بدافزار ها و انواع آن-بخش دوم

دسته بندی ها : میکروبوک +security ۵ خرداد ۱۳۹۹ آپا دانشگاه تبریز 89 بازدید
بدافزار ها و انواع آن - بخش دوم

Ransomware (باج افزار)

نوعی بدافزار است که از دسترسی قربانی به اطلاعات سیستم خود تا زمان دریافت فدیه ( دریافت وجه در قبال آزاد سازی اطلاعات کاربر) جلوگیری می کند. مهاجم با دسترسی به سیستم قربانی، فایل ها و اطلاعات او را رمزنگاری می کند و یا رمز عبور کاربر را تغییر می دهد و مادامی که قربانی وجه در خواستی را پرداخت نکند، آنها را رمزگشایی نمی کند. تصویر زیر نمونه ای از یک باج افزار و درخواست فدیه آن می باشد.

ممکن است روزی هنگام روشن کردن سیستم خود با صحنه ای همانند تصویر بالا مواجه شوید که از شما درخواست پول، دلار و یا بیت کوین می کند. در صورتی که در اغلب موارد مهاجم با دریافت فدیه نیز کلید بازگشایی سیستم را به کاربر نمی دهد. در کل در بهترین حالت مهاجم کلید را به قربانی خواهد داد و در بدترین حالت مهاجم کلید را به قربانی نمی دهد و قربانی اطلاعات و پول خود را از دست می دهد. توصیه متخصصان این حوزه به عدم پرداخت فدیه به مهاجم است.

تنها راه پیشگیری از آسیب باج افزار ها پشتیبان گیری از اطلاعات سیستم می باشد. در سال ۲۰۱۸ شهر آتلانتا با استفاده از باج افزار sam sam آلوده شد. این باج افزار به سرعت در بین سیستم های شهروندان تکثیر و منتشر شد که هزینه ۱۷ میلیون دلار را برای این شهر رقم زد.

Spyware (جاسوس افزار)

نوعی نرم افزار مخرب است که بر روی سیستم کاربر نصب می شود و به شکل مخفیانه شروع به جمع آوری اطلاعات در مورد کاربر می کند. معمولا جاسوس افزار ها می توانند از طریق یک وب سایت و یا نرم افزار های موجود بر روی سیستم نصب می شوند.

در بهترین حالت جاسوس افزار ها اطلاعات ایمیل، فایل ها، پیام های ضروری و … را بررسی می کند اما در بدترین حالت با استفاده از Keylogger می تواند تمامی کلید های وارد شده را ضبط کند و از صفحه عکس بگیرد. به طور مثال می تواند هنگامی که کاربر نام کاربری و رمز عبور خود را برای ورود به حساب کاربری خود وارد میکند، ضبط و آنها را به مهاجم ارسال کند.

Adware (تبلیغ افزار):

این نوع بدافزار ها با استفاده از اطلاعاتی که قبلا از طریق تاریخچه مرورگر، ایمیل ها و یا دیگر اطلاعات کاربر بدست می آورند، شروع به نمایش تبلیغاتی حول آن اطلاعات می کند. برای مثال از طریق ایمیل کاربر متوجه تولد یکی از دوستان کاربر شده شده است، شروع به نمایش تبلیغاتی راجع به خرید هدیه و یا لباس مناسب تولد می کند تا کاربران با کلیک بر روی آنها، به دام مهاجمان بیافتند.

Grayware (خاکستر افزار):

نرم افزار هایی هستند که نه سالم هستند و نه قصد تخریب دارند. در اصل از این نرم افزار ها برای شوخی استفاده می کنند که به این نوع از نرم افزار ها Jokeware یا شوخی افزار نیز می گویند.

 

روت کیت (Rootkit)

نوع دیگری از بدافزار ها است که برای اخذ سطح دسترسی ادمین، بدون آن که توسط سیستم عامل و یا سیستم های امنیتی تشخیص داده شود، طراحی شده است. این یک مسئله بسیار مهم است چرا که دسترسی روت یا ادمین بالاترین سطح دسترسی در یک سیستم کامپیوتری است. در سیستم های ویندوزی به این دسترسی حساب کاربری ادمین (Administrator Account) و در سیستم های Unix، Linux، Mac OS به آن دسترسی Root می گویند. برای مثال، با این دسترسی می توان نرم افزار نصب و یا حذف کرد و یا پورت های یک سیستم را باز و بسته کرد.

همانطور که در شکل زیر مشاهده می کنید، سطوح دسترسی در یک سیستم کامپیوتری از لایه های مختلفی تشکیل می شود. یک کاربر معمولی در سطح ۳ قرار دارد. هر چقدر که کاربر به مرکز دایره (یا همان هسته) حرکت کند، دارای سطح دسترسی بالاتر خواهد بود. کاربر ادمین در نزدیک ترین سطح به هسته(سطح ۱) قرار دارد. اگر کاربری خواستار بالاترین سطح دسترسی باشد، باید به سطح ۱ دسترسی پیدا کند. سطح دسترسی هسته (Kernel) سیستم را قادر می سازد تا ابزار های مختلف مانند نمایشگر، درایور ها و … را کنترل کند.

روت کیت ها سعی می کنند در سطح ۱ و یا هسته نصب شوند تا قادر به مخفی شدن از عملکرد های امنیتی سیستم عامل و جلوگیری از تشخیص آنها باشند. در حقیقت روت کیت ها می توانند در هر زمان دلخواه بدون آن که کاربران عمومی و یا ادمین متوجه شوند، وارد عمل شوند.

روت کیت ها از یک تکنیک به نام DLL Injection برای حفظ کنترل مداوم خود، استفاده می کنند. برای این کار با سو استفاده از Dynamic Link Libraries که در runtime بارگذاری شده است، یک کد مخرب وارد عملیاتی که بر روی ماشین ویندوزی در حال اجرا است، می شود. این بدان معنی است که حتی سیستم عامل متوجه نصب روت کیت نخواهد شد.

همچنین این فرآیند با استفاده از Driver Manipulation نیز پیاده سازی می شود. Driver Manipulation یک حمله است که درایور های kernel-mode دستگاه را که در سطوح دسترسی بالاتری دارند، به خطر می اندازد.

هر دو DLL Injection و Driver Manipulation توسط shim رخ می دهند. Shim کدی است که در بین دو کامپوننت قرار می گیرد تا فراخوانی ها را رهگیری و آنها را redirect کند.

روت کیت ها قبل از بوت شدن سیستم عامل فعال می شوند و به همین سبب نمی توان آن ها را تشخیص داد. برای تشخیص آنها باید سیستم عامل را از یک حافظه جانبی بوت کرد و سپس از طریق آن حافظه اصلی سیستم را اسکن کرد.

اسپم (Spam)

فعالیتی است که از سیستم پیام رسان الکترونیکی از قبیل ایمیل، فضاهای مجازی و … سو استفاده می کند. مرسوم ترین نوع آن ایمیل است. هنگامی که وارد صفحه پیام های دریافتی ایمیل خود می شوید، با پیام های مختلفی از قبیل “آیا میخواهید بلند قد شوید؟” ، “آیا مشکل چاقی دارید؟” و پیام های این چنینی مواجه می شوید. این چنین پیام ها اسپم نام دارند. اسپم ها اغلب پیام های تبلیغاتی هستند که برای کاربران، بسیار مزاحم و اذیت کننده هستند. در حالی که آنها بسته به الصاقاتی که دارند می توانند بسیار خطرناک باشند. فرض کنید یک بد افزار به یک اسپم الصاق شده و به هزاران کاربر ارسال شود.

می توان برای جلوگیری از دریافت اسپم ها، mail serverهای آنها را بلاک کرد. اما مهاجمان mail server شرکت ها را برای ارسال اسپم ها اکسپلویت می کنند و از این طریق، بلاک کردن کاربران را دور می زنند.

Spim:

این بدافزار ها دقیقا همانند اسپم ها عمل می کنند. تنها تفاوت آنها این است که به جای استفاده از ایمیل برای ارسال اسپم ها، از پیام های متنی و چت های کاربران استفاده می کنند.

 

مطالب مرتبط: بدافزارها و انواع آن-بخش اول

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :