نمونه هائی از حملات اينترنتی توسط نامه های الکترونيکی
بمنظور بررسی نقاط آسيب پذير و نحوه انتشار ويروس های کامپيوتری با استفاده از کدهای مخرب ،عملکرد سه ويروس را مورد بررسی قرار می دهيم . هدف از بررسی فوق استفاده از تجارب موجود و اتخاذ راهکارهای مناسب بمنظور پيشگيری از موارد مشابه است .آناليز دقيق رفتار هر يک از ويروس ها و نحوه مقابله و يا آسيب زدائی آنان از حوصله اين مقاله خارج بوده و هدف ، صرفا" نشان دادن تاثير نقاط آسيب پذير در يک تهاچم اطلاعاتی بمنظور تخريب اطلاعات و منابع موجود در يک شبکه کامپيوتری ( اينترانت ، اينترنت ) و نقش کاربران در اين زمينه است .
• نسخه هائی از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs و LOVE-LETTER-FOR-YOU.vbs تکثير می نمايد.
• نسخه ای از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير می نمايد .
• اقدام به تغيير مقادير دو کليد ريجستری زير می نمايد .کليدهای فوق، باعث فعال نمودن ( فراخوانی ) کرم ، پس از هر بار راه انداری سيستم می گردند .
• در ادامه، بررسی می گردد که آيا دايرکتوری سيستم شامل فايل WinFAT32.exe است؟ در صورت وجود فايل فوق( نشاندهنده ويندوز 95 و 98 )، صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روی سايت www.skyinet.net تبديل می گردد . فايل فوق از يکی از دايرکتوری های موجود در سايت فوق با نام angelcat , chu , koichi دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت ( در زمان آتی ) ، صفحه آغاز ، آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ می گردد . کليد ريجستری صفحه آغاز، در آدرس زير قرار می گيرد .
• ما قادر به دستيابی به www.skyinet.net ، بمنظور اخذ يک نسخه از فايل فوق نمی باشيم . با پيگيری انجام شده بر روی اينترنت مشخص شده است که برنامه فوق ، ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به يک سايت مرکزی از طريق پست الکترونيکی باشد .
• ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :
• ILOVEYOU در ادامه ، يک فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
• کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع می شوند . برای هر شخص موجود در دفترچه آدرس، يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن فايل های با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامی فايل ها ی با انشعابات فوق، توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .
• در صورتيکه فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .
• در صورتيکه ILOVEYOU فايلی با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت که فهرست مربوطه ، يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .
• Word را آلوده و در ادامه تمام سندهای فعال شده word را نيز آلوده و.بدين ترتيب امکان توزيع و گسترش آن فراهم می گردد .
• باعث بروز برخی تغييرات در تنظيمات سيستم بمنظور تسهيل در ماموريت خود ( آلودگی اطلاعات ) می گردد .
• با استفاده از برنامه Microsoft Outlook و در ظاهر يک پيام دوستانه ، نمونه هائی از خود را به مقصد آدرس های متعدد، ارسال می نمايد.
زمانيکه يک فايل Word آلوده به ويروس Melissa فعال می گردد،Melissa به تمپليت سند NORMAL.DOT نيز سرايت می گردد. محل فوق،مکانی است که Word تنظيمات خاص و پيش فرض در ارتباط با ماکروها را ذخيره می نمايد . Melissa ، با تکثير خود درون NORMAL.DOT برنامه نصب شده Word را آلوده و بدين ترتيب هر سند و يا تمپليتی که ايجاد می گردد، ويروس به آن اضافه خواهد شد. بنابراين در موارديکه يک سند فعال و يا غيرفعال می گردد ، زمينه اجرای ويروس فراهم خواهد شد . در صورتيکه کليد ريجستری زيردر کامپيوتری وجود داشته باشد، نشاندهنده آلودگی سيستم به ويروس Melissa است . مقدار کليد ريجستری فوق " by Kwyjibo..." است .
• تغيير Registered owner به BubbleBoy
• تغيير Registered organization به Vandelay Industries
کرم فوق درادامه اقدام به تکثير خود از طريق يک نامه الکترونيکی به تمام افراد موجود در ليست دفترچه آدرس برنامه Outlook Express می نمايد . علت انتشار و اجرای کرم فوق بدليل وجود نقص امنيتی در تکنولوژی ActiveX ماکروسافت است . اشکال فوق به عناصر scriplet , typelib و Eyedog در ActiveX ، مربوط می گردد . عناصر فوق بعنوان المان های امين و تائيد شده در نظر گرفته شده و اين امکان به آنها داده خواهد شد که کنترل عمليات را بر اساس حقوق کاربران بر روی ماشين مربوطه انجام دهند . ماکروسافت بمنظور مقابله با مشکل فوق اقدام به عرضه يک Patch امنيتی برای برنامه IE نموده است .
بهرحال عملکرد نادرست کاربران موجود در يک شبکه کامپيوتری ، تاثير مستقيمی بر عملکرد تمام سيستم داشته و لازم است قبل از بروز حوادث ناگوار اطلاعاتی ، تدابير لازم اتخاذ گردد ! . امنيت در يک شبکه کامپيوتری مشابه ايجاد يک تابلوی نقاشی است که نقاشان متعددی برای خلق آن با يکديگر تشريک مساعی می نمايند. در صورتيکه يکی از نقاشان در اين زمينه تعلل ( سهوا" و يا عمدا" ) نمايد، قطعا" اثر هنری خلق شده ( در صورتيکه خلق شود ! ) آنچيزی نخواهد بود که می بايست باشد !
بررسی عملکرد کرم ILOVEYOU
• نسخه هائی از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs و LOVE-LETTER-FOR-YOU.vbs تکثير می نمايد.
• نسخه ای از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير می نمايد .
• اقدام به تغيير مقادير دو کليد ريجستری زير می نمايد .کليدهای فوق، باعث فعال نمودن ( فراخوانی ) کرم ، پس از هر بار راه انداری سيستم می گردند .
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\MSKernel32 |
• در ادامه، بررسی می گردد که آيا دايرکتوری سيستم شامل فايل WinFAT32.exe است؟ در صورت وجود فايل فوق( نشاندهنده ويندوز 95 و 98 )، صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روی سايت www.skyinet.net تبديل می گردد . فايل فوق از يکی از دايرکتوری های موجود در سايت فوق با نام angelcat , chu , koichi دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت ( در زمان آتی ) ، صفحه آغاز ، آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ می گردد . کليد ريجستری صفحه آغاز، در آدرس زير قرار می گيرد .
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage |
• ما قادر به دستيابی به www.skyinet.net ، بمنظور اخذ يک نسخه از فايل فوق نمی باشيم . با پيگيری انجام شده بر روی اينترنت مشخص شده است که برنامه فوق ، ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به يک سايت مرکزی از طريق پست الکترونيکی باشد .
• ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINBUGFIX |
• ILOVEYOU در ادامه ، يک فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
• کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع می شوند . برای هر شخص موجود در دفترچه آدرس، يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن فايل های با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامی فايل ها ی با انشعابات فوق، توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .
• در صورتيکه فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .
• در صورتيکه ILOVEYOU فايلی با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت که فهرست مربوطه ، يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .
بررسی عملکرد ويروس Melissa
• Word را آلوده و در ادامه تمام سندهای فعال شده word را نيز آلوده و.بدين ترتيب امکان توزيع و گسترش آن فراهم می گردد .
• باعث بروز برخی تغييرات در تنظيمات سيستم بمنظور تسهيل در ماموريت خود ( آلودگی اطلاعات ) می گردد .
• با استفاده از برنامه Microsoft Outlook و در ظاهر يک پيام دوستانه ، نمونه هائی از خود را به مقصد آدرس های متعدد، ارسال می نمايد.
زمانيکه يک فايل Word آلوده به ويروس Melissa فعال می گردد،Melissa به تمپليت سند NORMAL.DOT نيز سرايت می گردد. محل فوق،مکانی است که Word تنظيمات خاص و پيش فرض در ارتباط با ماکروها را ذخيره می نمايد . Melissa ، با تکثير خود درون NORMAL.DOT برنامه نصب شده Word را آلوده و بدين ترتيب هر سند و يا تمپليتی که ايجاد می گردد، ويروس به آن اضافه خواهد شد. بنابراين در موارديکه يک سند فعال و يا غيرفعال می گردد ، زمينه اجرای ويروس فراهم خواهد شد . در صورتيکه کليد ريجستری زيردر کامپيوتری وجود داشته باشد، نشاندهنده آلودگی سيستم به ويروس Melissa است . مقدار کليد ريجستری فوق " by Kwyjibo..." است .
HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa |
بررسی عملکرد ويروس BubbleBoy
• تغيير Registered owner به BubbleBoy
• تغيير Registered organization به Vandelay Industries
کرم فوق درادامه اقدام به تکثير خود از طريق يک نامه الکترونيکی به تمام افراد موجود در ليست دفترچه آدرس برنامه Outlook Express می نمايد . علت انتشار و اجرای کرم فوق بدليل وجود نقص امنيتی در تکنولوژی ActiveX ماکروسافت است . اشکال فوق به عناصر scriplet , typelib و Eyedog در ActiveX ، مربوط می گردد . عناصر فوق بعنوان المان های امين و تائيد شده در نظر گرفته شده و اين امکان به آنها داده خواهد شد که کنترل عمليات را بر اساس حقوق کاربران بر روی ماشين مربوطه انجام دهند . ماکروسافت بمنظور مقابله با مشکل فوق اقدام به عرضه يک Patch امنيتی برای برنامه IE نموده است .
خلاصه
بهرحال عملکرد نادرست کاربران موجود در يک شبکه کامپيوتری ، تاثير مستقيمی بر عملکرد تمام سيستم داشته و لازم است قبل از بروز حوادث ناگوار اطلاعاتی ، تدابير لازم اتخاذ گردد ! . امنيت در يک شبکه کامپيوتری مشابه ايجاد يک تابلوی نقاشی است که نقاشان متعددی برای خلق آن با يکديگر تشريک مساعی می نمايند. در صورتيکه يکی از نقاشان در اين زمينه تعلل ( سهوا" و يا عمدا" ) نمايد، قطعا" اثر هنری خلق شده ( در صورتيکه خلق شود ! ) آنچيزی نخواهد بود که می بايست باشد !
