بدافزار
این مقاله بخشی است درباره |
امنیت اطلاعات |
---|
|
ردههای مرتبط به امنیت |
تهدیدات |
محافظت |
بدافزار[۱] (به انگلیسی: malware) هر نوع نرمافزاری است که از روی عمد برای آسیبزدن به رایانه، سرور، کارخواه، یا شبکه رایانهای طراحی شده است[۲][۳] (در مقایسه با اشکال (باگ) نرمافزاری که نوعی نرمافزار است که منجر به آسیب غیرعمدی، مثلاً به علت یک عیب و ایراد میشود).[۴] انواع متنوعی از بدافزار وجود دارد که شامل این موارد میشود: ویروس رایانهای، کرمها، اسبهای تروجان، باجافزار، جاسوسافزار، آگهیافزار، نرمافزار سرکش، پاککن، و ترسافزار.
بدافزار یا نرمافزار بدخواه برنامههای رایانهای هستند؛ به علت آنکه معمولاً کاربر را آزار میدهند یا خسارتی بهوجود میآورند، به این نام مشهورند. هر نرمافزاری است که به طور عمدی طراحی شده است تا به یک کامپیوتر ، سرور ، مشتری یا شبکه رایانه ای آسیب برساند (در مقابل ، نرمافزاری که به دلیل برخی نقصان باعث ایجاد صدمه غیر عمدی می شود ، معمولاً به عنوان یک اشکال نرمافزاری یا باگ توصیف می شود). طیف گسترده ای از انواع نرمافزارهای مخرب وجود دارد ، از جمله از انواع بدافزارها میتوان به ویروس های رایانه ای ، کرمها ، اسبهای تروآ ، باج افزار ، جاسوسافزارها ، آگهیافزارها ، روتکیتها ، هرزنامهها ، نرمافزار سرکش و ترسافزار اشاره کرد.
برنامه ها اگر مخفیانه بر خلاف منافع کاربر رایانه عمل کنند نیز بدافزار تلقی می شوند. به عنوان مثال ، در یک لحظه دیسک های موسیقی سونی کامپکت سکوت یک ریشه کیت را روی رایانه های خریداران با هدف جلوگیری از کپی کردن غیرقانونی نصب کردند ، اما این نیز در مورد عادت های گوش دادن به کاربران گزارش شده و ناخواسته آسیب پذیری های امنیتی اضافی ایجاد کرده است.
طیف وسیعی از نرمافزارهای آنتی ویروس ، فایروال ها و دیگر راهکارها برای کمک به محافظت در برابر معرفی بدافزارها ، برای شناسایی آن در صورت وجود موجود ، و بهبودی از فعالیت های مخرب مرتبط با بدافزارها استفاده می شوند.
مقاصد[ویرایش]
بسیاری از برنامههای آلودهکنندهٔ اولیه، از جمله اولین کرم اینترنتی، به عنوان آزمایش یا سرگرمی نوشته شدند. آنها عموماً به مقاصد بیضرر یا فقط به قصد آزار بودند، تا اینکه بخواهند خسارات جدی به سیستمهای رایانه وارد کنند. در برخی موارد سازنده نمیتوانست تشخیص دهد که چقدر کارش میتواند مضر باشد.
امروزه ، بدافزارها توسط هکرهای کلاه سیاه و دولتها برای سرقت اطلاعات شخصی ، مالی یا تجاری مورد استفاده قرار می گیرند.
نرمافزارهای مخرب گاهی اوقات بطور گسترده علیه وب سایتهای دولتی یا شرکتها برای جمع آوری اطلاعات محافظت شده یا به طور کلی مختل کردن عملکرد آنها استفاده می شود. با این حال ، بدافزارها را می توان در برابر افراد برای به دست آوردن اطلاعاتی از قبیل شماره شناسایی شخصی یا جزئیات ، شماره بانکی یا کارت اعتباری و رمزهای عبور استفاده کرد.
از زمان ظهور دسترسی گسترده به اینترنت پهن باند ، نرمافزارهای مخرب بیشتر برای سودآوری طراحی شده اند. از سال 2003 ، اکثر ویروس ها و کرم های گسترده برای کنترل کامپیوترهای کاربران برای اهداف غیرقانونی طراحی شده اند تا به منظور بهرهگیری در بازار سیاه به کار گیرند. از "رایانه های زامبی" آلوده می توان برای ارسال اسپم نامه های الکترونیکی ، میزبانی از داده های متناقض مانند پورنوگرافی کودک یا مشارکت در حملات انکار سرویس توزیع شده به عنوان نوعی اخاذی استفاده کرد.
برنامه هایی که برای نظارت بر مرور وب کاربران ، نمایش تبلیغات غیرمجاز یا تغییر مسیر درآمدهای بازاریابی وابسته طراحی شدهاند ، جاسوس افزار هستند. برنامه های جاسوسی مانند ویروس ها پخش نمیشوند. در عوض آنها معمولاً با بهره برداری از حفره های امنیتی نصب می شوند. آنها همچنین می توانند به همراه نرمافزارهای نامربوط نصب شده توسط کاربر پنهان و بسته بندی شوند. rootkit Sony BMG برای جلوگیری از کپی کردن غیرقانونی در نظر گرفته شده بود. همچنین در مورد عادت های گوش دادن به کاربران گزارش شده است ، و ناخواسته آسیب پذیری های امنیتی اضافی ایجاد کرده اید.
Ransomware به نوعی بر روی سیستم رایانه ای آلوده تأثیر می گذارد و برای بازگرداندن آن به حالت عادی خود ، نیاز به پرداخت دارد. دو نوع باج افزار وجود دارد که عبارتند از: رمزنگاری رمزنگاری و باج افزار قفل. با ransomware قفل فقط قفل کردن یک سیستم کامپیوتر بدون رمزگذاری محتویات آن است. در حالی که باج افزار سنتی یک سیستم قفل شده و محتویات آن را رمزگذاری می کند. به عنوان مثال ، برنامه هایی مانند CryptoLocker پرونده ها را با خیال راحت رمزگذاری می کنند و تنها با پرداخت مبلغ قابل توجهی می توانند آنها را رمزگشایی کنند.
برخی از بدافزارها برای ایجاد پول با کلیک بر کلاهبرداری استفاده می شوند و به نظر می رسد کاربر رایانه بر روی پیوند تبلیغاتی در یک سایت کلیک کرده است و از تبلیغ کننده هزینه ای دریافت می کند. در سال 2012 تخمین زده شد که حدود 60 تا 70٪ کل بدافزارهای فعال از نوعی کلاهبرداری کلیک کردهاند ، و 22٪ کلیک آگهی های تبلیغاتی تقلب بوده است.
علاوه بر پول سازی جنایی ، از بدافزارها می توان برای خرابکاری ها استفاده کرد ، اغلب برای انگیزه های سیاسی. به عنوان مثال استاکس نت برای ایجاد اختلال در تجهیزات صنعتی خاص طراحی شده است. حملات با انگیزه سیاسی صورت گرفته است که شبکه های بزرگ رایانه ای گسترش یافته و آن را خاموش کردهاند ، از جمله حذف گسترده پرونده ها و فساد سوابق کارآیی بوت ، که به عنوان "قتل رایانه" توصیف شده است. چنین حملاتی به Sony Pictures Entertainment (25 نوامبر 2014 با استفاده از بدافزارهای معروف به Shamoon یا W32.Disttrack) و سعودی آرامکو (آگوست 2012) انجام شد.
بدافزارهای عفونی[ویرایش]
شناخته شده ترین انواع بدافزارها ، ویروس ها و کرم ها ، بیشتر از هر نوع رفتار خاص ، برای شیوه پخش آنها شناخته می شوند. ویروس رایانه ای نرمافزاری است که بدون اطلاع و رضایت کاربر در برخی از نرمافزارهای اجرایی دیگر (از جمله خود سیستم عامل) روی سیستم مورد نظر تعبیه شده و هنگام اجرای آن ، ویروس در سایر اجرایی پخش می شود. از طرف دیگر ، کرم یک نرمافزار بدافزار مستقل است که به طور فعال خود را از طریق شبکه برای آلوده کردن رایانه های دیگر منتقل می کند. این تعاریف منجر به این نکته می شود که ویروس به کاربر نیاز دارد تا یک نرمافزار آلوده یا سیستم عامل آلوده را برای انتشار ویروس اجرا کند ، در حالی که کرم خود را گسترش می دهد.
مخفی کارها[ویرایش]
این دسته ها منحصر به فرد نیستند ، بنابراین ممکن است بدافزارها از چندین تکنیک استفاده کنند. این بخش فقط برای بدافزارهایی طراحی شده است که برای کار غیرمجاز طراحی شدهاند ، نه خرابکاری و باج افزار.
ویروس ها[ویرایش]
مقاله اصلی: ویروس رایانه ای
ویروس رایانه ای معمولاً درون یک برنامه به ظاهر بی نظیر دیگر مخفی است که می تواند نسخه هایی از خود تولید کند و آنها را در برنامه ها یا پرونده های دیگر قرار دهد و معمولاً یک عمل مضر (مانند از بین بردن داده ها) انجام می دهد. نمونه ای از این ویروس PE است ، تکنیکی که معمولاً برای پخش بدافزارها استفاده می شود ، که داده های اضافی یا کد اجرایی را در پرونده های PE وارد می کند.
انواع بدافزارها، ویروسها و کرمها هستند که به خاطر نحوهٔ شیوعشان شناخته میشوند. عبارت ویروس کامپیوتری به برنامهای اطلاق میشود که نرمافزار قابل اجرایی را آلوده کرده باشد و هنگامی که اجرا میشود، سبب شود که ویروس به فایلهای قابل اجرای دیگر نیز منتقل شود. ویروسها ممکن است قابلیت حمل یک بار اضافی را نیز داشته باشند، که میتواند اعمال دیگر نیز انجام دهد. این اعمال اغلب خرابکارانه هستند. از سوی دیگر یک کرم برنامهای است که بهطور فعالانه خود را روی یک شبکه منتقل میکند تا رایانههای دیگر را نیز آلوده سازد. کرمها نیز قابلیت حمل یک بار اضافی را دارند.
تعریفهای بالا نشان میدهد که تفاوت ویروس و کرم در این است که یک ویروس برای شیوع نیاز به دخالت کاربر دارد، در حالی که یک کرم خود را بهطور خودکار و از طریق شبکه گسترش پیدا میکند. در نتیجه آلودگیهایی که از طریق ایمیل یا فایلهای مایکروسافت ورد (به انگلیسی: Microsoft Word) منتقل میشوند، ویروس شناخته میشوند، زیرا باید دریافتکنندهٔ فایل یا ایمیل آن را باز کند تا سیستم آلوده شود. برخی نویسندگان در رسانههای محبوب نیز متوجه این تمایز نیستند و از این عبارتها به اشتباه در جای یکدیگر استفاده میکنند.[۵]
باج افزار قفل صفحه[ویرایش]
مقاله اصلی: باج افزار
"قفل صفحه ها" یا قفل صفحه نمایش نوعی باج افزار "پلیس سایبر" است که باعث می شود صفحات صفحه روی ویندوز یا دستگاه های Android با یک تهمت دروغین در برداشت محتوای غیرقانونی مسدود شود ، و سعی در ترساندن قربانیان از پرداخت هزینه ای دارد. Jisut و SLocker بیش از سایر قفل صفحه ها روی دستگاه های اندرویدی تأثیر می گذارند ، در حالی که Jisut نزدیک به 60 درصد از تشخیص های باج افزار اندرویدی را تشکیل می دهد.
اسب های تروجان[ویرایش]
مقاله اصلی: اسب تروا (محاسبات)
اسب تروجان یک برنامه مضر است که خود را به عنوان یک برنامه معمولی و خوش خیم به منظور ترغیب یک قربانی برای نصب آن سوق می دهد. یک اسب تروا معمولاً عملکرد مخرب مخفی را انجام می دهد که هنگام شروع برنامه فعال می شود. این اصطلاح از داستان یونان باستان از اسب تروا گرفته شده است که برای حمله به شهر تروی توسط مخفیکاری استفاده شده است.
اسب های تروجان به طور کلی توسط نوعی مهندسی اجتماعی گسترش می یابند ، به عنوان مثال ، در جایی که کاربر برای اجرای یک پیوست نامه الکترونیکی مبدل شده باشد که مشکوک باشد ، فریب داده نمیشود (به عنوان مثال ، فرم معمول پر شده برای پر کردن آن) یا با بارگیری درایو . اگرچه میزان بار آنها می تواند هر چیزی باشد ، بسیاری از اشکال مدرن به عنوان یک backdoor عمل می کنند ، با یک کنترل کننده تماس می گیرند که می تواند دسترسی غیرمجاز به کامپیوتر آسیب دیده داشته باشد. در حالی که اسب های تروجان و در پشت ها به راحتی قابل تشخیص نیستند ، ممکن است کامپیوترها به دلیل استفاده از پردازنده های سنگین یا استفاده از شبکه ، کندتر عمل کنند.
برخلاف ویروس ها و کرم های رایانه ای ، اسب های تروجان عموماً سعی در تزریق خود به پرونده های دیگر ندارند یا در غیر این صورت خود را تبلیغ می کنند.
در بهار سال 2017 ، کاربران Mac با نسخه جدید Proton Remote Access Trojan (RAT) آموزش داده شدند تا داده های پسورد را از منابع مختلف مانند داده های پر کردن خودکار مرورگر ، صفحه کلید Mac-OS و اتاق های رمز عبور استخراج کند.
روتکیت[ویرایش]
مقاله اصلی: روتکیت
پس از نصب نرمافزارهای مخرب بر روی یک سیستم ، ضروری است که آن را پنهان بمانید ، تا از شناسایی آن خودداری کنید. بسته های نرمافزاری که به عنوان rootkits شناخته می شوند ، با تغییر سیستم عامل میزبان به راحتی امکان پنهان کردن این مخرب را فراهم می کنند تا بدافزار از کاربر پنهان شود. Rootkits می تواند مانع از مشاهده یک فرایند مضر در لیست فرایندهای سیستم شود یا از خواندن پرونده های آن جلوگیری کند.
رد گم کن واژه مصوب فرهنگستان زبان و ادب فارسی برای (به انگلیسی: Rootkits) است. هنگامی که یک برنامهٔ خرابکار روی یک سیستم نصب میشود بسیار مهم است که مخفی باقی بماند تا از تشخیص و نابودی در امان باشد. همین وضعیت دربارهٔ یک مهاجم انسانی که بهطور مستقیم وارد یک رایانه میشود برقرار است. ترفندهایی که به عنوان روتکیتها شناخته میشوند اجازه این مخفی کاری را میدهند. آنها این کار را با اصلاح سیستم عامل میزبان انجام میدهند به نحوی که بدافزار از دید کاربر مخفی بماند. روتکیتها میتوانند از این که یک پروسهٔ خرابکارانه در لیست پروسههای سیستم دیده شود ممانعت کنند، یا مانع خوانده شدن فایلهای آن شوند. در ابتدا یک روتکیت مجموعهای از ابزارها بود که توسط یک مهاجم انسانی بر روی یک سیستم یونیکس نصب میشد که به مهاجم اجازه میداد تا دسترسی مدیریتی داشته باشد. امروزه این عبارت بهطور عمومی تر برای فرایندهای مخفیسازی در یک برنامهٔ خرابکار استفاده میشود.
برخی از انواع نرمافزارهای مضر شامل روالهایی برای جلوگیری از شناسایی و / یا تلاش برای حذف ، صرفاً برای مخفی کردن خود نیستند. نمونه اولیه این رفتار در داستان Jargon File از یک جفت برنامه آلوده به سیستم اشتراک گذاری زمان Xerox CP-V ثبت شده است:
هر کار شبح واقعیت قتل دیگری را تشخیص می دهد و نسخه جدیدی از برنامه اخیراً متوقف شده در عرض چند میلی ثانیه را آغاز می کند. تنها راه برای کشتن هر دو شبح ، کشتن آنها به طور همزمان (بسیار دشوار) یا سقوط عمدی سیستم بود.
درهای پشتی[ویرایش]
مقاله اصلی: درپوش (محاسبات)
backdoor روشی است برای دور زدن رویه های احراز هویت عادی ، معمولاً از طریق اتصال به شبکه ای مانند اینترنت. پس از به خطر افتادن سیستم ، ممکن است یک یا چند درب پشتی نصب شود تا امکان دسترسی در آینده ، به صورت نامرئی برای کاربر فراهم شود.
این ایده اغلب پیشنهاد می شود که تولیدکنندگان رایانه در پشتیبان خود از سیستم های خود ، از پشتیبان نصب کنند تا از آنها پشتیبانی فنی برای مشتریان ارائه دهند ، اما این مسئله هرگز قابل اطمینان نبوده است. در سال 2014 گزارش شد که آژانسهای دولتی آمریکا رایانه های خریداری شده توسط افراد هدفمند را به کارگاههای مخفی که نرمافزار یا سخت افزار اجازه دسترسی از راه دور را توسط آژانس نصب کرده بودند ، هدایت می کردند که از جمله کارآمدترین عملیات برای دستیابی به شبکه های اطراف بود. جهان. درهای پشتی ممکن است توسط اسب های Trojan ، کرم ها ، ایمپلنت ها یا روش های دیگر نصب شود.
گریز[ویرایش]
از ابتدای سال 2015 ، بخش قابل توجهی از بدافزارها با استفاده از بسیاری از تکنیک های طراحی شده برای جلوگیری از تشخیص و تجزیه و تحلیل استفاده شده است. از رایج ترین ، به حداقل رایج:
- فرار از تجزیه و تحلیل و تشخیص با اثر انگشت محیط هنگام اجرا.
- روش های تشخیص ابزارهای گیج کننده. این امر به بدافزارها اجازه می دهد تا با تغییر سرور مورد استفاده توسط بدافزار ، از شناسایی توسط فناوری هایی مانند نرمافزار آنتی ویروس مبتنی بر امضا جلوگیری کنند.
- فرار مبتنی بر زمان. این در شرایطی است که بدافزار در زمانهای معینی یا اقدامات خاصی که توسط کاربر انجام شده است ، اجرا می شود ، بنابراین در طی دوره های آسیب پذیر خاص مانند مراحل بوت شدن ، در حالی که بقیه وقت را خفته نمیکند ، اجرا می شود.
- داده های داخلی را دچار سوء استفاده می کنند تا ابزارهای خودکار بدافزار را تشخیص ندهند.
تکنیکی که به طور فزاینده ای رایج است (2015) تبلیغاتی است که از گواهی های دزدیده شده برای غیرفعال کردن ضد بدافزارها و محافظت از ویروس استفاده می کند. راه حل های فنی برای مقابله با نرمافزارهای تبلیغاتی مزاحم موجود است.
امروزه یکی از پیشرفته ترین و مخفی ترین راه های فرار ، استفاده از تکنیک های مخفی سازی اطلاعات ، یعنی stegomalware است. نظرسنجی در مورد stegomalware توسط Cabaj و همکاران منتشر شد. در سال 2018
نوع دیگر روش فرار بدافزارهای Filless یا Advanced Volatile Threats (AVTs) است. بدافزارهای فیلترشکن برای کارکردن به یک فایل احتیاج ندارند. در حافظه اجرا می شود و از ابزارهای سیستم موجود برای انجام اعمال مخرب استفاده می کند. از آنجا که هیچ پرونده ای روی سیستم وجود ندارد ، هیچ پرونده اجرایی برای ابزارهای آنتی ویروس و پزشکی قانونی برای تجزیه و تحلیل وجود ندارد ، و تشخیص چنین بدافزارها تقریباً غیرممکن است. تنها راه برای شناسایی بدافزارهای فیلترشده ، گرفتن آن در زمان واقعی است. اخیراً این حملات نوع با افزایش 432٪ در سال 2017 و 35٪ از حملات در سال 2018 بیشتر شده است. انجام چنین حملاتی آسان نیست اما با کمک کیت های سوءاستفاده شیوع بیشتری پیدا می کند.
دیگر بدافزارها[ویرایش]
جاسوسافزارها[ویرایش]
جاسوسافزارها (Spyware) بدافزارهایی هستند که بر روی رایانهٔ کاربر نصب میشوند و بدون اطلاع وی، اطلاعات مختلف در مورد او را جمعآوری میکنند. اکثر جاسوسافزارها از دید کاربرها مخفی میمانند و تشخیص و پیدا کردن آنها در اغلب موارد مشکل است. برخی از جاسوسافزارها مانند کیلاگرها ممکن است توسط مسئول یک سازمان یا شرکت بر روی رایانهها نصب شوند تا رفتار کاربران قابل ارزیابی و بررسی باشد.
جاسوسافزارها هر گونه اطلاعاتی را میتوانند جمعآوری کنند. این اطلاعات میتواند اطلاعات شخصی یک کاربر مانند گشت و گذارهای وی بر روی اینترنت یا مشخصات حسابهای مختلف وی مانند رمز عبور پست الکترونیکی و… باشد. علاوه بر این، جاسوسافزارهای میتوانند در کنترل رایانه توسط کاربر اختلال ایجاد کنند. به عنوان مثال، جاسوسافزارهای میتوانند کاربر را به بازدید از یک صفحهٔ خاص اینترنتی مجبور کنند یا اینکه با تغییر تنظیمات رایانهٔ وی، باعث کاهش سرعت اینترنت و دسترسی غیرمجاز به رایانهٔ وی شوند.[۶]
آگهیافزار[ویرایش]
آگهیافزار یا برنامههای تبلیغاتی (Adware): اینگونه برنامهها همانند جاسوسافزارها دارای اثر تخریبی نمیباشند و وظیفه آنها بازکردن صفحات خاص اینترنتی جهت اهداف تجاری و تبلیغی است.
جوکها[ویرایش]
جوکها (Joke) برنامههایی هستند که ادعا میکنند در حال انجام عملیاتی تخریبی بر روی سیستم شما میباشند ولی در واقع اینگونه نبوده و کار آنها چیزی جز یک شوخی ساده نمیباشد. متأسفانه برخی کاربران به سادگی تحت تأثیر جکها قرار گرفته و با تلاش برای از بین بردن چیزی که مخرب نیست باعث ایجاد تخریب بیشتری میشوند.
کلک[ویرایش]
کلک (Hoax): این برنامهها با سوء استفاده از کم بودن اطلاعات تخصصی کاربران، آنها را فریب داده و با دستورها و توصیههای اشتباه باعث میشوند که کاربر شخصاً کاری تخریبی بر روی سیستم خود انجام دهد. به عنوان مثال وانمود میکنند که فایلی خاص در مسیر سیستمعامل یک برنامه خطرناک است و باید توسط کاربر حذف شود. غافل از اینکه این فایل سیستمی بوده و برای عملکرد درست سیستمعامل، وجود آن لازم است.
شمارهگیرها[ویرایش]
شمارهگیر (Dialer): اینگونه برنامهها وظیفهشان ارتباط دادن کاربر از طریق خط تلفن به سرورهایی در دیگر کشورها برای دسترسی مستقیم به اطلاعات آنها میباشد. این سرورها معمولاً مربوط به سایتهای غیراخلاقی بوده و برقراری ارتباط با آنها از طریق خط تلفن باعث هزینه بسیار زیاد مالی میگردد.
بارگیرها[ویرایش]
بارگیر (Downloader): کار اینگونه برنامهها Download کردن بدافزارها و اجرای آنها است.
کلیککنندهها[ویرایش]
کلیککننده (Adclicker): اینگونه برنامهها لینک صفحات تبلیغاتی را دنبال نموده و به این طریق حالت کلیک شدن بر روی آن صفحه تبلیغاتی خاص را شبیهسازی میکنند و باعث بالا رفتن تخریب آن میشوند.
درهای پشتی[ویرایش]
درهای پشتی (Backdoors) ابزاری برای نفوذگرها هستند که به وسیله آنها میتوانند سیستمهای دیگر را در کنترل خود درآورند. درهای پشتی درون شبکه، پورتهای TCP یا UDP را باز میکنند و شروع به گوش کردن نموده تا دستورها نفوذگرها را اجرا کنند. درهای پشتی از جهت نداشتن قابلیت تکثیر شبیه ترویاها هستند.
گذرواژهدزدها[ویرایش]
گذرواژهدزد (Password-Stealer): اینگونه برنامهها که نوعی ترویا هستند کارشان دزدی پسورد از روی سیستمها و ارسال آنها برای نفوذگرها است.
بهرهکشها[ویرایش]
بهرهکشها (Exploits) کدهای مخربی هستند که با استفاده از آسیبپذیریهای یک سیستم امکان دسترسی از راه دور به آن سیستم را فراهم میکنند.
کلید نگار[ویرایش]
کلیدنگار یا کیلاگر (Keylogger) برنامههایی هستند که با قرار گرفتن در حافظه از کلیدهای زده شده توسط کاربر گزارش گرفته و در قالب یک فایل برای نفوذگر میفرستند. البته باید بدانیم که کیلاگرها به صورت سختافزاری نیز وجود دارند.
آسیب پذیری[ویرایش]
- در این زمینه و در کل ، آنچه "سیستم" مورد حمله قرار می گیرد ممکن است هر چیزی از یک برنامه واحد ، از طریق یک کامپیوتر کامل و سیستم عامل ، تا یک شبکه بزرگ باشد.
- عوامل مختلفی باعث می شود سیستم نسبت به بدافزارها آسیب پذیرتر شود:
نقص امنیتی در نرمافزار[ویرایش]
بدافزارها از نقایص امنیتی (اشکالات امنیتی یا آسیب پذیری) در طراحی سیستم عامل ، در برنامه های کاربردی (مانند مرورگرها ، به عنوان مثال نسخه های قدیمی مایکروسافت اینترنت اکسپلورر پشتیبانی شده توسط ویندوز XP) یا در نسخه های آسیب پذیر افزونه های مرورگر مانند Adobe Flash Player استفاده می کنند. ، Adobe Acrobat یا Reader یا Java SE. بعضی اوقات حتی نصب نسخه های جدید چنین افزونه ها به طور خودکار نسخه های قدیمی را حذف نمیکند. مشاوره امنیتی ارائه دهندگان افزونه به روزرسانی های مربوط به امنیت را اعلام می کنند. آسیب پذیریهای رایج به شناسه های CVE اختصاص داده شده و در پایگاه داده ملی آسیب پذیری ایالات متحده ذکر شده اند. Secunia PSI نمونه ای از نرمافزارهای رایگان برای استفاده شخصی است که رایانه ای را برای نرمافزارهای قدیمی و آسیب پذیر به روز می اندازد و سعی در بروزرسانی آن دارد.
نویسندگان بدافزارها برای بهرهبرداری اشکالات یا نقاط ضعف را هدف قرار دادهاند. روش متداول بهره برداری از آسیب پذیری غلبه بر بافر است ، در جایی که نرمافزار طراحی شده برای ذخیره داده ها در یک منطقه خاص از حافظه از داده های بیشتری جلوگیری نمیکند تا بافر بتواند از آن استفاده کند. نرمافزارهای مخرب ممکن است داده هایی را که بافر را پر کرده است ، با کد یا داده های اجرایی مخرب پس از پایان ، فراهم کند. هنگامی که به این قابلیت بارگیری دسترسی پیدا کرد ، آنچه را که مهاجم و نه نرمافزار قانونی تعیین می کند ، انجام می دهد.
طراحی ناامن یا خطای کاربر[ویرایش]
رایانه های شخصی اولیه از دیسک های فلاپی بوت شدند. هنگامی که درایوهای سخت داخلی متداول شد ، سیستم عامل معمولاً از روی آنها شروع به کار می کرد ، اما در صورت امکان امکان استفاده از دستگاه بوت دیگر نیز وجود دارد ، مانند فلاپی دیسک ، CD-ROM ، DVD-ROM ، فلش درایو USB یا شبکه. . پیکربندی رایانه برای بوت شدن در یکی از این دستگاه ها در صورت وجود رایج بود. به طور معمول هیچ یک در دسترس نخواهد بود. کاربر قصد دارد مثلاً سی دی را در درایو نوری وارد کند تا کامپیوتر را به روشی خاص بوت کند ، مثلاً برای نصب یک سیستم عامل. حتی بدون بوت شدن ، کامپیوترها می توانند پیکربندی شوند که به محض دسترسی ، برخی از نرمافزارها را در برخی رسانه ها اجرا کنند. برای وارد کردن یک CD یا دستگاه USB هنگام وارد کردن.
توزیع کنندگان بدافزار کاربر را به بوت شدن یا در حال اجرا از یک وسیله آلوده یا رسانه فریب می دهند. به عنوان مثال ، ویروس می تواند یک کامپیوتر آلوده را به هر نوع USB که به آن وصل شده است ، کد معتبر قابل اعتماد اضافه کند. هر کس که آنگاه چوب را از طریق USB به رایانه دیگری وصل کند که به وسیله آن از USB استفاده کند ، به نوبه خود آلوده می شود و به همان روش عفونت را منتقل می کند. بطور کلی ، هر دستگاهی که به درگاه USB متصل شود - حتی چراغ ها ، فن ها ، بلندگوها ، اسباب بازی ها یا لوازم جانبی مانند میکروسکوپ دیجیتال - می تواند برای پخش بدافزارها استفاده شود. در صورت عدم کفایت کنترل کیفیت ، دستگاه ها می توانند در حین تولید یا عرضه آلوده شوند.
با راه اندازی رایانه به طور پیش فرض برای بوت شدن از هارد دیسک داخلی ، در صورت وجود ، می توان از این شکل از آلودگی تا حد زیادی جلوگیری کرد ، و نه اینکه از دستگاه ها استفاده نکنید. بوت شدن عمدی از دستگاه دیگر همیشه با فشار دادن کلیدهای خاص در هنگام بوت امکان پذیر است.
نرمافزار ایمیل قدیمی تر به طور خودکار ایمیل HTML را که حاوی کد JavaScript بالقوه مخرب است ، باز می کند. همچنین ممکن است کاربران پیوست های ایمیل مخرب را پیاده سازی کنند. گزارش بررسی های مربوط به نقض اطلاعات در سال 2018 توسط Verizon ، استناد شده توسط CSO Online ، بیان می کند که ایمیل ها روش اصلی تحویل بدافزارها هستند که 92 درصد از ارائه بدافزارها را در سرتاسر جهان تشکیل می دهند.
کاربران دارای امتیاز بیش از حد و کد فوق العاده ممتاز[ویرایش]
در محاسبه ، امتیاز به میزان مجاز بودن یک کاربر یا برنامه برای تغییر یک سیستم اشاره دارد. در سیستم های رایانه ای ضعیف طراحی شده ، هم به کاربران و هم در برنامه ها می توان امتیاز بیشتری از آنچه باید داشته باشد ، بدست آورد و بدافزارها می توانند از این مزیت استفاده کنند. دو راهی که بدافزارها این کار را انجام می دهند از طریق کاربران مضراب و کدی غیرقابل دسترسی است.
برخی از سیستم ها به همه کاربران امکان می دهند ساختار داخلی خود را تغییر دهند ، و چنین کاربرانی امروزه برای کاربران ممتاز در نظر گرفته می شوند. این روش عملیاتی استاندارد برای سیستم های میکرو کامپیوتر اولیه و رایانه های خانگی بود ، جایی که هیچ تمایزی بین مدیر یا ریشه و یک کاربر معمولی سیستم وجود نداشت. در برخی سیستم ها ، کاربران غیر سرپرست از طراحی بیش از حد امتیاز می گیرند ، به این معنی که مجاز به تغییر ساختار داخلی سیستم هستند. در برخی از محیط ها ، کاربران بیش از حد ممتاز هستند زیرا به آنها مدیر یا وضعیت معادل نامناسب اعطا شده است.
برخی سیستم ها به کدی که توسط کاربر اجرا شده است اجازه می دهند به کلیه حقوق آن کاربر دسترسی پیدا کند ، که به عنوان کد فوق العاده ممتاز شناخته می شود. این یک روش عملیاتی استاندارد برای سیستم های میکرو رایانه و رایانه های خانگی اولیه بود. بدافزارها ، به عنوان یک کد بیش از حد ممتاز ، می توانند از این امتیاز برای واژگون کردن سیستم استفاده کنند. تقریباً همه سیستم عاملهای رایج در حال حاضر و همچنین بسیاری از برنامه های اسکریپتی اجازه می دهند امتیازات زیادی را به کد وارد کنند ، معمولاً به این معنا که وقتی کاربر کد را اجرا می کند ، سیستم به کلیه حقوق آن کاربر اجازه می دهد تا آن را کدگذاری کند. این امر باعث می شود تا کاربران در برابر بدافزارها به صورت پیوست های ایمیل آسیب پذیر شوند ، که ممکن است پنهان شده یا نباشد.
استفاده از همان سیستم عامل[ویرایش]
یکنواختی می تواند آسیب پذیری باشد. به عنوان مثال ، هنگامی که همه رایانه های یک شبکه همان سیستم عامل را اجرا می کنند ، پس از بهره برداری از یک ، یک کرم می تواند از همه آنها سوءاستفاده کند: به ویژه ، ویندوز مایکروسافت یا Mac OS X سهم بزرگی از بازار را دارند که آسیب پذیری سوءاستفاده ای روی آن تمرکز می کند. سیستم عامل می تواند تعداد زیادی سیستم را برانداز کند. معرفی تنوع صرفاً به دلیل استحکام ، مانند اضافه کردن رایانه های لینوکس ، می تواند هزینه های کوتاه مدت برای آموزش و نگهداری را افزایش دهد. اما ، تا زمانی که همه گره ها بخشی از همان سرویس دایرکتوری برای تأیید هویت نباشند ، داشتن چند گره متنوع می تواند باعث خاموش شدن کامل شبکه شود و به آن گره ها اجازه دهد تا در ترمیم گره های آلوده کمک کنند. چنین افزونگی و عملکردی جداگانه می تواند از هزینه خاموشی کل ، با هزینه افزایش پیچیدگی و کاهش قابلیت استفاده از نظر تأیید هویت ورود به سیستم جلوگیری کند.
استراتژی های ضد بدافزار[ویرایش]
با افزایش حملات بدافزارها ، توجه به ویروس ها و محافظت از نرمافزارهای جاسوسی ، محافظت از بدافزارها و برنامه هایی که بطور ویژه برای مبارزه با بدافزار تهیه شدهاند ، آغاز شده است. (سایر اقدامات پیشگیری و بازیابی ، مانند روش های تهیه پشتیبان و بازیابی ، در مقاله ویروس رایانه ذکر شده است).
نرمافزار ضد ویروس و ضد بدافزار[ویرایش]
یک جزء خاص از نرمافزارهای ضد ویروس و ضد بدافزار ، که معمولاً به عنوان یک اسکنر روی دسترسی یا در زمان واقعی از آن یاد می شود ، به هسته یا هسته سیستم عامل می رود و به شکلی شبیه به نحوه تلاش برخی از بدافزارها کار می کند. اگرچه با اجازه آگاهانه کاربر برای محافظت از سیستم ، کار کنید. هر وقت سیستم عامل به یک فایل دسترسی پیدا می کند ، اسکنر روی دسترسی بررسی می کند که آیا این پرونده "قانونی" است یا خیر. اگر پرونده توسط اسکنر به عنوان بدافزار مشخص شود ، عملیات دسترسی متوقف می شود ، پرونده توسط یک اسکنر به روشی از پیش تعریف شده (نحوه پیکربندی برنامه ضد ویروس در هنگام نصب / ارسال) بررسی می شود. کاربر به شما اطلاع داده خواهد شد. این ممکن است تأثیر عملکرد قابل توجهی در سیستم عامل داشته باشد ، اگرچه میزان تأثیر آن به میزان برنامه ریزی اسکنر بستگی دارد. هدف متوقف کردن عملیاتی است که ممکن است بدافزارها قبل از وقوع کار روی سیستم تلاش کنند ، از جمله فعالیتهایی که ممکن است از اشکالات سوءاستفاده کنند یا باعث رفتار غیر منتظره سیستم عامل شوند.
برنامه های ضد بدافزار می توانند از دو طریق با بدافزارها مبارزه کنند:
- آنها می توانند در صورت نصب نرمافزارهای مخرب بر روی رایانه ، محافظت در زمان واقعی داشته باشند. این نوع محافظت از بدافزارها به همان شیوه محافظت از آنتی ویروس عمل می کند به این دلیل که نرمافزار ضد بدافزار همه داده های شبکه ورودی را برای بدافزار اسکن می کند و هرگونه تهدیدی را که با آن روبرو شوید ، مسدود می کند.
- برنامه های نرمافزاری ضد بدافزار فقط می توانند برای شناسایی و حذف نرمافزارهای مخرب که قبلاً روی رایانه نصب شدهاند ، مورد استفاده قرار گیرند. این نوع نرمافزار ضد بدافزار ، محتویات رجیستری ویندوز ، پرونده های سیستم عامل و برنامه های نصب شده را بر روی رایانه اسکن می کند و لیستی از تهدیدهای موجود را فراهم می کند ، به کاربر این امکان را می دهد تا انتخاب کند که کدام فایل ها را حذف یا نگه دارد یا مقایسه کند. این لیست به لیستی از مؤلفه های بدافزار شناخته شده با حذف پرونده هایی که مطابقت دارند ، می دهد.
محافظت در زمان واقعی از بدافزار بطور یکسان با محافظت از آنتی ویروس در زمان واقعی کار می کند: این نرمافزار در زمان بارگیری ، پرونده های دیسک را اسکن می کند و فعالیت مؤلفه هایی را که به عنوان بدافزار شناخته می شوند مسدود می کند. در بعضی موارد ، ممکن است تلاشهایی برای نصب موارد راه اندازی یا اصلاح تنظیمات مرورگر نیز متوقف شود. از آنجا که بسیاری از مؤلفه های بدافزار در نتیجه سوء استفاده از مرورگر یا خطای کاربر نصب شدهاند ، با استفاده از نرمافزارهای امنیتی (برخی از آنها ضد بدافزار هستند ، گرچه بسیاری از آنها نیستند) به مرورگرهای "sandbox" (در واقع مرورگر را از رایانه جدا می کنند و از این رو هرگونه بدافزار تغییر ناشی از) همچنین می تواند در کمک به محدود کردن هر گونه آسیب آسیب دیده مؤثر باشد.
نمونه هایی از آنتی ویروس و ضد ویروس مایکروسافت ویندوز مایکروسافت شامل موارد ضروری مایکروسافت امنیتی (برای ویندوز XP ، ویستا و ویندوز 7) برای محافظت در زمان واقعی است ، ابزار حذف نرمافزار مخرب ویندوز (اکنون با همراه Windows (Security) به روز شده است " Patch Tuesday "، دوشنبه سه شنبه هر ماه) و ویندوز دفندر (بارگیری اختیاری در مورد ویندوز XP ، شامل عملکرد MSE در مورد ویندوز 8 و بعد). علاوه بر این ، چندین نرمافزار ضد ویروس قادر به صورت رایگان از اینترنت بارگیری می شود (معمولاً محدود به استفاده غیر تجاری). تست ها برخی از برنامه های رایگان را با برنامه های تجاری رقابت می کند. برای بررسی و تعمیر فایل های سیستم خراب شده می توان از Checker File System Microsoft استفاده کرد.
برخی ویروس ها بازیابی سیستم و سایر ابزارهای مهم Windows مانند Task Manager و Command Prompt را غیرفعال می کنند. بسیاری از این ویروس ها با راه اندازی مجدد رایانه ، ورود به حالت ایمن ویندوز با شبکه سازی ، و سپس با استفاده از ابزارهای سیستم یا Microsoft Security Scanner قابل حذف هستند.
ایمپلنت های سخت افزاری می توانند از هر نوع باشند ، بنابراین هیچ روش کلی برای تشخیص آنها وجود ندارد.
اسکن امنیتی وب سایت[ویرایش]
از آنجا که بدافزارها به وب سایت های به خطر افتاده (با شکستن شهرت ، لیست سیاه در موتورهای جستجو و غیره) آسیب می رساند ، برخی وب سایت ها اسکن آسیب پذیری را ارائه می دهند. این اسکن ها وب سایت را بررسی می کنند ، بدافزار را ردیابی می کنند ، ممکن است به نرمافزار منسوخ شده توجه داشته باشند و مشکلات امنیتی شناخته شده را گزارش می کنند.
جداسازی "شکاف هوا" یا "شبکه موازی[ویرایش]
بعنوان آخرین راه حل ، می توان کامپیوترها را از بدافزار محافظت کرد ، و کامپیوترهای آلوده می توانند با تحمیل "شکاف هوا" (یعنی قطع کامل آنها از همه شبکه های دیگر) از انتشار اطلاعات قابل اعتماد جلوگیری کنند. با این حال ، بدافزارها هنوز هم در برخی شرایط می توانند از شکاف هوا عبور کنند. به عنوان مثال ، رسانه های قابل جابجایی می توانند بدافزارها را با مشکل مواجه کنند.
"AirHopper" ، "BitWhisper" ، "GSMem" و "Fansmitter" چهار تکنیکی هستند که توسط محققان معرفی شده اند و می توانند با استفاده از انتشار الکترومغناطیسی ، حرارتی و صوتی ، داده ها را از رایانه های خالی شده در هوا نشت کنند.
خاکستری[ویرایش]
Grayware اصطلاحی است که برای برنامه های ناخواسته یا پرونده هایی اعمال می شود که به عنوان بدافزار طبقه بندی نشده اند ، اما می تواند عملکرد رایانه ها را بدتر کند و ممکن است خطرات امنیتی ایجاد کند.
این برنامه هایی را توصیف می کند که به صورت آزاردهنده یا نامطلوب رفتار می کنند و در عین حال از بدافزارها جدی یا مشکل آفرین هستند. نرمافزارهای خاکستری شامل نرمافزارهای جاسوسی ، نرمافزارهای تبلیغاتی مزاحم ، شماره گیران تقلب ، برنامه های شوخی ، ابزار دسترسی از راه دور و سایر برنامه های ناخواسته است که ممکن است به عملکرد رایانه ها آسیب برساند یا باعث ناراحتی شود. این اصطلاح در حدود سال 2004 مورد استفاده قرار گرفت.
اصطلاح دیگر ، برنامه بالقوه ناخواسته (PUP) یا برنامه بالقوه ناخواسته (PUA) ، به برنامه هایی اطلاق می شود که علیرغم بارها بارگیری توسط کاربر ، احتمالاً پس از عدم خواندن توافقنامه بارگیری ، ناخواسته تلقی می شوند. PUP ها شامل نرمافزارهای جاسوسی ، تبلیغاتی مزاحم و شماره گیران تقلب هستند. بسیاری از محصولات امنیتی ژنراتورهای کلیدی غیرمجاز را به عنوان نرمافزارهای خاکستری طبقه بندی می کنند ، اگرچه آنها علاوه بر هدف ظاهری خود ، بدافزارهای واقعی را حمل می کنند.
سازنده نرمافزار Malwarebytes معیارهای مختلفی را برای طبقه بندی یک برنامه به عنوان PUP ذکر کرده است. برخی از انواع نرمافزارهای تبلیغاتی مزاحم (با استفاده از گواهینامه های سرقت شده) ضد ویروس و محافظت از ویروس را خاموش می کنند. روشهای درمانی موجود است
تاریخچه ویروس ها و کرم ها[ویرایش]
قبل از گسترده شدن دسترسی به اینترنت ، ویروس ها با آلوده کردن برنامه های اجرایی یا بخش های بوت دیسک های فلاپی در رایانه های شخصی پخش می شوند. با وارد کردن یک کپی از خود در دستورالعمل های کد دستگاه در این برنامه ها یا بخش های بوت ، یک ویروس باعث می شود که هر زمان برنامه اجرا شود یا دیسک بوت شود ، خودش را اجرا می کند. ویروس های رایانه ای اولیه برای Apple II و Macintosh نوشته شده بودند ، اما با تسلط بر سیستم IBM PC و MS-DOS ، آنها گسترده تر شدند. اولین ویروس IBM PC در "وحشی" ویروس بخش boot لقب (c) مغز است که در سال 1986 توسط برادران فاروک الوی در پاکستان ایجاد شد. ویروس های آلوده به اجرایی وابسته به کاربران هستند که نرمافزار را تبادل می کنند یا فلاپی ها و درایوهای انگشت شست بوت را قادر می سازند ، بنابراین به سرعت در محافل سرگرمی رایانه پخش می شوند.
اولین کرم ها ، برنامه های عفونی ناشی از شبکه ، نه در رایانه های شخصی بلکه در سیستم های چند وظیفه یونیکس سرچشمه گرفته است. اولین کرم مشهور Worm Internet of 1988 بود که سیستم های SunOS و VAX BSD را آلوده کرد. این کرم برخلاف ویروس ، خود را وارد برنامه های دیگر نمی کرد. در عوض ، از سوراخ های امنیتی (آسیب پذیری) در برنامه های سرور شبکه بهره برداری کرد و خود را به عنوان یک فرایند جداگانه شروع به کار کرد. همین رفتار توسط کرمهای امروزی نیز انجام می شود.
با ظهور پلت فرم مایکروسافت ویندوز در دهه 1990 و ماکروهای قابل انعطاف برنامه های آن ، نوشتن کد های عفونی به زبان کلان مایکروسافت ورد و برنامه های مشابه امکان پذیر شد. این ویروسهای کلان به جای برنامه های کاربردی (اجرایی) اسناد و قالبها را آلوده می کنند ، اما به این واقعیت تکیه دارند که ماکروها در یک سند Word نوعی کد اجرایی هستند.
تحقیقات دانشگاهی[ویرایش]
مفهوم برنامه کامپیوتری خود تولید مثل می تواند به تئوری های اولیه در مورد عملکرد خودکارهای پیچیده ردیابی شود. جان فون نویمان نشان داد که در تئوری یک برنامه می تواند خودش را بازتولید کند. این نتیجه قابل قبول در نظریه محاسبه را تشکیل می دهد. فرد کوهن با ویروس های رایانه ای آزمایش کرد و فرضیه نویمان را تأیید کرد و در مورد دیگر خصوصیات بدافزارها نظیر قابلیت تشخیص و خودآرایی با استفاده از رمزگذاری احتیاطی ، تحقیق کرد. رساله دکتری وی در سال 1987 در زمینه ویروس های رایانه ای بود. ترکیبی از فناوری رمزنگاری به عنوان بخشی از بار ویروس ، بهره برداری از آن برای اهداف حمله ، از اواسط دهه 1990 آغاز و مورد بررسی قرار گرفت ، و شامل باج افزار اولیه و ایده های فرار است.
جستارهای وابسته[ویرایش]
منابع[ویرایش]
- ↑ «بدافزار» [رایانه و فناوری اطلاعات] همارزِ «malware, malicious ware»؛ منبع: گروه واژهگزینی. جواد میرشکاری، ویراستار. دفتر چهارم. فرهنگ واژههای مصوب فرهنگستان. تهران: انتشارات فرهنگستان زبان و ادب فارسی. شابک ۹۶۴-۷۵۳۱-۵۹-۱ (ذیل سرواژهٔ بدافزار)
- ↑ "Defining Malware: FAQ". technet.microsoft.com. Retrieved 10 September 2009.
- ↑ "An Undirected Attack Against Critical Infrastructure" (PDF). United States Computer Emergency Readiness Team(Us-cert.gov). Retrieved 28 September 2014.
- ↑ Klein, Tobias (2011-10-11). A Bug Hunter's Diary: A Guided Tour Through the Wilds of Software Security. No Starch Press. ISBN 978-1-59327-415-3.
- ↑ http://en.wikipedia.org/w/index.php?title=Malware&oldid=457186818
- ↑ Spyware
- بدافزار - راهکارهای امن ویرا - 2018-2019 - آنالیز رفتار بدافزارها در شبکه و راهکارهای جلوگیری از آن
- ویروسها و بدافزارهای کامپیوتری. دکتر بابک بشری راد، دکترآرش حبیبی لشکری. انتشارات ناقوس. ۱۳۹۱.