساس تعریف ارائه‌شده از سوی گروه ارزیاب تهدیدها در CME که از نمایندگان فروشندگان و کاربران تشکیل شده، تهدیدهای بدافزاری برجسته (high-profile) شامل تهدیدهای بدافزاری برجسته‌ای است که توان گیج‌‌کردن کاربران را داشته‌باشند، تهدیدهایی که خطر مهمی را متوجه‌کاربر كنند یا بدافزارهایی که توجه رسانه‌ها را برانگیزند. با بازدید از نشانی وب

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
از انواع هجوم‌هایی که شبکه شما را هدف قرار می‌دهند، درک بهتری خواهید یافت. در نهایت، اگر فروشنده HIPS خود را به سوی پشتیبانی از CME ترغيب كنيد(زمان‌ خود را با فروشندگان ضد‌ویروس هدر ندهید)، کار برای همه‌ما بسیار آسان‌تر خواهدشد.

 

رشد بدافزار

بدافزار می‌تواند در همان روز اعلام خبر آسیب‌پذیری، توسعه داده‌شده و مورد بهره‌برداری قرار گیرد. کدهای رایگان اپن‌سورس بدافزارها که روی اینترنت موجود است، این پدیده را امكان‌پذير كرده است و نمی‌توان آن را وارونه كرد. در همه شبکه‌های کامپیوتری، همواره دریچه‌های ذاتی آسیب‌پذیری وجود دارند و خواهندداشت. این به دورانی مربوط است که تدابیر پدافندی ضد هجوم‌ها کاهش یافته‌ یا مورد کم‌توجهی قرار گرفته‌اند یا وجود ندارند. فروشندگان بسیاری فرآورده‌هایی با قابلیت دفاع شخصی و خودترمیمی و نیز پیش‌گیری همزمان از نفوذ را عرضه می‌کنند، اما توانایی پیش‌گیری از هجوم نیازمند پیش‌آگاهی از وجود داشتن حفره‌ها و پیکان‌های نفوذگری مورد استفاده در آن‌ها است. پیش‌بینی آینده، در تاريخ بشر به‌ويژه در زمينه امنيت اطلاعات هيچ گاه به سادگي تكرار‌پذير نبوده است. ميلياردها دلار خسارت ناشي از بدافزارها گواه اين مدعا است. شرکت‌های بسیاری روش‌‌هایی برای شناسایی نشانه‌ها یا نابهنجاری‌ها ساخته‌اند تا با آن‌ها بدافزارها را بیابند و بازدارند یا در برابر آن‌ها دفاع کنند. روش‌های نشانه‌ای به‌روزآمدسازی مدام نشانه‌ها نیاز دارند، در حالی که تشخیص ناهنجاری از مدلی پیش‌گویانه برای شناسایی هجوم‌های تازه استفاده می‌کند، اما مستعد نرخ بالای هشدارهای نادرست (False Alarm) است. هرگاه آسیب‌پذیری تازه‌ای به دست یک نفوذگر زیرک کشف می‌شود، دریچه آسیب‌پذیری گشوده‌‌مي‌شود. بدافزار معمولاً به سرعت یا با بهره‌گیری از کارهای قبلی یا کدهای اپن‌سورس ساخته می‌شود. معمولاً این بدافزار در همان روز کشف‌شدن آسیب‌پذیری، به سوی هدف‌های بی‌خبر فرستاده می‌شود. این پدیده را نفوذگری«روز صفر» می‌خوانند. بستن و سپس بازگشودن دریچه آسیب‌پذیری چنان پدیده‌ای همه‌گیر است که به بحثی همگانی درباره بند‌آوردن بی‌درنگ نفوذگری‌های روز‌صفردامن زده‌است. اگرچه می‌توان سیستم‌های هوشمندتری ساخت که ترکیبی از روش‌های مبتنی بر‌شناسه و تشخیص بی‌درنگ ناهنجاری را به کار برند، باز هم یک بدافزار شگفت‌انگیز دیگر در همان روز کشف شدن آسیب‌پذیری پدیدار خواهدشد که خواهد توانست، درصدی از کاربران شبکه را قربانی سازد. راهی برای متوقف كردن رشد، بهره‌برداری و گسترش بدافزارهایی که از این مشکل بهره‌برداری می‌کنند، وجود نخواهد داشت. مگر آن که اینترنت دیگر نباشد و شبکه‌سازی به تاریخ بپیوندد. به همين دليل است که نسل بعدی سيستم‌هاي بازدارنده مستقر در میزبان يا HIP (سرنام Host-based Intrusion Prevention System) برای مبارزه با رشد و گسترش بدافزارها نویدبخش به نظر می‌رسند.

 

روش‌شناسی بدافزار

اگرچه شمار بدافزارهای «وحشی» به شکل نمایی افزایش خواهد یافت، کمتر از یک دوجین روش کلیدی برای اجرا و ازدیاد آن‌ها به کار می‌رود. همه آسیب‌پذیری‌های شناخته‌شده در پايگاه‌داده ملی آسیب‌پذیری‌ها در آدرس

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
گرد‌آوری شده‌اند که توسط برنامه CVE شرکت MITRE اداره مي‌شود. به آسانی می‌توان این پايگاه داده را کاوید و با دیدن حفره‌هاي مورد استفاده بدافزارهایی که دیگر «وحشی» نیستند، درباره آن‌ها آموخت. زیان‌بارترین بدافزارها از سستی‌ها یا حفره‌هاي کدهایی بهره‌برداری می‌کنند که بدون در‌نظر‌گرفتن حفره‌هاي امنيتي نوشته شده‌اند. به عنوان مثال، یکی از زیان‌بارترین حمله‌ها توسط Sasser میلیاردها دلار خسارت به بار آورد، در حالی که از یک آسیب‌پذیری کد منبع ویندوز استفاده مي‌كرد که بیش از یک سال از یافته شدن آن گذشته ‌بود. Sasser از حفره‌اي مشهور در رابط RPC و LSASS در ویندوز بهره‌‌برداری مي‌كرد. Sasser از یک رخنه سرریز بافر در Stack استفاده می‌کند که با عنوان CVE-2003-0533 گزارش شده‌است. افزون بر CVE و CME باید به برنامه دیگری به نام CWE (سرنامCommon Weakness Enumeration) هم نگاهي بياندازيد. زيرا بدافزار معمولاً از CVEها بهره‌برداری می‌کند، CVEها فقط در کدهای ضعیف وجود دارند. برنامه CWE سستی‌های متداول در نرم‌افزار را می‌جوید تا با استفاده از آن بتوانیم از آغاز راه‌حل‌های بهتر و استوارتری ایجاد کنیم. در آدرس
برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
و نیز در آدرس
برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
و
برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
و در‌نهایت در
برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
نگاهی به این نرم‌افزار بیاندازيد.

 

بدافزارهای شبکه‌های بیرونی

Sasser نمونه‌ای از چندین شیوه نفوذی است که از پروتکل‌های شبکه برای دسترسی خارجی (Remote) به سیستم محلی و بهره‌برداری از آن استفاده مي‌كنند، بی‌ آن که دسترسی محلی داشته ‌باشند.

 

بدافزارهای میزبان محلی

این بدافزار به نصب کردن پيكان جنگی خود روی کامپیوتر هدف نیاز دارد. روتکیت‌ها، تروجان‌ها، گزارشگرهای صفحه‌كليد و ویروس‌ها باید به طور محلی نصب یا فعال‌سازی شوند. معمولاً کاربر از یک صفحه وب آلوده بازدید كرده یا ایمیلی دریافت مي كند که اسکریپت یا فایلی اجرایی دارد و کاربر برای نصب یا دریافت كردن روی آن کلیک می‌کند و این‌گونه فایروال و بقیه تمهیدهای بازدارنده امنیتی را دور می‌زند.

 

بدافزارهای مبتنی بر مهندسی اجتماعی

برخي نفوذگری‌ها، از سستی کاربران بهره می‌گیرند. برای به‌دست آوردن اطلاعات خصوصی، صفحه‌هایی به کاربر نشان داده می‌شود که به‌ظاهر از منبع‌های مطمئنی هستند. این‌گونه بد‌افزارها را بدافزارهای phishing می‌خوانند.

 

بدافزارهای قطع سرویس

این گروه، از محدودیت‌های نرم‌افزاری، سخت‌افزاری و شبکه‌ای سیستم هدف بهره می‌گیرند تا یک منبع کامپیوتری را برای کاربران اصلی آن غیرقابل‌‌دسترس كنند. معمولاً یک ‌سایت مشهور یا منبع حیاتی یک شبکه سازمانی، مانند یک DNS سرور، مسیریاب یا میل‌سرور هدف این‌گونه هجوم‌ها است.

 

مقاومت بدافزار

برخی از آلودگی‌های ناشی از نفوذها دائمی هستند و تنها با از دست دادن داده‌ها می‌توان آلودگی را از بین برده یا زدود، اما بیشتر آلودگی‌ها را می‌توان پاک كرد. بیشتر حمله‌ها در صورتی که حفره CVE هدف‌شان برطرف نشود، پس از پاک شدن آلودگی دوباره سیستم میزبان را هدف قرار خواهندداد. برخی از بدترین آفت‌های سیستم‌های کامپیوتری با نام روتکیت، تروجان، تبلیغ‌افزار و جاسوس‌افزار شناخته می‌شوند. زدودن این نوع نفوذها بسیار دشوار است و گاهی نیازمند نصب دوباره سیستم‌عامل یا پاک کردن همه هارددیسک (از جمله سکتور بوت) است. هنگامی که اقدامی برای منزوی و برطرف‌کردن آفت صورت‌گیرد، مانند وقتی که ضدجاسوس‌افزار یا ضد‌ویروس، سیستم هدف بدافزار را به کلی تمیز كند، احتمال بسیار دارد که همان بدافزار دوباره آن سیستم هدف را آلوده سازد. دلیل اصلی این پافشاری، برطرف نشدن ضعف مورد استفاده بدافزار است.

 

تا زمانی که سیستم هدف در برابر این هجوم ایمن نشود، ممکن است بارها آلوده شود. بیشتر کاربران نمی‌دانند چگونه سیستم‌ خود را از ضعف‌های بنیادی‌اش رها سازند تا هنگامی که CVE مورد بهره‌برداری درست نشود، تضمینی نخواهدبود که همان بدافزار دوباره پیدا نشود. زدودن CVEها کار دشواری است. برخی را می‌توان با متوقف‌کردن سرویس‌های نرم‌افزاری یا بستن پورت‌هایی که مورد نیاز کاربران هستند، برطرف كرد. بقیه CVEها را نمی‌توان تا زمان ارائه شدن اصلاحيه نرم‌افزاری مورد نیاز برای بستن نفوذ، برطرف كرد. بسیار اتفاق مي‌افتد که یک شرکت اصلاحيه‌اي را شتابزده به بازار می‌فرستد که حفره‌اي را می‌بندد و حفره‌اي دیگر می‌گشاید. چون بسیاری از نفوذهای شرورانه خود را به برنامه‌ها، سرویس‌ها و سرورهای مورد اطمینان می‌چسبانند، به‌سختي مي‌توان یک شبکه کامپیوتری را از همه این نفوذها پاک كرد. هرچه شبکه بزرگ‌تر و پیچیده‌تر شود، این کار نیز دشوارتر می‌شود. اگرچه ابزارهای پاک‌کننده بسیاری ساخته شده‌اند، هر یک نتیجه‌های نادرست مثبت و منفی بسیاری دارند که مانع از یافتن و محاصره کردن همه نفوذهایی می‌شود که خود را به منبع‌های مورد اطمینان پیوسته‌اند.

 

اختصاصی شدن بدافزار

بیشتر نفوذها مستقل از هدف هستند و با یک یا چند هدف از مجموعه کوچک هدف‌های بازشناختنی طراحی شده‌اند. اگرچه کاربر قربانی، احساس می‌کند مورد حمله شخصی قرار گرفته، واقعیت آن است که بیشتر نفوذها مستقل از هدف هستند. به جز هجوم‌های اختصاصی فیشینگ، کاشتن بدافزار (pharming) و حمله‌های افشای اطلاعات که معمولاً توسط تبهکاران سایبری ضد نهادهای مالی یا توسط خرابكاران و جاسوسان سایبری ضد شبکه‌های دولتی انجام می‌شوند، بیشتر ویروس‌ها، کرم‌ها، تروجان‌ها، تبلیغ‌افزارها، جاسوس‌افزارها و بقیه تهدیدهای ترکیبی، همان قدر کور ایجاد و فرستاده شده‌اند که ایمیل اسپم تازه بیل گیتس در‌حساب ایمیلش در مایکروسافت. این اسپم چنین عنوانی داشته‌است: «میلیونر شوید؛ این‌جا را کلیک کنید.»

 

بیشتر هجوم‌ها در سطح جهانی گسترده شده و با ولگردی در بیشه‌زار وب، خسارت‌های سنگین، از دست دادن داده و خاموشی سیستم‌ها را موجب شده‌اند. اگر منشور هکرها را بخوانید، خواهید فهمید که بیشتر نفوذگرها به دنبال آوازه هستند و از این رو هجوم‌های کوری را طراحی می‌کنند تا ببینند چقدر می‌توانند پيش بروند و چه میزان خسارت می‌توانند بیافرینند. در این‌جا نیز تازه‌ترین بدافزاری را که بدون نشانی شناخته‌شده وجود دارد، روز صفرم می‌خوانند. گاهی هفته‌ها طول می‌کشد تا سازندگان عمده نمونه‌ها را به تمامی بیازمایند و آزمون تشخیص شناسه را بنویسند. پس همان‌گونه که در آغاز گفتم، ضد‌ویروس مرده‌است. اين ابزاردیگر نمی‌تواند بر ضد تازه‌ترین حمله‌ها شما را یاری‌ كند. باید جایی دیگر را بجویید و این‌جا است که كار HIPS آغاز مي‌شود.پس اکنون که قانون‌های ثابت بدافزاری را آموختید، بیایید به راه‌حل‌های HIPS نگاهی بیاندازیم و ببینیم چگونه می‌توانند شما را در مقابله با کثیف‌ترین تهدیدها ياري کنند.

 

hips_s.jpgپیش‌گیری مستقر بر میزبان (HIPS)

از آنجا كه بسیاری از سیستم‌های ویندوزی (به ویژه لپ‌تاپ‌ها) در خطر هستند، مد نظر قرار دادن استفاده از سيستم‌هاي پيش‌گيري مستقر بر ميزبان ضروري است. به بیان ساده، HIPS کارکرد نرم‌افزار بدخواه را متوقف می‌سازد. روند تکامل ضد‌ویروس این‌گونه است که همواره یک موتور تازه‌تر و سریع‌تر آزمودن امضا وجود داشته‌باشد (حتی اگر بکوشند HIPS را به این سیستم بیافزایند) که یک گام از تازه‌ترین هجوم‌های بدافزاری عقب است. بنابراين، به‌دنبال یک راه‌حل کاملاً HIPS باشید که به طور پیش‌فرض و بدون روزآمدسازی نشانه‌ها، تهدیدهای روز صفر را متوقف سازد (با فرآیندی اکتشافی). چنین راه‌حلی باید گسترش بدافزار را کاهش دهد، بدافزار را بی‌درنگ قرنطینه کند و چپاول‌گر پردازنده یا حافظه نباشد که کامپیوتر کاربر را بی‌استفاده كند. در چند سال گذشته چندین راه‌حل HIPS را دنبال کرده و آزموده‌ايم و تعدادي راه‌حل یافته‌ايم که شاید بخواهید آن‌ها رابه رایگان بیازمایید. به یاد داشته‌باشید که در سطح تجاری، راه‌حل‌های HIPS هزینه دارند و معمولاً آن‌ قدر که بپردازید به دست خواهیدآورد. رایگان یعنی شاید کار کند و شاید هم خير و ممکن است مستندنویسی خوب، فایل‌های Help و پشتیبانی وجود داشته‌باشد و شاید هم خير. هیچ گونه تضمینی نمی‌دهم که این نرم‌افزارها بتوانند از شما دفاع کنند. تنها می‌گویم که این برنامه‌ها وجود دارند و برای حفاظت از کامپیوترها باید این‌جا تمرکز كنيم (برخی از این نرم‌افزارها یک دوره آزمایشی رایگان سي روزه دارند، سپس برای ادامه استفاده كردن از آن‌ها باید هزینه بپردازید) در جدول 1 مي توانيد نمونه‌هايي از اين ابزار را مشاهده كنيد.اگر به گوگل بروید و HIPS یاhost-based intrusion prevention system را بجویید، به احتمال نمونه‌هاي بسیار دیگري را نیز خواهید یافت.

چند راه حل HIPS

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

جدول 1

 

HIPS چگونه کار می‌کند؟

HIPS مانند یک برنامه بی‌درنگ کار می‌کند و هنگامی که درخواستی از یک برنامه در حال اجرا به سیستم عامل فرستاده می‌شود، آن را پردازش کرده و برای حافظه سیستم مانند فایروال کار می‌کند. بزرگ‌ترین دشواری، نصب کردن یک راه‌حل HIPS روی یک سیستم پاکیزه است. اگر سیستم به طور عمیق تا هسته سیستم عامل آلوده شده‌باشد یا روتکیتی به بایوس سیستم رسیده‌باشد، کارایی صد درصد برای سیستم HIPS تقریباً غير‌ممكن است. اگر یک HIPS را روی سیستمی پاکیزه نصب کنید، شانس راه یافتن یک بدافزار تازه (روز صفر) به سیستم عامل بسیار کمتر می‌شود. برنامه‌های HIPS تازه‌تر و هوشمندتر تلاش می‌کنند تمام کار تشخیص تهدید بودن یک برنامه را برای شما انجام دهند. اما برخی از راه‌حل‌های HIPS از شما می‌خواهند تصميم بگیرید كه کدام برنامه‌ها اجرا شوند. این فرآیند معمولاً به سه ناحیه تقسيم مي‌شود: فهرست‌های سفید، خاکستری و سیاه. فهرست سفید دربرگیرنده برنامه‌هایی است که شما و برنامه HIPS به آن اعتماد دارید. فهرست خاکستری برای برنامه‌های پرسش‌آمیزی است که باید با دقت پاییده شوند و فهرست سیاه برای برنامه‌هایی است که نباید اجرا شوند و ممکن است پیش‌تر آزموده شده و آلوده تشخیص داده‌شده و قرنطینه شده‌باشند. هنگام جست‌وجو برای یک راه‌حل خوب HIPS، اطمینان یابید این توانایی‌ها را داشته‌باشد:

 

 

  • پایان‌دهی به پردازه‌ها (processes): برخی بدافزارها می‌کوشند فایروال‌ها و ضد‌ویروس‌ها را خاموش کنند. یک موتور HIPS خوب می‌تواند کنترل كند كه کدام برنامه‌ها می‌توانند برنامه‌های دیگر را متوقف كرده، پایان داده یا معلق کنند.

 

 

  • کدام برنامه‌ها اجازه اجرا شدن دارند: برنامه‌های ناشناس ممکن است از اجرا بازداشته‌ شوند. HIPS نیاز ندارد بداند که این یک برنامه بدخواه است. تنها باید بداند برنامه در فهرست برنامه‌های تأیید شده نیست. یک برنامه به کدام فایل‌ها می‌تواند برای خواندن یا نوشتن دسترسی یابد: یک موتور HIPS خوب معمولاً دسترسی به فایل‌های اجرایی سیستم عامل (c:\windows32 در ویندوز و usr/ و bin/ در لینوکس) و فایل‌های پیکربندی (رجیستری در ویندوز و etc/ در لینوکس) را محدود می‌کند.

 

 

  • یک برنامه چه قدر زمان پردازنده را می‌تواند مصرف کند: برنامه‌های نرم‌افزاری کثیف معمولاً مقدار زیادی از زمان پردازنده را مصرف می‌کنند، در تلاشی پیوسته برای آلودن بقیه فایل‌ها روی کامپیوتر شما یا روی فایل‌سرور SMB یا روی سایر کامپیوترهای شبکه.

 

 

  • دسترسی به شبکه و پشته TCP/IP: یک راه‌حل خوب HIPS می‌تواند دسترسی به شبکه محلی و اینترنت و دسترسی از آن‌ها به سیستم را کنترل كند.

 

 

  • راه‌حل‌های HIPS برتری‌های فراوانی دارند: برخی به روزآمدسازی هم نیازی ندارند و در اين صورت ديگر به یک اشتراک پرداختی نيز نيازي نیست. اما بهترین راه‌حل‌های HIPS یک رهیافت ترکیبی را به کار می‌برند؛ توانایی تعیین اکتشافی برنامه‌های بدخواه را دارند و همزمان نشانه آن را با یک بانک داده‌ها تطبیق می‌دهند یا برنامه را بی‌درنگ تجزیه می‌کنند یا آن را در ناحیه‌ای ایمن و قرنطينه (به اصطلاح، Sandbox) می‌پایند تا ویژگی‌های بدافزاری را ببینند. در نتیجه، بدافزارهای تازه و ناشناخته (روز صفر) را می‌توان درجا متوقف كرد، در حالی که راه‌حلی مبتنی بر ضد‌ویروس معمولاً ساعت‌ها یا روزها عقب است. یک راه‌حل HIPS اگر به درستی به کار گرفته شود، می‌تواند راهکار پیش‌گیرانه‌تر و بازدارنده‌تری در برابر شمار فزاینده تهدیدهای تازه باشد. HIPSهای خوب، بر‌خلاف ضد‌ویروس‌ها، هارددرایو یا كارايي پردازنده شما را نمی‌بلعند. با اين اوصاف، باید HIPS را به عنوان آینده‌مان در دفاع در برابر تازه‌ترین تهدیدها بنگریم. پس‌زنده باد HIPS!

درباره نويسنده

گری اس. میلیفسکی یکی از همکاران همیشگی مجله هكينگ است. او بنیان‌گذار و مدیرکل فناوری (CTO) شرکت NetClarity است (

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
). وی یک متخصص علوم کامپیوتر و از کارآزمودگان امنیت اطلاعات با بیش از بيست سال پیشینه است. او عضو ICS2.org و CISSP و هیئت مشاوران مرکز مطالعه‌های ضدخرابكاري و بزه‌های اینترنتی در دانشگاه نورویچ است. میلییفسکی در هیئت مشورتی MITRE در برنامه CVE فعالیت می‌کند (
برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
) و عضو هیئت مؤسسان گروه امنیت اطلاعات ملی (
برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
) است.

پي‌نوشت:

1- به سايت

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
مراجعه كنيد.

2- به سايت

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.
مراجعه كنيد.

  • Like 1
لینک به دیدگاه
رفتن به فهرست موضوع ها
×
×
  • اضافه کردن...
AM 00 : 1

Hour
Minutes
AM PM
1 2 3 4 5 6 7 8 9 10 11 12