بخش بیست و چهارم

آموزش رایگان سکیوریتی پلاس؛ آشنایی با انواع مختلفی ویروس‌های کامپیوتری

22/10/1400 - 12:15

آموزش رایگان سکیوریتی پلاس؛ آشنایی با انواع مختلفی ویروس‌های کامپیوتری

یکی از نکات مهمی که به عنوان یک کارشناس امنیتی باید به آن دقت کنید ویروس‌ها هستند. ویروس‌های تعریفی متفاوت از بدافزارها، باج‌افزارها و.... دارند و خود به گروه‌های مختلفی تقسیم می‌شوند. آشنایی با عملکرد و نوع آن‌ها نه تنها به شما در انجام فعالیت‌های حرفه‌ای کمک می‌کنند، بلکه اجازه می‌دهند به شکل ساده‌تری به سوالات آزمون سکیوریتی‌پلاس پاسخ دهید.

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

پاک کردن دستگاه از راه دور

اطمینان حاصل کنید کارمندان به‌خوبی ارزش این موضوع را درک کرده‌اند که هر زمان دستگاه‌های سیار یا دستگاه آن‌ها به سرقت رفت به سرعت این موضوع را به افراد مربوطه گزارش دهند یا در صورت لزوم از رویکرد پاک کردن از راه دور اطلاعات در کوتاه‌ترین زمان استفاده کنند. پاک کردن یک دستگاه از راه دور به این صورت است که سیگنالی از طریق سرور به دستگاه ارسال می‌شود تا تمام داده‌ها و پیکربندی‌های آن پاک شود. رویکرد فوق تضمین می‌کند که یک دستگاه تلفن همراه گم شده یا دزدیده شده اطلاعات حساسی ندارد.

مکانیزم‌های امنیتی توکار

مهم است که روی تجهیزات سیار تدابیر امنیتی اعمال کنید تا در صورت دزدیده شدن یا گم شدن هر فرد غیر مجازی به راحتی قادر به استفاده از آن نباشد.

اکثر دستگاه‌ها از مکانیزم تنظیم رمز عبور یا پین‌‌کد پشتیبانی می‌کنند تا اگر شخصی دستگاه را سرقت کرد، برای استفاده از آن به کد دسترسی نیاز داشته باشد. اکثر دستگاه‌های سیار مثل آی‌فون و اندروید از قفل کردن دستگاه پس از مدت معینی عدم استفاده (معروف به قفل خودکار) پشتیبانی می‌کنند. این ویژگی قفل به این معنی است که اگر دستگاه گم یا دزدیده شود، شخصی که دستگاه را پیدا کرده یا دزدیده است برای دسترسی به آن باید کد باز کردن قفل را بداند. همچنین این شانس را دارید تا ویژگی ردیابی دستگاه را فعال کنید تا در صورت گم شدن یا دزدیده شدن دستگاه بتوانید مکان آن‌را پیدا کنید.

وقتی صحبت از لپ‌تاپ می‌شود، حتماً یک رمز عبور قدرتمند برای بایوس تنظیم کنید و همچنین ترتیب راه‌اندازی لپ‌تاپ را تغییر دهید تا در صورت سرقت دستگاه، کسی نتواند از CD-ROM دستگاه را بوت و سیستم‌عامل خود را نصب کند. مطمئن شوید که رمز عبور مدیریت بایوس را طوری تنظیم کرده‌اید که هیچ فردی قادر نباشد به بایوس وارد شده یا تغییراتی در مکانیزم راه‌اندازی اعمال کند.

اگر نمی‌توانید رمز بوت را در BIOS تنظیم کنید، رمزگذاری کامل درایو را با ابزاری مانند BitLocker انجام دهید که یک ویژگی رمزگذاری درایو است که در سیستم‌های ویندوز تعبیه شده است و نه تنها محتویات درایو را رمزگذاری می‌کند، بلکه رمز بوت را نیز شامل می‌شود.

رمزگذاری داده‌ها

ما در مقالات آتی اطلاعات بیشتری در ارتباط با رمزگذاری در اختیارتان قرار می‌دهیم، اما توجه به این نکته مهم است که یک گام بزرگ برای محافظت از داده‌های محرمانه در لپ‌تاپ یا دستگاه تلفن همراه، رمزگذاری آن داده‌ها است تا در صورت گم شدن یا دزدیده شدن دستگاه سارقان به اطلاعات ارزشمند دست پیدا نکنند. اگر داده‌ها رمزگذاری شده باشند، امنیت داده‌های شرکت تضمین می‌شود و مطمئن خواهید بود حتا اگر دستگاه گم شده یا به سرقت برود، مشکل خاصی برای شما به وجود نمی‌آید. یک مثال خوب از فناوری که می‌تواند برای رمزگذاری کل دیسک استفاده شود، BitLocker است.

هنگام برنامه‌ریزی برای تامین امنیت دستگاه‌های سیار همیشه فرض کنید که دستگاه به دست یک شخص غیرقابل اعتماد می‌افتد. بنابراین، باید اطمینان حاصل کنید که از ویژگی‌هایی مانند قفل خودکار و رمزگذاری داده‌ها در دستگاه برای حفظ محرمانه بودن داده‌های آن استفاده می‌کنید.

خطای انسانی

یکی دیگر از تهدیدات امنیتی فیزیکی مهم پیرامون سیستم‌ها که باید از آن آگاه باشید خطای انسانی است. به عنوان مثال، کارمندی که سعی می‌کند یک سیستم را ارتقا دهد، شاید حافظه جانبی به دستگاه متصل کند یا هارد دیسک را جایگزین کند یا باعث خرابی مادربرد سیستم از طریق تخلیه الکترواستاتیک (ESD) انجام دهد. ESD به القای الکتریسیته تجمیع شده ساکن از طریق لمس وسیله‌ای مثل یک قطعه کامپیوتری اشاره دارد. این انتقال الکتریسیته ساکن برای آسیب جدی به مولفه‌های کامپیوتر وارد می‌کند.

برای جلوگیری از بروز چنین مشکلاتی، تیم پشتیبانی فناوری اطلاعات باید در مورد ESD و استفاده از مچ‌بند ضد الکتریسیته ساکن به افراد آموزش دهند تا همیشه قبل از سرویس سیستم‌ها بار الکتریکی بدن خود را به زمین انتقال دهند.

خرابکاری (Sabotage)

یکی دیگر از تهدیدهای رایج علیه سیستم‌ها خرابکاری است که معمولاً اما نه همیشه عاملش یک کارمند ناراضی است. برای آن‌که مشکل فوق به یک چالش جدی تبدیل نشود، باید دارایی‌های شرکت که در برابر خرابکاری آسیب‌پذیر هستند را شناسایی کنید. در طول دوره‌های آموزشی که تاکنون برگزار کرده‌ام، بارها و بارها به علاقه‌مندان درباره حوادثی که ممکن است باعث از دست رفتن یک پایگاه داده شوند و دلیل آن یک کارمند ناراضی است هشدار داده‌ام.

شما باید سیستم‌هایی را که مستعد خرابکاری هستند شناسایی کنید و مطمئن شوید که یک برنامه بازیابی برای آن سیستم‌ها در نظر گرفته‌اید. طرح بازیابی شامل مراحل گام به گام برای بازیابی سیستم است و تضمین می‌کند در صورت خرابی سیستم‌ها، قطعات یدکی کافی برای برطرف کردن مشکل وجود دارد.

نگاهی به نرم‌افزارهای مخرب

اکنون که برخی از تهدیدات فیزیکی رایج علیه سیستم‌ها را درک کرده‌اید، بیایید نگاهی به انواع نرم‌افزارهای مخربی بیندازیم که امروزه تهدیدی برای سیستم‌ها هستند. نرم‌افزار مخرب هر نرم‌افزاری است که به سیستم آسیب می‌زند یا از سیستم سوء استفاده می‌کند که شامل حذف فایل‌ها از سیستم، نظارت بر فعالیت در سیستم و حتی چیزی به سادگی کاهش سرعت سیستم می‌شود.

افزایش امتیاز

افزایش امتیاز زمانی است که یک هکر نقصی در سیستم‌عامل یا در یک نرم‌افزار نصب شده بر روی سیستم پیدا می‌کند که در صورت سوء استفاده، دسترسی‌های (امتیازات) هکر را نسبت به کاربر عادی افزایش داده و به سطح مدیریتی می‌رساند. هنگامی که هکر به سیستم دسترسی مدیریتی پیدا کرد، می‌تواند هر تغییری را که می‌خواهد در سیستم ایجاد کند که از جمله باید به یک درب پشتی برای دسترسی‌های آینده اشاره کرد.

در حالت کلی سه نوع افزایش امتیاز به شرح زیر وجود دارد:

■ تشدید امتیازات عمودی (Vertical privilege escalation): وقتی شخصی با دسترسی کاربر معمولی می‌تواند امتیازات خود را به دسترسی مدیریتی افزایش دهد.

■ افزایش امتیاز افقی (Horizontal privilege escalation): زمانی که همان سطح دسترسی حفظ می‌شود، اما هکر قادر است به منبع خاصی دسترسی پیدا کند.

■ کاهش امتیاز زمانی ( Privilege de-escalation): در برخی موارد، فردی که دسترسی مدیریتی دارد، سطح امتیاز خود را کاهش دهد تا بتواند به داده‌هایی دسترسی داشته باشد که یک کاربر خاص به آن‌ها دسترسی دارد. این‌کار به منظور سوء استفاده از اطلاعات شرکت و با هدف ناشناس بودن و قربانی کردن دیگران انجام می‌شود.

ویروس‌ها

یکی از بزرگ‌ترین زمینه‌های نگرانی در مورد امنیت زمانی است که یک سیستم با یک ویروس آلوده شود. ویروس نرم‌افزار مخربی است که سیستمی مانند رایانه، تبلت یا تلفن هوشمند را آلوده می‌کند. آلودگی می‌تواند داده‌های سیستم را از بین ببرد، از بوت شدن سیستم جلوگیری کند یا به سادگی از منابع موجود در سیستم استفاده کند که در نتیجه سرعت سیستم را کاهش می‌دهد. در ادامه انواع رایج ویروس‌ها را مورد بررسی قرار می‌دهیم.

ویروس اجرایی

ویروس‌های قدیمی‌تر ویروس‌های اجرایی بودند که ویروس به یک فایل اجرایی متصل می‌شد، اما تا زمانی که فایل را اجرا نمی‌کردید فعال نمی‌شد. این ویروس معمولاً توسط کاربر و از طریق اشتراک‌گذاری فایل‌ها از طریق فلاپی‌دیسک، درایوهای فلش یا درایو شبکه از سیستمی به سیستم دیگر منتقل می‌شود.

ویروس بخش بوت

ویروس سکتور بوت یک ویروس خطرناک است که به کد سکتور بوت حمله کرده و آن‌را بازنویسی می‌کند. بخش بوت اولین بخش روی دیسک است و حاوی کد لودر سیستم عامل است که بوت را آغاز می‌کند. هنگامی که یک ویروس بخش بوت این بخش را بازنویسی می‌کند، از بوت شدن سیستم از طریق دیسک آلوده جلوگیری می‌کند.

ماکرو ویروس

اکثر برنامه‌های کاربردی امروزه از ماکروها پشتیبانی می‌کنند که راهی برای خودکارسازی یک کار در برنامه نرم‌افزاری است. به عنوان مثال، با مجموعه مایکروسافت آفیس، ما می‌توانیم با استفاده از ویژوال بیسیک (VBA) که یک زبان برنامه‌نویسی قدرتمند است کدهای مخربی بنویسیم که عملکرد برنامه‌ها یا سیستم عامل را دستکاری کنند. یک ویروس ماکرو، کدی است که با استفاده از یک زبان ماکرو نوشته می‌شود که عملکرد مخربی مانند حذف فایل‌ها یا ارسال ایمیل به همه افراد موجود در دفترچه آدرس را انجام می‌دهد. ماکرو معمولاً در یک فایل قرار می‌گیرند و زمانی که شخصی فایل را باز می‌کند، به‌طور خودکار فعال می‌شود.

ویروس بمب منطقی

بمب منطقی نوعی ویروس است که توسط شما با نصب نرم‌افزاری که حاوی بمب منطقی است روی سیستم کاشته می‌شود. نرم‌افزاری که نصب کرده‌اید زمانی اجرا می‌شود که یک رویداد خاص اتفاق می‌افتد. این رویداد خاص می‌تواند یک تاریخ مشخص باشد. هنگامی که نرم‌افزار را اجرا می‌کنید، همیشه آن تاریخ خاص را بررسی می‌کند و اگر نرم‌افزار در آن تاریخ اجرا شود، عمل مخرب خود را انجام می‌دهد. این روش رایجی است که کارمندان ناراضی برای خرابکاری داده‌های شرکت پس از استعفا یا اخراج از آن استفاده می‌کنند. آن‌ها نرم افزار (که معمولاً خوب اجرا می‌شود) را برای حذف داده‌ها در یک تاریخ خاص برنامه‌ریزی می‌کنند.

نکته: برای آزمون سکیوریتی‌پلاس باید بدانید که ویروس بمب منطقی قبل از فعال شدن منتظر یک رویداد خاص مانند یک تاریخ خاص است.

ویروس کرم

کرم‌ها یکی از خطرناک‌ترین گونه ویروس‌ها هستند، زیرا کاملا مسری و خطرآفرین هستند. ویروس کرم یک نوع ویروس هراس‌برانگیز است، زیرا دارای ویژگی منحصر به فردی است که می‌تواند بدون اطلاع کاربر فعال شده و خود را تکثیر کند. ویروس‌های کرم می‌توانند خود را به روش‌های مختلف زیر تکثیر کنند:

■ پروتکل‌های شبکه: یک ویروس کرم می‌تواند با استفاده از پروتکل‌های شبکه استاندارد خود را به‌طور خودکار در سراسر شبکه تکثیر کند و یک سیستم را از طریق آسیب‌پذیری‌های موجود در برنامه‌های شبکه‌ای که روی سیستم اجرا می‌شوند به خطر بیاندازد. یک مثال خوب، کرم Blaster سال 2003 است که روی پورت RPC (پورت 135) تکثیر شد. چه کسی می‌تواند ویروس کرم SQL Slammer را فراموش کند، سال 2003 که تقریباً 75000 سیستم در اینترنت را در 10 دقیقه آلوده کرد فراموش کند؟ SQL Slammer از آسیب‌پذیری سرریز بافر شناخته شده در SQL Server سوء استفاده کرد و از طریق پورت UDP 1434 به سرورهای SQL وصله نشده متصل شد.

■ ‌ویروس‌های ایمیلی: ویروس‌های کرم را می‌توان به‌طور خودکار با استفاده از ایمیل منتشر کرد. ویروس در یک پیام ایمیل برای کاربر ارسال می‌شود و زمانی که آن کاربر پیام را باز می‌کند، کد ویروس اجرا می‌شود و از طریق لیست مخاطبین کاربر حلقه‌‌ای ایجاد می‌کند و ایمیل را برای همه مخاطبان ارسال می‌کند. نمونه‌هایی از ویروس‌های پست الکترونیکی بدنام، ویروس ILOVEYOU در سال 2000 و ویروسی است که در سال 2010 با موضوعی با عنوان "Here you have" ارسال شد.

■ درایوهای فلش: موج جدیدی از ویروس‌های کرم با استفاده از درایوهای فلش (درایوهای شست) سیستم‌ها را آلوده می‌کند. هنگامی که ویروس کرم روی یک سیستم قرار می‌گیرد، منتظر می‌ماند تا کسی فلش درایو را به آن سیستم وصل کند و ویروس کرم در فلش تکثیر می‌شود. کاربر درایو فلش را به سیستم دیگری می‌برد و پس از اتصال درایو به پورت USB، ویروس از درایو به سیستم دیگر انتقال پیدا می‌کند. Conficker ویروس کرمی بود که می‌توانست با استفاده از درایوهای کوچک USB تکثیر شود.

ویروس تروجان

ویروس تروجان برنامه‌ای است که کاربر را فریب می‌دهد تا آن‌را نصب کند، زیرا به نظر می‌رسد کار مفیدی انجام می دهد، اما در واقعیت، این ویروس است که سیستم را آلوده می‌کند. ویروس تروجان معمولا سیستم را با باز کردن یک پورت TCP/IP روی سیستم تغییر می‌دهد که به هکر اجازه می‌دهد به سیستم متصل شود و کنترل آن را در دست بگیرد.

لازم به ذکر است که ویروس تروجان می‌تواند بیشتر کارهایی فراتر از باز کردن یک پورت در سیستم را انجام دهد. از آنجایی که امروزه اکثر مردم فایروال‌هایی برای جلوگیری از دسترسی به پورتی که تروجان‌ها باز می‌کند را روی سیستم‌های خود نصب کرده‌اند، اکنون این مدل از ویروس‌ها ابزارهای تبلیغاتی را هدف قرار داده‌اند. به‌طور معمول ویروس‌های تروجان پورت‌های زیر را در یک سیستم باز می‌کنند:

نکته: باید بدانید که یک ویروس تروجان معمولاً یک پورت TCP/IP را روی سیستم باز می‌کند تا به عنوان درب پشتی برای هکر عمل کند. همچنین باید بدانید که ویروس کرم یک ویروس خودتکثیر شونده است.

عیب یابی ویروس های تروجان

قبل از آن‌که بحث در مورد ویروس‌های تروجان را به پایان برسانیم، باید در مورد برخی از دستورات رایج و پر کاربرد ویندوز صحبت کنیم که در صورت مشکوک شدن به آلودگی، می‌توان از آن‌ها برای ردیابی ویروس تروجان استفاده کرد.

اولین دستوری که برای ردیابی ویروس تروجان استفاده می‌شود دستور netstat است. اگر از دستور netstat -na استفاده کنید، لیستی از پورت‌های محلی را مشاهده خواهید کرد که در حالت گوش دادن هستند. Listening به این معنی است که پورت باز است و منتظر است تا کسی به آن متصل شود.

برای اینکه بفهمید چه برنامه‌ای پورت را باز کرده است، می‌توانید سوئیچ -o را به netstat اضافه کنید که شماره پروسه (PID) برنامه‌ای که پورت را باز کرده را نشان می‌دهد. در شکل زیر مشاهده می‌کنید که پورت 12345 (درگاه NetBus) در حالت گوش دادن است و PID مسئول باز کردن پورت 12345 پردازه‌ای با شماره 208 است.

هنگامی که شماره شناسه پردازه‌ای که مسئول باز کردن پورت است را پیدا کردید، می‌توانید فایل EXE مرتبط با آن شناسه پردازه را ردیابی کنید. اگر از دستور tasklist استفاده می‌کنید، پردازه‌‌های (فایل های EXE) در حال اجرا در حافظه و PID مربوط به هر فرآیند را مشاهده خواهید کرد. در خروجی زیر دقت کنید که Patch.exe فایل EXE مرتبط با PID است و مسئول باز کردن پورت است! همچنین توجه داشته باشید که می‌توانید از ویژگی pipe ( | ) برای جست‌وجوی یک ورودی خاص با دستور tasklist استفاده کنید. به عنوان مثال، می‌توانید از tasklist | find “208” برای جست‌جوی ورودی حاوی "208" استفاده کنید.

هنگامی که از دستور tasklist استفاده کردید و پردازه را پیدا کردید، می‌توانید با دستور taskkill اجرای پردازه را خاتمه دهید. با دستور taskkill قادر به پایان دادن به اجرای فایل EXE مرتبط با PID هستید. کد نشان داده شده در شکل زیر از دستور taskkill برای بستن یک پردازه مرتبط با PID استفاده می‌کند.

پس از پایان کار پردازه، مطمئن شوید که پیکربندی سیستم به‌گونه‌ای نباشد که پس از راه‌اندازی مجدد سیستم دوباره همان پردازه را اجرا کند. این گروه برنامه‌ها در Startup در منوی Start و در مسیر زیر از رجیستری قرار دارند. HKLM\Software\Microsoft\Windows\CurrentVersion\Run

در مثال ما، اگر regedit.exe را اجرا کنیم و به بخش Run برویم، مشاهده می‌کنیم که Patch.exe تنظیم شده است تا به‌طور خودکار هنگام راه‌اندازی مجدد ویندوز اجرا شود. بنابراین باید این ورودی را حذف کنیم.

در شماره آینده مبحث فوق را ادامه می‌‌دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

تهران: آموزشگاه عصر رایان شبکه

مهندس اطلاعات

تلفن: 02188549150 کانال: Asrehshabakeh@

تبلیغات لینکی:

استخدام کارشناس ISMS & ITIL