خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

چه چیزی یافتن برخی بدافزارها را سخت تر از سایرین می کند؟

ارشیا یوسفی ادیب ۱۰ تیر, ۱۴۰۲ 6 min read

همه بدافزارها مخرب هستند، اما در حالی که برخی از برنامه های شرور به راحتی قابل شناسایی هستند، برخی دیگر می توانند حتی از اشکال پیشرفته محافظت اجتناب کنند.

در دنیای بیش از حد متصل ما، بدافزار اغلب سلاح انتخابی مجرمان سایبری است.

این نرم افزار مخرب اشکال مختلفی دارد که هر کدام سطح تهدید امنیتی خاص خود را دارند. هکرها از این ابزارهای مخرب برای رهگیری دستگاه ها، نفوذ به داده ها، ایجاد خرابی مالی و حتی کل شرکت ها استفاده می کنند.

بدافزار نرم‌افزاری بدافزار است که باید در اسرع وقت از بین ببرید، اما برخی بدافزارها بهتر از بقیه پنهان می‌شوند. اینکه چرا چنین است، ارتباط زیادی با نوع برنامه ای دارد که می خواهید پیدا کنید.

1. روت کیت ها

یک تصویر تصویری روت کیت

روت‌کیت‌ها برنامه‌های مخربی هستند که برای نفوذ به یک سیستم هدف‌گذاری شده و به‌طور مخفیانه کنترل غیرمجاز را به دست می‌آورند، همگی در حالی که از شناسایی فرار می‌کنند.

آنها به طور مخفیانه به درونی ترین لایه های یک سیستم عامل، مانند بخش هسته یا بوت می خزند. آن‌ها می‌توانند تماس‌های سیستمی، فایل‌ها، فرآیندها، درایورها و سایر مؤلفه‌ها را تغییر داده یا رهگیری کنند تا از شناسایی و حذف توسط نرم‌افزار آنتی ویروس جلوگیری کنند. آن‌ها همچنین می‌توانند از درهای مخفی وارد شوند، داده‌های شما را بدزدند یا تعداد بیشتری از خود را روی رایانه‌تان بگذارند.

کرم بدنام استاکس نت، یکی از بدنام ترین حملات بدافزار تمام دوران، نمونه بارز قابلیت های مخفیانه روت کیت است. برنامه هسته ای ایران در اواخر دهه 2000 به دلیل این بدافزار پیچیده که به طور خاص به تاسیسات غنی سازی اورانیوم این کشور حمله می کرد، با اختلال شدید مواجه شد. جزء روت کیت استاکس نت در عملیات مخفیانه آن مؤثر بود و به کرم اجازه می داد بدون ایجاد هیچ گونه هشداری به سیستم های کنترل صنعتی نفوذ کند.

شناسایی روت کیت ها به دلیل ماهیت گریزان آنها چالش های منحصر به فردی را ایجاد می کند. همانطور که قبلاً گفته شد، برخی از روت‌کیت‌ها می‌توانند نرم‌افزار آنتی‌ویروس شما را غیرفعال یا دستکاری کنند و آن را ناکارآمد کنند و یا حتی آن را علیه شما تبدیل کنند. برخی از روت کیت ها می توانند از راه اندازی مجدد سیستم یا فرمت هارد دیسک با آلوده کردن بخش بوت یا بایوس جان سالم به در ببرند.

مطلب مرتبط:   NordVPN اکنون محافظت از آنتی ویروس را ارائه می دهد و در اینجا نحوه دریافت آن آورده شده است

همیشه جدیدترین به‌روزرسانی‌های امنیتی را برای سیستم و نرم‌افزار خود نصب کنید تا سیستم خود را از روت‌کیت‌هایی که از آسیب‌پذیری‌های شناخته شده سوءاستفاده می‌کنند در امان نگه دارید. علاوه بر این، از باز کردن پیوست‌ها یا پیوندهای مشکوک از منابع ناشناس خودداری کنید و از فایروال و VPN برای ایمن کردن اتصال شبکه خود استفاده کنید.

2. چند شکلی

بدافزار چند شکلی

بدافزار چند شکلی نوعی نرم‌افزار مخرب است که می‌تواند ساختار کد خود را به گونه‌ای تغییر دهد که در هر نسخه متفاوت به نظر برسد، در حالی که هدف مضر خود را حفظ می‌کند.

بدافزار چند شکلی با تغییر کد خود یا استفاده از رمزگذاری سعی می کند از اقدامات امنیتی فرار کند و تا زمانی که می تواند پنهان بماند.

مقابله با بدافزار چند شکلی برای متخصصان امنیتی سخت است زیرا دائماً کد خود را تغییر می دهد و نسخه های منحصر به فرد بی شماری ایجاد می کند. هر نسخه ساختار متفاوتی دارد، که باعث می‌شود روش‌های تشخیص سنتی به سختی از آن استفاده کنند. این باعث سردرگمی نرم افزار آنتی ویروس می شود که برای شناسایی دقیق اشکال جدید بدافزار نیاز به به روز رسانی منظم دارد.

بدافزار چند شکلی نیز با الگوریتم های پیچیده ای ساخته شده است که تغییرات کد جدیدی را تولید می کند. این الگوریتم ها به منابع محاسباتی و قدرت پردازش قابل توجهی برای تجزیه و تحلیل و تشخیص الگوها نیاز دارند. این پیچیدگی لایه دیگری از دشواری را در شناسایی موثر بدافزار چند شکلی اضافه می کند.

مانند سایر انواع بدافزارها، برخی از اقدامات اساسی برای جلوگیری از آلودگی شامل استفاده از نرم‌افزار آنتی ویروس معتبر و به‌روز نگه‌داشتن آن، پرهیز از باز کردن پیوست‌ها یا پیوندهای مشکوک از منابع ناشناس و پشتیبان‌گیری منظم از فایل‌های خود برای کمک به بازیابی سیستم و بازیابی اطلاعات شما در صورت لزوم است. از عفونت

3. بدافزار بدون فایل

یک بدافزار بدون فایل

بدافزار بدون فایل بدون پشت سر گذاشتن فایل‌های سنتی یا فایل‌های اجرایی عمل می‌کند و تشخیص مبتنی بر امضا را کمتر مؤثر می‌کند. بدون الگوها یا امضاهای قابل شناسایی، راه حل های آنتی ویروس سنتی برای شناسایی این نوع بدافزار تلاش می کنند.

مطلب مرتبط:   چرا نباید از رمز عبور یکسان در همه جا آنلاین استفاده کنید؟

بدافزار بدون فایل از ابزارها و فرآیندهای موجود سیستم برای انجام فعالیت های خود استفاده می کند. این مولفه‌های قانونی مانند PowerShell یا WMI (دستگاه ابزار مدیریت ویندوز) را برای راه‌اندازی بار خود و فرار از سوء ظن در محدوده عملیات مجاز به کار می‌گیرد.

و از آنجایی که در حافظه سیستم و روی دیسک باقی می ماند و هیچ ردی از خود باقی نمی گذارد، شناسایی و تجزیه و تحلیل قانونی وجود بدافزار بدون فایل پس از راه اندازی مجدد یا خاموش شدن سیستم چالش برانگیز است.

برخی از نمونه‌های حملات بدافزار بدون فایل عبارتند از Code Red Worm که در سال 2001 از یک آسیب‌پذیری در سرور IIS مایکروسافت سوء استفاده کرد و USB Thief که روی دستگاه‌های USB آلوده قرار دارد و اطلاعات سیستم مورد نظر را جمع‌آوری می‌کند.

برای محافظت از خود در برابر بدافزارهای بدون فایل، هنگام استفاده از نرم‌افزارهای قابل حمل یا دستگاه‌های USB از منابع ناشناخته باید مراقب باشید و به سایر نکات ایمنی که قبلاً به آنها اشاره کردیم، پایبند باشید.

4. رمزگذاری

قفل و کلید رمزگذاری را نشان می دهد

یکی از راه های ایمن سازی داده ها در برابر قرار گرفتن در معرض یا تداخل ناخواسته، استفاده از رمزگذاری است. با این حال، عوامل مخرب همچنین می توانند از رمزگذاری برای فرار از تشخیص و تجزیه و تحلیل استفاده کنند.

بدافزار می‌تواند با استفاده از رمزگذاری به دو روش از شناسایی فرار کند: رمزگذاری بار بدافزار و ترافیک بدافزار.

رمزگذاری محموله بدافزار به این معنی است که کد بدافزار قبل از تحویل به سیستم هدف رمزگذاری شده است. این می تواند مانع از اسکن نرم افزار آنتی ویروس و شناسایی آن به عنوان مخرب شود.

از سوی دیگر، رمزگذاری ترافیک بدافزار به این معنی است که بدافزار از رمزگذاری برای برقراری ارتباط با سرور فرمان و کنترل (C&C) یا سایر دستگاه‌های آلوده استفاده می‌کند. این می تواند از نظارت و مسدود کردن ترافیک و شناسایی منبع و مقصد آن توسط ابزارهای امنیتی شبکه جلوگیری کند.

مطلب مرتبط:   اطلاعات 37 میلیون مشتری در معرض نقض گسترده T-Mobile قرار گرفت

خوشبختانه، ابزارهای امنیتی هنوز هم می توانند از روش های مختلفی برای یافتن و متوقف کردن بدافزار رمزگذاری شده استفاده کنند، مانند تجزیه و تحلیل رفتاری، تجزیه و تحلیل اکتشافی، تجزیه و تحلیل امضا، جعبه شنی، تشخیص ناهنجاری شبکه، ابزارهای رمزگشایی یا مهندسی معکوس.

5. تهدیدات پایدار پیشرفته

تصویری از حمله بدافزار موبایل

حملات تهدید دائمی پیشرفته اغلب از ترکیبی از مهندسی اجتماعی، نفوذ شبکه، سوء استفاده‌های روز صفر و بدافزارهای سفارشی برای نفوذ و عملکرد مداوم در یک محیط هدف استفاده می‌کنند.

در حالی که بدافزار می تواند جزء یک حمله APT باشد، تنها مشخصه تعیین کننده نیست. APT ها کمپین های جامعی هستند که چندین بردار حمله را شامل می شوند و ممکن است شامل انواع مختلفی از بدافزارها و سایر تاکتیک ها و تکنیک ها باشند.

مهاجمان APT انگیزه بالایی دارند و مصمم به حفظ حضور طولانی مدت در یک شبکه یا سیستم هدف هستند. آنها مکانیسم‌های پایداری پیچیده‌ای مانند درهای پشتی، روت‌کیت‌ها و زیرساخت‌های فرمان و کنترل مخفی را برای اطمینان از دسترسی مداوم و اجتناب از شناسایی به کار می‌گیرند.

این مهاجمان همچنین صبور و محتاط هستند و با دقت عملیات خود را در یک دوره طولانی برنامه ریزی و اجرا می کنند. آنها اقدامات را آهسته و مخفیانه انجام می دهند و تاثیر آن بر سیستم هدف را به حداقل می رساند و احتمال شناسایی شدن را کاهش می دهد.

حملات APT ممکن است شامل تهدیدات داخلی باشد، جایی که مهاجمان از امتیازات دسترسی قانونی سوء استفاده می کنند یا خودی ها را برای دسترسی غیرمجاز به خطر می اندازند. این امر تمایز بین فعالیت عادی کاربر و اقدامات مخرب را به چالش می کشد.

محافظت شده و از نرم افزار ضد بدافزار استفاده کنید

این اسرار را مخفی نگه دارید یک قدم جلوتر از مجرمان سایبری باشید و از بدافزارها قبل از تبدیل شدن به یک مشکل جلوگیری کنید که باید به دنبال آن باشید و آن را پاک کنید.

و این قانون طلایی را به خاطر بسپارید: وقتی چیزی شگفت انگیز به نظر می رسد، احتمالاً کلاهبرداری است! این فقط طعمه ای است که شما را به مشکل بکشاند.

Tags: