بدافزار وب (1)
امروزه اينترنت بوسيله انواع بدافزار که از وب براي گسترش خود استفاده مي کنند، مورد تهاجم مي باشد و چون اين تهديدها در اينترنت پديدار مي شوند بنابراين مي توانند حتي باهوشترين و کارکشته ترين کاربران کامپيوتري را نيز مورد آزار قرار دهند و سيستم هاي آنها را آلوده نمايند. اين روزها بدافزارها به اندازاه کافي رشد و توسعه يافته اند بطوري که از فنآوري ها و روش هاي نوين براي گسترش و پخش شدن در محيط اينترنت استفاده مي کنند.
گذشت آن روزهايي که گسترش و انتشار يافتن بدافزارها به عدم آگاهي کاربراني که هدف آنها بودند، بستگي داشت. موفقيت يک بدافزار فقط به يک عامل ساده بستگي دارد و آن اينکه در حداقل زمان ممکن بيشترين کامپيوتر را آلوده سازد. بنابراين، براي هر بدافزار مهم ترين عامل جهت نيل به هدف خويش، يافتن يک سازوکار گسترش موثر و همچنين کانال هايي است که بيشترين دسترسي را در اختيار بدافزار قرار مي دهند.
از زمان ماکرو ويروس ها تا ويروس هايي که به سرعت از طريق ايميل گسترش مي يابند، از کرم هاي شبکه تا آلوده کننده هاي USB، ما شاهد محبوبيت رو به رشد يک فناوري بوده ايم و اينکه چگونه و با چه سرعتي فنآوري ها بهبود مي يابند، به همين صورت نيز روش هاي گسترش بدافزارها دچار دگرگوني و تغيير گشته است.
شما در اينترنت مي توانيد مطالب گوناگوني در خصوص گسترش افزاينده بدافزارها و آماري که اين امر را تاييد مي کنند، پيدا نماييد. اما به ندرت مي توانيد مقاله اي بيابيد که درباره روش هاي گوناگوني بحث کند که نويسندگان بدافزارها بوسيله آن ها تلاش مي کنند از طريق وب مخلوقات مخرب خود را پراکنده سازند.
دراين مقاله، ما بيشتر در مورد روش هايي صحبت مي کنيم که بدافزار با استفاده از وب موفق به آلوده سازي يک سيستم مي شود.
همچنين بر روي تکنيک هايي که تمرکز مي کنيم که بوسيله آنها اين برنامه هاي مخرب بدون آنکه آشکار شوند سيستم ها را آلوده مي سازند. اما، براي اطلاع، همچنين ريزآمارهاي مربوط به بدافزارها را ارائه مي نماييم، بدين وسيله دورنمايي را در اختيار شما قرار دهيم تا درکي درست، از تغييراتي که اين برنامه ها طي سال ها متحمل گرديده اند، داشته باشيد و اينکه چگونه اين نرم افزارهاي مخرب با وارد شدن به وب ها و يکي شدن با آنها با موفقيت گسترش مي يابند.
تاکنون ما از عبارت بدافزار وب استفاده کرديم، اما دقيقاً منظور ما از اين عبارت چيست؟ قبل از اينکه مشخص کنيم چه عاملي باعث مي شود تا يک بدافزار به رده بد افزار وب نسبت داده شود، لازم است بر روي اين نکته تاکيد نماييم که بدافزار اساساً چه ماهيتي دارد تا هيچگونه شبه هاي در خصوص واژه بدافزار وجود نداشته باشد. يک بدافزار، نرم افزار ناخواسته اي است که ممکن است فعاليت هاي مخربي را بر روي سيستم شما انجام دهد و يا نه، صرفاً اين نرم افزار به سيستم شما نفوذ کند و هيچ فعاليت خرابکارانه اي انجام ندهد.
واژه بدافزار گستره وسيعي از انواع تهديدها و نرم افزارهاي ناخواسته را در بر مي گيرد. تروجان ها، کرم ها، ويروس ها، اسپايويرها، کاربردهاي امنيتي مخرب و غيره را مي توان در اين رده قرار داد. اگر چه واژه بدافزاراز واژه نرم افزار مخرب (Malicious Software) گرفته شده است، اما يک بدافزار هميشه مخرب نيست، يا حداقل به آن ميزاني که از واژه مخرب استنباط مي شود، مخرب نمي باشد.
براي مثال، Joke Programs، ابزار مديريت از راه دور، ممکن است به اندازه کرم ها، يا يک تروجان مخرب نباشند اما بسته به نوع کاربردي که شما براي آنها در نظر مي گيريد آنها را مي توان در رده بدافزارها قلمداد نمود ( يادداشت مترجم: Joke Programs برنامه هايي هستند که براي ترساندن و به نوعي شوخي با کاربران کامپيوتر استفاده مي گردند). بنابراين، نيت و مقصود شما از بکارگيري شما تعيين ميکند که يک نرم افزار خاص در رده بدافزارها قرار مي گيرد يا خير.
حتي قانوني ترين سايت ها مي توانند کانون گسترش آلودگي هاي بدافزار باشد، به عبارت ديگروب سايتي که شما به آن اطمينان داريد نيز مي توانيد منشائي باشد براي ورود بدافزار به سيستم شما. از محبوبترين وعمومي ترين سايت هاي شبکه تا محيط هاي مباحثه عمومي/ خصوصي، بلاگ ها و وب سايت ها، هر چيزي ديگر که شما تصور کنيد مي توانيد ميزبان و مامن مناسبي براي بدافزارهاي باشند.
جدول 1 از بولتن امنيتي کاسپراسکاي استخراج گرديده است ( آمار 2008)، اين جدول تعداد بدافزارهاي کشف شده در برخي از سايت هاي شبکه عمومي را نشان مي دهد. اين آمار با مقايسه تعداد برنامه هاي مخرب که از سايت هاي شبکه مختلف به کاربران حمله کرده اند، جمع آوري گرديده است ( جدول 1).
بطور مشابه، شکل 1، افزايش ناگهاني فعاليت بدافزار وب را در ارتباط با برخي از سايتهاي شبکه عمومي و مورد توجه کاربران، نشان مي دهد. اخيراً کشف شده است که سايت هاي شبکه مانند کنترل فرمان بتنت بکار مي رفتند.
(يادداشت مترجم: بتنت (Botnet) اصطلاح فني است که به مجموعه اي از دستورات نرم افزاري، يا ربات ها اطلاق مي شود که بطور خودکار عمل مي کنند. بتنت اغلب به آن دسته از نرم افزارها که به صورت بدافزار عمل مي کنند گفته مي شود، اما مي توان اين عبارت فني را براي شبکه اي از کامپيوترها که از نرم افزار پردازشي مشترک بين آنها استفاده مي کنند، بکار برد)
تقريباً انواع مشابه مکانيسم کنترل دستور بتنت در Tumbir & Jaiku تشخيص داده شده است. اين بتها با استفاده از RSS خود را به روز رساني مي کنند.
گوگل اذعان داشته است که يک درصد جستجوها حداقل داراي يک محتوي مخرب هستند و اين روند به نظر در حال رشد و افزايش مي باشد. از ميلياردها صفحه وبي که مورد بررسي قرار مي گيرد، بيش از 3 ميليون URLهاي يگانه روي 180000 وب سايت هاي بطور خودکار بدافزار را بدون آگاهي از محتوي و اعتبارشان، بر روي سيستم نصب مي نمايند.
در نمودارهايي که ارائه خواهد شد، برخي از آمار جالب توجه از شناسايي فعاليت بدافزار در وب ها را مشاهده خواهيد نمود. اين روند افزايشي توسط تيم امنيتي گوگل (Google Security Team) به ثبت رسيده است.
شکل 3 تعداد ورودي ها در ليست بدافزار مربوط به جستجوهاي ايمن گوگل را نشان مي دهد، به عبارت ديگر از اين نمودار استنباط مي شود که حتي امروزه جستجوهاي به ظاهر امن نيز از فعاليت هاي بدافزار بي نصيب نمانده اند. از اين نمودار کاملاً پيدا است که در چند سال اخير يک افزايش ثابت از وب هاي مرتبط با بدافزارها وجود داشته است. مقاله تحقيقاتي گوگل روي روند افزايشي فعاليت بدافزار وب، همانطور که توسط تيم امنيتي گوگل مشاهده شد، وقوع اين امر را ناشي از URL که در بخش مرجع اين مقاله به آن اشاره مي کنيم، ميدانيد.
با اطلاعات بدست آمده از آمارهاي بدافزار ماهيانه کاسپراسکاي، جدولي را تنظيم کرده ايم ( جدول شماره 2) که شما مي توانيد در آن بيست بدافزار وب برتر را با آلودگي هاي جديد و همچنين تعداد صفحات وب آلوده شده را مشاهده فرماييد.
بدافزار وب تبديل به بازي گر و عامل اصلي رشد تهديدهاي بدافزار شده است. بنابر اطلاعات بدست آمده از گزارش تهديدات ساليانه ScanSafe، با بررسي بر روي 200 ميليارد درخواست وب، آنها به اين نتيجه رسيدند که آلوده سازي بدافزار وب نسبت به 3 ماهه آخر سال 2008 افزايش چشمگيري داشته است، براي نمونه در سال گذشته افزايش 582 درصدي آلوده سازي بدافزار وب نسبت به سه ماهه آخر سال 2008 را شاهد بوديم.
محققان امنيتي AVG Technologies مشاهده کرده اند که تعداد وب سايت هاي آلوده شده جديد، رشد 66 درصدي داشته است، امروز ما شاهد اين هستيم که ميزان افزايش آلودگي وب سايت ها به بدافزار وب از 100000 به 200000 در روز که مربوط به سال هاي گذشته بوده به آلوده شدن 200000 تا 300000 در روز اين وب سايت ها تغيير يافته است و انتظار داريم اين روند افزايشي در روزهاي آينده هم پا برجا باشد.
از سال 2006، تعداد کدهاي مجاز بدافزار فروشندگان آنتي ويروس ها دو برابر شده است. اما با ايجاد گونه جديد، روش هاي جديدتر براي آلوده سازي و افزايش در تعداد نقاط توزيع، که عامل اصلي در معرض خطر قرار گرفتن وب سايت ها مي باشند، وضعيتي پديدار گشته است که فروشندگان آنتي ويروس ها اکنون دريافته اند ديگر به سادگي نمي توان از بروز چنين تهديدهايي جلوگيري کرد و آنها را مسدود نمود، بنابراين، پيآمد اين امر عدم آشکارسازي بدافزارها مي باشد. شرکت هاي آنتي ويروس که خيلي پيش از اين فعاليت داشتند بخش عظيمي از اين بدافزارها را با استفاده از کدهاي نوعي و اختصاصي مسدود مي کردند.
اما امروزه، عملاً غيرممکن است اين بدافزارها را با روش هاي قديمي مسدود نمود. آمار که جلوتر به آن اشاره خواهيم کرد مربوط به ( ژانويه- ژوئن 2009) مي شود اين آمار ضعف هاي برخي از موتورهاي آنتي ويروس هاي عمده را در آشکارسازي بدافزارها را نشان مي دهد و اين روند در ماههاي آخر افزايش چشمگيري داشته است.
بعد ازمحاسبه مقدار متوسط آهنگ آشکار سازي روزانه برخي از فروشندگان آنتي ويروس هاي عمده توسط Cyveillance، يک شرکت گردآورنده سيستم هاي هوشمند، مشخص شد هيچيک از اين آنتي ويروس ها قادر به شناسايي بيش از 50 درصد از بدافزارها نمي باشند. اگر بخواهيم پنج آنتي ويروس را بر اساس درصد موفقيتشان براي شناسايي بدافزارها رده بندي کنيم خواهيم داشت:
McAfee ( 44درصد)
Sophos (38درصد)
Dr.Web (36درصد)
Symantec(35درصد)
Trend Micro ( 34درصد)
AVG (31درصد)
F-Secure ( 28درصد)
ESET(27 درصد)
Sunbelt( 26درصد)
F-Port ( 23 درصد)
Norman( 23 درصد)
Kaspersky(18درصد)
VirusBuster(16 درصد)
آنها همچنين شبکه تمام 1206 شرکت را بررسي کردند. اين شبکه ها بوسيله انواع سيستم هاي امنيتي که توسط توليد کنندگان اين محصولات عرضه شده است، محافظت مي شدند و از اين تعداد 69/34درصد به درستي در برابر بدافزارها حفاظت مي شدند. اما با اين وجود آنها دريافتند 71/79درصد شبکه هاي اين شرکت ها به بدافزارها آلوده گشته اند.
منبع: بزرگراه رايانه، شماره ي 137 .
گذشت آن روزهايي که گسترش و انتشار يافتن بدافزارها به عدم آگاهي کاربراني که هدف آنها بودند، بستگي داشت. موفقيت يک بدافزار فقط به يک عامل ساده بستگي دارد و آن اينکه در حداقل زمان ممکن بيشترين کامپيوتر را آلوده سازد. بنابراين، براي هر بدافزار مهم ترين عامل جهت نيل به هدف خويش، يافتن يک سازوکار گسترش موثر و همچنين کانال هايي است که بيشترين دسترسي را در اختيار بدافزار قرار مي دهند.
از زمان ماکرو ويروس ها تا ويروس هايي که به سرعت از طريق ايميل گسترش مي يابند، از کرم هاي شبکه تا آلوده کننده هاي USB، ما شاهد محبوبيت رو به رشد يک فناوري بوده ايم و اينکه چگونه و با چه سرعتي فنآوري ها بهبود مي يابند، به همين صورت نيز روش هاي گسترش بدافزارها دچار دگرگوني و تغيير گشته است.
شما در اينترنت مي توانيد مطالب گوناگوني در خصوص گسترش افزاينده بدافزارها و آماري که اين امر را تاييد مي کنند، پيدا نماييد. اما به ندرت مي توانيد مقاله اي بيابيد که درباره روش هاي گوناگوني بحث کند که نويسندگان بدافزارها بوسيله آن ها تلاش مي کنند از طريق وب مخلوقات مخرب خود را پراکنده سازند.
دراين مقاله، ما بيشتر در مورد روش هايي صحبت مي کنيم که بدافزار با استفاده از وب موفق به آلوده سازي يک سيستم مي شود.
همچنين بر روي تکنيک هايي که تمرکز مي کنيم که بوسيله آنها اين برنامه هاي مخرب بدون آنکه آشکار شوند سيستم ها را آلوده مي سازند. اما، براي اطلاع، همچنين ريزآمارهاي مربوط به بدافزارها را ارائه مي نماييم، بدين وسيله دورنمايي را در اختيار شما قرار دهيم تا درکي درست، از تغييراتي که اين برنامه ها طي سال ها متحمل گرديده اند، داشته باشيد و اينکه چگونه اين نرم افزارهاي مخرب با وارد شدن به وب ها و يکي شدن با آنها با موفقيت گسترش مي يابند.
تاکنون ما از عبارت بدافزار وب استفاده کرديم، اما دقيقاً منظور ما از اين عبارت چيست؟ قبل از اينکه مشخص کنيم چه عاملي باعث مي شود تا يک بدافزار به رده بد افزار وب نسبت داده شود، لازم است بر روي اين نکته تاکيد نماييم که بدافزار اساساً چه ماهيتي دارد تا هيچگونه شبه هاي در خصوص واژه بدافزار وجود نداشته باشد. يک بدافزار، نرم افزار ناخواسته اي است که ممکن است فعاليت هاي مخربي را بر روي سيستم شما انجام دهد و يا نه، صرفاً اين نرم افزار به سيستم شما نفوذ کند و هيچ فعاليت خرابکارانه اي انجام ندهد.
واژه بدافزار گستره وسيعي از انواع تهديدها و نرم افزارهاي ناخواسته را در بر مي گيرد. تروجان ها، کرم ها، ويروس ها، اسپايويرها، کاربردهاي امنيتي مخرب و غيره را مي توان در اين رده قرار داد. اگر چه واژه بدافزاراز واژه نرم افزار مخرب (Malicious Software) گرفته شده است، اما يک بدافزار هميشه مخرب نيست، يا حداقل به آن ميزاني که از واژه مخرب استنباط مي شود، مخرب نمي باشد.
براي مثال، Joke Programs، ابزار مديريت از راه دور، ممکن است به اندازه کرم ها، يا يک تروجان مخرب نباشند اما بسته به نوع کاربردي که شما براي آنها در نظر مي گيريد آنها را مي توان در رده بدافزارها قلمداد نمود ( يادداشت مترجم: Joke Programs برنامه هايي هستند که براي ترساندن و به نوعي شوخي با کاربران کامپيوتر استفاده مي گردند). بنابراين، نيت و مقصود شما از بکارگيري شما تعيين ميکند که يک نرم افزار خاص در رده بدافزارها قرار مي گيرد يا خير.
افزايش در فعاليت بدافزار وب
حتي قانوني ترين سايت ها مي توانند کانون گسترش آلودگي هاي بدافزار باشد، به عبارت ديگروب سايتي که شما به آن اطمينان داريد نيز مي توانيد منشائي باشد براي ورود بدافزار به سيستم شما. از محبوبترين وعمومي ترين سايت هاي شبکه تا محيط هاي مباحثه عمومي/ خصوصي، بلاگ ها و وب سايت ها، هر چيزي ديگر که شما تصور کنيد مي توانيد ميزبان و مامن مناسبي براي بدافزارهاي باشند.
جدول 1 از بولتن امنيتي کاسپراسکاي استخراج گرديده است ( آمار 2008)، اين جدول تعداد بدافزارهاي کشف شده در برخي از سايت هاي شبکه عمومي را نشان مي دهد. اين آمار با مقايسه تعداد برنامه هاي مخرب که از سايت هاي شبکه مختلف به کاربران حمله کرده اند، جمع آوري گرديده است ( جدول 1).
بطور مشابه، شکل 1، افزايش ناگهاني فعاليت بدافزار وب را در ارتباط با برخي از سايتهاي شبکه عمومي و مورد توجه کاربران، نشان مي دهد. اخيراً کشف شده است که سايت هاي شبکه مانند کنترل فرمان بتنت بکار مي رفتند.
(يادداشت مترجم: بتنت (Botnet) اصطلاح فني است که به مجموعه اي از دستورات نرم افزاري، يا ربات ها اطلاق مي شود که بطور خودکار عمل مي کنند. بتنت اغلب به آن دسته از نرم افزارها که به صورت بدافزار عمل مي کنند گفته مي شود، اما مي توان اين عبارت فني را براي شبکه اي از کامپيوترها که از نرم افزار پردازشي مشترک بين آنها استفاده مي کنند، بکار برد)
تقريباً انواع مشابه مکانيسم کنترل دستور بتنت در Tumbir & Jaiku تشخيص داده شده است. اين بتها با استفاده از RSS خود را به روز رساني مي کنند.
گوگل اذعان داشته است که يک درصد جستجوها حداقل داراي يک محتوي مخرب هستند و اين روند به نظر در حال رشد و افزايش مي باشد. از ميلياردها صفحه وبي که مورد بررسي قرار مي گيرد، بيش از 3 ميليون URLهاي يگانه روي 180000 وب سايت هاي بطور خودکار بدافزار را بدون آگاهي از محتوي و اعتبارشان، بر روي سيستم نصب مي نمايند.
در نمودارهايي که ارائه خواهد شد، برخي از آمار جالب توجه از شناسايي فعاليت بدافزار در وب ها را مشاهده خواهيد نمود. اين روند افزايشي توسط تيم امنيتي گوگل (Google Security Team) به ثبت رسيده است.
شکل 3 تعداد ورودي ها در ليست بدافزار مربوط به جستجوهاي ايمن گوگل را نشان مي دهد، به عبارت ديگر از اين نمودار استنباط مي شود که حتي امروزه جستجوهاي به ظاهر امن نيز از فعاليت هاي بدافزار بي نصيب نمانده اند. از اين نمودار کاملاً پيدا است که در چند سال اخير يک افزايش ثابت از وب هاي مرتبط با بدافزارها وجود داشته است. مقاله تحقيقاتي گوگل روي روند افزايشي فعاليت بدافزار وب، همانطور که توسط تيم امنيتي گوگل مشاهده شد، وقوع اين امر را ناشي از URL که در بخش مرجع اين مقاله به آن اشاره مي کنيم، ميدانيد.
با اطلاعات بدست آمده از آمارهاي بدافزار ماهيانه کاسپراسکاي، جدولي را تنظيم کرده ايم ( جدول شماره 2) که شما مي توانيد در آن بيست بدافزار وب برتر را با آلودگي هاي جديد و همچنين تعداد صفحات وب آلوده شده را مشاهده فرماييد.
بدافزار وب تبديل به بازي گر و عامل اصلي رشد تهديدهاي بدافزار شده است. بنابر اطلاعات بدست آمده از گزارش تهديدات ساليانه ScanSafe، با بررسي بر روي 200 ميليارد درخواست وب، آنها به اين نتيجه رسيدند که آلوده سازي بدافزار وب نسبت به 3 ماهه آخر سال 2008 افزايش چشمگيري داشته است، براي نمونه در سال گذشته افزايش 582 درصدي آلوده سازي بدافزار وب نسبت به سه ماهه آخر سال 2008 را شاهد بوديم.
محققان امنيتي AVG Technologies مشاهده کرده اند که تعداد وب سايت هاي آلوده شده جديد، رشد 66 درصدي داشته است، امروز ما شاهد اين هستيم که ميزان افزايش آلودگي وب سايت ها به بدافزار وب از 100000 به 200000 در روز که مربوط به سال هاي گذشته بوده به آلوده شدن 200000 تا 300000 در روز اين وب سايت ها تغيير يافته است و انتظار داريم اين روند افزايشي در روزهاي آينده هم پا برجا باشد.
از سال 2006، تعداد کدهاي مجاز بدافزار فروشندگان آنتي ويروس ها دو برابر شده است. اما با ايجاد گونه جديد، روش هاي جديدتر براي آلوده سازي و افزايش در تعداد نقاط توزيع، که عامل اصلي در معرض خطر قرار گرفتن وب سايت ها مي باشند، وضعيتي پديدار گشته است که فروشندگان آنتي ويروس ها اکنون دريافته اند ديگر به سادگي نمي توان از بروز چنين تهديدهايي جلوگيري کرد و آنها را مسدود نمود، بنابراين، پيآمد اين امر عدم آشکارسازي بدافزارها مي باشد. شرکت هاي آنتي ويروس که خيلي پيش از اين فعاليت داشتند بخش عظيمي از اين بدافزارها را با استفاده از کدهاي نوعي و اختصاصي مسدود مي کردند.
اما امروزه، عملاً غيرممکن است اين بدافزارها را با روش هاي قديمي مسدود نمود. آمار که جلوتر به آن اشاره خواهيم کرد مربوط به ( ژانويه- ژوئن 2009) مي شود اين آمار ضعف هاي برخي از موتورهاي آنتي ويروس هاي عمده را در آشکارسازي بدافزارها را نشان مي دهد و اين روند در ماههاي آخر افزايش چشمگيري داشته است.
بعد ازمحاسبه مقدار متوسط آهنگ آشکار سازي روزانه برخي از فروشندگان آنتي ويروس هاي عمده توسط Cyveillance، يک شرکت گردآورنده سيستم هاي هوشمند، مشخص شد هيچيک از اين آنتي ويروس ها قادر به شناسايي بيش از 50 درصد از بدافزارها نمي باشند. اگر بخواهيم پنج آنتي ويروس را بر اساس درصد موفقيتشان براي شناسايي بدافزارها رده بندي کنيم خواهيم داشت:
McAfee ( 44درصد)
Sophos (38درصد)
Dr.Web (36درصد)
Symantec(35درصد)
Trend Micro ( 34درصد)
AVG (31درصد)
F-Secure ( 28درصد)
ESET(27 درصد)
Sunbelt( 26درصد)
F-Port ( 23 درصد)
Norman( 23 درصد)
Kaspersky(18درصد)
VirusBuster(16 درصد)
آنها همچنين شبکه تمام 1206 شرکت را بررسي کردند. اين شبکه ها بوسيله انواع سيستم هاي امنيتي که توسط توليد کنندگان اين محصولات عرضه شده است، محافظت مي شدند و از اين تعداد 69/34درصد به درستي در برابر بدافزارها حفاظت مي شدند. اما با اين وجود آنها دريافتند 71/79درصد شبکه هاي اين شرکت ها به بدافزارها آلوده گشته اند.
منبع: بزرگراه رايانه، شماره ي 137 .
