بدافزارها

صفحه 1:
بدافزارها مظفر بگ محمدی 

صفحه 2:
بدافزارهای متحرک * برنامه های مخرب که بدون رضایت صاحب اکاربر اپراتور از یک ماشین به یک ماشین دیگر منتقل می شوند. - به روزرسانى خودكار ويندوز (از ‎Bled‏ عملکردی) رضایتی است. * كونه هاى مختلفى دارد: - ويروسها - كرمها - به روزرسانيهاى خودكار كه مورد تسخير قرار كرفته اند. © نیازی به کنش کاربر ثدارند و بسیار خطرناک هستند. 

صفحه 3:
نرم افزارهای مخرب Malicious programs 

صفحه 4:
(دوبهخفی ؟ 1۲00001۲ یک راه مخفی برای ورود به برنامه به کسانی که از این درب مخفی اطلاع دارند اجازه می دهد که از مراحل امنیتی مثل احراز هویت عبور کنند. توسعه دهندگان نرم افزار از این موضوع خیلی استفاده می کنند. یک تهدید است که می تواند مورد استفاده ی مهاجمین قرار گیرد. سیستم عامل به سختی می تواند مانع این تهدیدات شود. لازم است که توسعه ی نرم افزار و به روزرسانی آن به درستی انجام شود. 

صفحه 5:
* یکی از قدیمیترین گونه های نرم افزارهای مخرب کد مخرب در یک برنامه مفید جاسازی شده است. اگر شرایط برقرار باشد. فعال می گردد. < وجود یا عدم وجود بعضی فایلها > زمان یا تاريخ خاص " کاربر خاص < یک دنباله ی خاص از فشردن کلیدها * بعد از فعال شدن به سیستم آسیب می زند. - تغییراحذف فایلهاادیسکها 

صفحه 6:
برنامه ای که به نظر می رسد کار مشخصی انجام دهد اما در واقع کار دیگری انجام می دهد. - مثل به روزرسانی نرم افزار و بازی بعد از اجرا وظایف دیگری را نیز انجام می دهد. - به مهاجم اجازه می دهد تا به طور غیرمستقیم مجوزهایی به دست بیاورد که به صورت مستقیم نداشت. معمولاا برای نشر کرم‌اویروس و نصب درب مخفی استفاده می شود. یا حتی حذف و تخریب داده های کاربر 

صفحه 7:
زامبی و باتنت ° برنامه ای که از طریق شبکه و به صورت مخفی وارد یک کامپیوتر متصل به شبکه می شود. پس. از کامپیوترهای تسخیرشده استفاده می کند تا به صورت 2 باتنت به شبکه ای از کامپیوترهای تسخیر شده گفته می شود. * معمولا حمله ی 22205 به این صورت انجام می شود. از نقصهایی مشهود سامانه های تحت شبکه استفاده می کند. 

صفحه 8:
ویروسها تعریف طبق 10//2۶: ویروس کدی است که خودش را در یک میزبان. شامل سیستم عامل, جاسازی می کند تا منتشر شود. ویروس به صورت مستقل قابل اجرا نیست و به یک برنامه ی میزبان برای اجرا و فعال شدن نیاز دارد. هنگام اجرا - دنبال فایلهای هدف معتبر می گردد. * که معمولاً فایلهای اجرایی هستند. * اغلب فقط فایلهای سالم را آلوده می کند. - یک نسخه از ویروس را داخل فایل هدف قرار می دهد. * هنگام اجرای فایل هدف, ویروس نیز اجرا می شود. انتشار ویروس به این صورت است که از طریق انتقال فایل آلوده از یک ماشین به ماشین دیگر منتشر می شود. امروزه دفاع در برابر ویروسها راحت است. 

صفحه 9:
آمار رشد ویروسها Orus ‏اس‎ A 7 27 ¢ 1988 1990 1993 1999 1988: Lessthan oRnown-viruses 1990: New virusfoundevery day 1993: 10-30 new viruses per week 1999: 45 o0ovirusesandvariants 

صفحه 10:
عملکرد ویروس * فازها: 7 مقیم: منتظر یک رخداد فعال کننده است. < انتشار: از طریق برنامه ها و دیسکها تکثیر می شود. تحریک: رخدادی که باعث اجرای برنامه ی حامل می شود. - اجرا: اجرای برنامه ی حامل * جزییات وابسته به دستگاه و سیستم عامل است. 7 از خصوصیات و ضعفهای موجود سیستم استفاده می کند. 

صفحه 11:
تشریح یک ویروس * دو جزء اصلی: - مکانیسم انتشار - حامل * انتشار - روشى كه ويروس از طريق آن خود را تكثير مى كند. - قبلاً از طریق فلاپی دیسک و امروزه از طریق اینترنت و 

صفحه 12:
ساختار یک ویروس ۷1۳۷5 )( infectExecutable(); if (triggered()) { doDamage() ; / jump to main of infected program; } void infectExecutable() { file = choose an uninfected executable file; prepend V to file; void doDamage() { ... } int triggered() { return (some test? 1 : 0); } 

صفحه 13:
مثال: ویروس فشرده سازی لینک زیر را سینید: ‎http://computervirus.uw.hu/ch04levisec2.html‏ 

صفحه 14:
ماکرو ويروس معمولاً از فایلهای اجرایی مثل .۰6:6 ,6010 و .6 استفاده می کند. كدهاى ماكرو به فايلهاى داده متصل هستند. برنامه اى كه فايل داده اى را باز مى كند. مثل ورد و اكسلء ماكرو را اجرا مى کند. ماکروها کارهای مفیدی, مثل امور تکراری, انجام می دهند. این نوع کدها از پلتفرم مستقل هستند. مرز بین فایلهای برنامه و داده ای کمرنگ شده است. ماكرو یک:مضالجه بین اسبت:ورساد‌کی انتفاده نهد آمروزه برنامه هایی مثل ورد خیلی ایمن شده اند. 

صفحه 15:
انواع ویروسها ویروسهای سکتور سیستم سکتور کنترلی دیسک را آلوده می کند * سکتور راه اندازی 05 * سکتور 20910 ویروسهای سکتور سیستم به راحتی از طریق فلاپی و فلش منتقل می شوند. ویروسهای همراه > برای هر فایل 6*6 یک فایل 6010 درست می کند. - 205 فايل08» را قبلاز فايل»*» لجرا مىوكند پیدا کردن و حذف آن راحت است. ویروسهای کلاستر - اطلاعات فهرستهای 205 را طوری تغییر می دهد که نقطه ی شروع فهرست به جای برنامه ی واقعی, کد ویروس باشد. - اگر چه ممکن است تمام برنامه های روی دیسک آلوده باشند. در حقیقت فقط یک نسخه از کد وبروس روی اقا 18 ‎Sls‏ 

صفحه 16:
ویروسهای متغییر * ویروسهای چندربختی - بعد از آلوده کردن تغییر شکل می دهند. * قسمت اجرايى كد ويروس تغيير مى كند. * جريان كنترلى برنامه (از طريق 8060 ها) دارای جایشگتهای مختلفی است. * هدف‌ویروس قلکست خادن,اسکثر ‎dl‏ مروزه ابزارهای نوشتن ویروس وجود ذارند. 

صفحه 17:
تشخیص /فرار ویروس روش تشخیص آنتی ویروس روش فرار ویرو ۰ ۲ ۲ 5 ۲ ۲ جستجو برای تغییر در اندازه ی ‎BE‏ *فشرده سازی کد فایل و ویروس ۰ :مان و 5 چک کردن مهرهای زمانی فایل *دستکاری مهرهای زمانی و بازگرداندن ۰ ۱ ۱ آنها به حالت اولیه جستجو برای رفتارهای مخرب نها 4 ۰ *انجام رفتار مخرب به صضورت خائناله جستجوی الگوهای بایتی یکتا در کد ام هار از صور ویروس *تغییر الگوها- چندریختی *جستجوی تغییرات جمع کنترلی فایل ‏ ؟جابجایی داده ها در فایل "غير فعال كردن آنتى ويروس 

صفحه 18:
تشخیص ویروس * اسكن كردن - ما بايد اطلاعات قبلى راجع به ويروس داشته باشيم 7 کنترل برنامه قبل از اجرا - به روزرسانی مداوم * کنترل جامعیت دیسک 7 کل دیسک را می خوانیم و داده های جامعیت برای سکتورهای سیستم و فایلها که مثل امضا عمل می کنند را ضبط می کنیم. - به جای استفاده از جمع کنترلی ساده از تکنیکهای رمزنگاری استفاده می کنیم. 

صفحه 19:
تشخیص ویروس جلوگیری - نظارت بر روتینهای سطح سیستم که کارهای مخرب انجام می دهند. 7 برای تشخیص بمبهای منطقی و اسبهای تروجان خوب است. - نمی توان فقط به نظارت بر رفتار تکیه کرد زیرا به راحتی قابل دور زدن است. . 4 2 و ترکیب سه روش قبلی اکثر ویروسها را تشخیص می دهد. 

صفحه 20:
بازیابی جدا کردن ویروس از فایلهای آلوده و بازیابی فایلهای اصلی حذف ارجاعات به کد ویروس بازیابی فایل سالم از طریق نسخه ی پ حذف فایلهای آلوده 

صفحه 21:
اولین ویروسها برای ۵1/11/111)مرمم سال ۱۹۸۱ * در سال ۱۹۸۱ سه ویروس برای ماشینهای اپل نوشته شدند. 7 ویروس سکتور راه اندازی ۰ رب 3 ‎a Bo ay om‏ در آن زمان, فلاپیها به صورت پیش فرض شامل کدی به اسم ‎DOS‏ ‏5۱05۲۵ وا ه 00۲ 6156) بودند. 7 این ویروسها بدون هیچ گونه بدخواهی و خرابکاری نوشته شدند. 

صفحه 22:
5 2 اولین ویروس کامپیوترهای شخصی: ‎Pakistani Brain Virus (7986)‏ ° توسط برادران ۳۵65۲۵6 و برای حفاظت از حق کپی رایت آنها نوشته ‎wh‏ ‏- ادعا: فقط ماشینهایی را آلوده می کند که از نسخه بدون لایسنس استفاده می کشت - سکتور راه اندازی و مقیم در حافظه 7 پیغام چاپ شده: ‘Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTERSERVICES 730 NIZABBLOCK ALLAMAIQBALTOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS....Contact usfor Vaccination eos tt! 

صفحه 23:
ویروس مخرب: جرنوبیل ۱۹۹۸ * برای خرابکاری درست شد. * 8105 را آلوده می‌کرد و از طریق‌مادربورد باعشفرلب‌بللمی‌سخت لفزایها می‌شد - به علاوه 21 از اولین سکتورهای هر دیسک را تغییر می داد که معمولاً باعث از دست دادن داده ها و غیر قابل بوت شدن دیسک می شد. قبل از چرنوبیل باور عمومی این بود که خوش خیم بودن برای ادامه ی حیات ویروس ضروری است. 7 از چرنوبیل به عنوان شاهدی برای ابطال این باور یاد می شود. 

صفحه 24:
یک ویروس ماکرو اولیه: رو وو) 1۷۵)1550 ملیسا یک ویروس ماکرو برای ورد ۲۰۰۷ است. ‎2١ *‏ آدرس نخستین برنامه 0066006 را هدف قرار می داد. ‏9 موضوع نامة: “111655005170111 :0111 :11012011 ‏به يك ضميمه اشاره مى كرد كه يك سند درخواستى بود. " شامل لیستی از سایتهای غیراخلاقی بعد از ملیسا امنیت ماکروها خیلی افزايش یافت. 

صفحه 25:
کرمها * یک کد خودکار و فعال که خود را بدون هیچ گونه تحریک در کامپیوترهای راه دور تکثیر مي کند. - تکثیر می شود اما برنامه ها را آلوده نمی کند. ‎ame ۹ 2: ۰‏ ۳ آ 4( به خاطر این که به طور خودکار منتشر می شود. شیوع آن از ویروس خیلی ‏* سرعت شیوع و عدم نیاز به تعامل کاربر. کرمها را به مهمترین تهدید تبدیل کرده است. 

صفحه 26:


صفحه 27:


صفحه 28:
لیست خارجی اهداف: کرمهای متاسرور * اکثر سامانه ها از یک متاسرور برای تولید اطلاعات راجع به بقیه ی سرورها استفاده می کنند. etaserve بازيها: متاسروراطلاعات سرورهای محلی را درد گوگل: می توان از طریق گوگل وب سرورها را پیدا کرد. 7 اکتیو دایرکتوری ویندوز: از لیست همسایگیهای شبکه ای نگهداری می کند. ‎dad ۰‏ ات هط کرمها از خدمات فوق بهره برداری می کنند. يك يرس و جو درست مى كنند تا ليست سرورها را به دست بياورند. ‏هر قربانى جديد نيز دوباره ليست خود را مى سازد. ‏از راهبرد تقسیم و پیشروی برای شیوع استفاده می کند. 

صفحه 29:
کرمهای متاسرور جقدر سربع هستند؟ * متاسرور بازیها: چون جمعیت آنها کم است در کمتر از یک دقیقه همه ی اهداف آلوده هی نوی * گوگل: از گوگل برای سرعت بخشیدن به فرآیند اسکن کردن کرم استفاده می شود. — Op Orveleration — Ortasewer Orveleratios ‘wr (Inure) 00% را 

صفحه 30:
ليست داخلی اهداف: اطلاعات توپولوژیکی ؟ از اطلاعات محلی برای پیدا کردن هدف جدید استفاده می کند. 7 1186 هایرو‌دیسکو دلخل‌حافظه ی نهان > آدرسهای پست الکترونیکی اس ‎ssh/Rnown_fhosts. -‏ 5-. 5ت * کرمهای ایمیلی در پیدا كردن اهداف جديد حريص تر هستند. ° کرم موریس (۱۹۸۸) ‏- فضاى آدرس خيلى يراكنده است. لذا راهبرد اسكن جامع جواب نمى دهد. 

صفحه 31:
= 53 3 مه 9 کرمهای توپولوژیکی چقدر سربع هستند؟ © به توپولوژی (۷,۶)< 6 وابسته است. - ماشینها روی رئوس قرار دارد. یلها نیز اطلاعات محلی 7 زمان آلودگی تابعی از کوتاهترین مسیر نسبت به نقطه ی شروع الودگی است. 5 در گرافهای 92۷ ۳0۱۷۵۷ و یا گرافهای مشابه: - وابستكى زيادى به يارامترها داردلما معمولاً خیلی سریع 

صفحه 32:
کرمهای منفعل * منتظر اطلاعات بقیه ی اهداف می مانند. ؟ به عنوان مثال. 6۲6۲6۵ که یک کرم ضد 60060411 است. منتظر حمله ى 0008411 مى ماند و با ضدحمله كرم 0040618411 را حذف و خودش را روى ماشين نصب مى كند. * .سرغت خیلی متغییر است و به ترافیک ارتباطی وابسته است. * کاملاً مخفی عمل می کند. - منتظر است که آلودگی را کشف کند و خودش اهداف را انتخاب نمی کند. 

صفحه 33:
rn ‏زر‎ * توسط خودش حمل می شود: ۶ به عنوان قسمتی از فر آیند سرایت خودش را نیز منتقل می کند. * کانال دوم: * مثلاً. کرم بلاستر از ‎RPO‏ برای آسیب زدن بهره می گیرد. ولی از ۳0۳۴ برای دانلود کامل بدنه ی کرم استفاده می کند. 

صفحه 34:
‎fg‏ و 

صفحه 35:
فعال سازی فعال سازی توسط انسان به مهندسی اجتماعی دلرد (به خصوص کرمهای ایمیلی) "Attachedisanimportant message for you" Liles * "tloveyou:Open this message toseewholoves you * مبتنی بر فعالیت های کاربر - مثل لاگین کردن. راه اندازی مجدد دستگاه (مورد استفاده ی نیمدا) فعال سازی زمانبندی شده مثل به روزرسانی, پشتیبان گیری و فعال سازی سرخود - به عنوان مثال 048۲ از وب سرورهای 115 استفاده می کند. 

صفحه 36:


صفحه 37:
بدنه بدون بدنه > اکثر کرمها از این دسته هستند. البته هنوز ميزان اسيب زياد است زيرا مثل كرم موريس ترافیک و بار دستگاه را كنترل از راه دور توسط اينترنت 7 60661860411 ی کدربم خفیرویماشیرقربانیب از مىكرد كه از طريقيكمروركر مىشد هر كدىرا لجرا كرد. منع سرویس (005) از طریق اینترنت Vaha ,CodeRed jn - ah egl ee آسیب رساندن به داده ‎Klez 5 Chernobylile‏ نگهداری از کرم 

صفحه 38:


صفحه 39:
کرمهای معروف Other Notes First major autonomous worm. Attackedmultiple vulnerabilities. First recent fast worm, 2™* waveinfected 360,000 serversin ag hours “Unreleased Anti-Code-Red ‘worm. Local subnet scanning. Effective mix of techniques Released 10 days after vulnerability revealed Spreadworldwidein sominutes ‘Victims 6000 ~300,000 none ~200,000 <10,000 >75,000 Strategy Topological Scanning Passive Scanning IIS,Code Red 2 backdoor, etc Scanning Scanning Year 1988 2001 2001 2001 2002 2003 Morris CodeRed CRClean Nimda Scatper Slammer 

صفحه 40:
Sapphire/SCammer ٩۵۶ ‏آلودگی کرم‎ 

صفحه 41:
۲ حقدر سبيجلسكٌ در ۱۰ دقیقه ۷۵۰۰۰ ماشین را 05 01200000000 ‎ie‏ آلوده کرد. ‎caning Conmoctons To the WAL Te‏ در سه دقیقه اسکن کامل انجام می . دهد. 0 7 در هر انیه ۵۵ میلیون ادرس 7 * هر ۸۵ ثانیه دوبرابر می شود. - در کمثر از یک دقیقه تمام سازمان را آلوده می کند. 3 Minutes After the Intal outbroake 

صفحه 42:
$099 @ yw Sapphire I> * اسکنر 6046164 دارای محدودیت تاخیر بود. ۷ به یک آدرس ت ادفی و انتظار بیلی جواب و یا ‎CodeRed -‏ هر شانیه شش سکولنجام می‌دهد ‏* جمعيت كرمها بعد از هر ؟ دقيقه دو برابر مى شود ‏* اما »#:6مريرهه بسته هاى آلوده را با حداكثر نرخ ممكن مى فرستد. ‎ ‎ ‎ ‎ ‎Ea ‎=_ ‏اگر پهنای باند 00346۳05 باشد. ۲۸۰۰۰۰ اسکن در ثائیه انجام می دهد.‎ ‏- 9930 هارا بانرخ خطمی‌فرستد لما 96 هارا در یکنخ جدلگانه می‌گیرد. ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 43:
امتحان ميان قرم ۴ چهارشنبه ۳/۳/۹۶ ساعت ۱۰ 

بدافزارها مظفر بگ محمدی بدافزارهای متحرک • برنامه های مخرب که بدون رضایت صاحب/کاربر/اپراتور از یک ماشین به یک ماشین دیگر منتقل می شوند. – به روزرسانی خودکار ویندوز (از لحاظ عملکردی) رضایتی است. • گونه های مختلفی دارد: – ویروسها – کرمها – به روزرسانیهای خودکار که مورد تسخیر قرار گرفته اند. • نیازی به کنش کاربر ندارند و بسیار خطرناک هستند. نرم افزارهای مخرب خفیTrapdoors )دربم ( • یک راه مخفی برای ورود به برنامه • به کسانی که از این درب مخفی اطالع دارند اجازه می دهد که از مراحل امنیتی مثل احراز هویت عبور کنند. • توسعه دهندگان نرم افزار از این موضوع خیلی استفاده می کنند. • یک تهدید است که می تواند مورد استفاده ی مهاجمین قرار گیرد. • سیستم عامل به سختی می تواند مانع این تهدیدات شود. • الزم است که توسعه ی نرم افزار و به روزرسانی آن به درستی انجام شود. بمب منطقی • یکی از قدیمیترین گونه های نرم افزارهای مخرب • کد مخرب در یک برنامه مفید جاسازی شده است. • اگر شرایط برقرار باشد ،فعال می گردد. – وجود یا عدم وجود بعضی فایلها – زمان یا تاریخ خاص – کاربر خاص – یک دنباله ی خاص از فشردن کلیدها • بعد از فعال شدن به سیستم آسیب می زند. – تغییر/حذف فایلها/دیسکها اسب تروجان • برنامه ای که به نظر می رسد کار مشخصی انجام دهد اما در واقع کار دیگری انجام می دهد. – مثل به روزرسانی نرم افزار و بازی • بعد از اجرا وظایف دیگری را نیز انجام می دهد. – به مهاجم اجازه می دهد تا به طور غیرمستقیم مجوزهایی به دست بیاورد که به صورت مستقیم نداشت. • معموالً برای نشر کرم/ویروس و نصب درب مخفی استفاده می شود. • یا حتی حذف و تخریب داده های کاربر زامبی و باتنت • برنامه ای که از طریق شبکه و به صورت مخفی وارد یک کامپیوتر متصل به شبکه می شود. • سپس ،از کامپیوترهای تسخیرشده استفاده می کند تا به صورت غیر مستقیم به یک جای دیگر حمله کنند. • باتنت به شبکه ای از کامپیوترهای تسخیر شده گفته می شود. • معموالً ،حمله ی DDoSبه این صورت انجام می شود. • از نقصهایی مشهود سامانه های تحت شبکه استفاده می کند. ویروسها • تعریف طبق :RFC1135ویروس کدی است که خودش را در یک میزبان ،شامل سیستم عامل ،جاسازی می کند تا منتشر شود. ویروس به صورت مستقل قابل اجرا نیست و به یک برنامه ی میزبان برای اجرا و فعال شدن نیاز دارد. • هنگام اجرا – دنبال فایلهای هدف معتبر می گردد. • که معموال ً فایلهای اجرایی هستند. • اغلب فقط فایلهای سالم را آلوده می کند. – یک نسخه از ویروس را داخل فایل هدف قرار می دهد. • هنگام اجرای فایل هدف ،ویروس Jنیز اجرا می شود. • انتشار ویروس به این صورت است که از طریق انتقال فایل آلوده از یک ماشین به ماشین دیگر منتشر می شود. • امروزه دفاع در برابر ویروسها راحت است. آمار رشد ویروسها Vi ru s Gro wt h 60000 50000 40000 30000 20000 10000 0 1988 1990 1993 • 1988: Less than 10 known viruses • 1993: 10-30 new viruses per week • • 1990: New virus found every day 1999: 45,000 viruses and variants 1999 عملکرد ویروس • فازها: – مقیم :منتظر یک رخداد فعال کننده است. – انتشار :از طریق برنامه ها و دیسکها تکثیر می شود. – تحریک :رخدادی که باعث اجرای برنامه ی حامل می شود. – اجرا :اجرای برنامه ی حامل • جزییات وابسته به دستگاه و سیستم عامل است. – از خصوصیات و ضعفهای موجود سیستم استفاده می کند. تشریح یک ویروس • دو جزء اصلی: – مکانیسم انتشار – حامل • انتشار – روشی که ویروس از طریق آن خود را تکثیر می کند. – قبال ً از طریق فالپی دیسک و امروزه از طریق اینترنت و فلش تکثیر می شود. ساختار یک ویروس Virus() { infectExecutable(); if (triggered()) { doDamage(); } jump to main of infected program; } void infectExecutable() { file = choose an uninfected executable file; prepend V to file; } void doDamage() { ... } int triggered() { return (some test? 1 : 0); } مثال :ویروس فشرده سازی ماکرو • ویروس معموالً از فایلهای اجرایی مثل com, .exe.و bat.استفاده می کند. • کدهای ماکرو به فایلهای داده متصل هستند. • برنامه ای که فایل داده ای را باز می کند ،مثل ورد و اکسل ،ماکرو را اجرا می کند .ماکروها کارهای مفیدی ،مثل امور تکراری ،انجام می دهند. • این نوع کدها از پلتفرم مستقل هستند. • مرز بین فایلهای برنامه و داده ای کمرنگ شده است. • ماکرو یک مصالحه بین امنیت و سادگی استفاده است. • امروزه برنامه هایی مثل ورد خیلی ایمن شده اند. • ویروسهای سکتور سیستم انواع ویروسها – سکتور کنترلی دیسک را آلوده می کند • سکتور راه اندازی DOS • سکتور MBR – ویروسهای سکتور سیستم به راحتی از طریق فالپی و فلش منتقل می شوند. • ویروسهای همراه – برای هر فایل exeیک فایل comدرست می کند. – DOSفddایdل comرا قddبلاز فddایdل exeاdجرا مdیکddند. – پیدا کردن و حذف آن راحت است. • ویروسهای کالستر – اطالعات فهرستهای DOSرا dطوری تغییر می دهد که نقطه ی شروع فهرست به جای برنامه ی واقعی ،کد ویروس باشد. – اگر چه ممکن است تمام برنامه های روی دیسک آلوده باشند ،در حقیقت فقط یک نسخه از کد ویروس روی دیسک قرار دارد. ویروسهای متغییر • ویروسهای چندریختی – بعد از آلوده کردن تغییر شکل می دهند. • قسمت اجرایی کد ویروس تغییر می کند. • جریان کنترلی برنامه (از طریق gotoها) دارای جایشگتهای مختلفی است. – هدف ویروس شکست دادن اسکنر است. • امروزه ابزارهای نوشتن ویروس وجود دارند. تشخیص/فرار ویروس روش تشخیص آنتی ویروس •جستجو برای تغییر در اندازه ی فایل •چک کردن مهرهای زمانی فایل •جستجو برای رفتارهای مخرب •جستجوی الگوهای بایتی یکتا در کد ویروس •جستجوی تغییرات جمع کنترلی فایل روش فرار ویروس •فشرده سازی کد فایل و ویروس •دستکاری مهرهای زمانی و بازگرداندن آنها به حالت اولیه •انجام رفتار مخرب به صورت خائنانه •تغییر الگوها -چندریختی •جابجایی داده ها در فایل •غیر فعال کردن آنتی ویروس • اسکن کردن تشخیص ویروس – ما باید اطالعات قبلی راجع به ویروس داشته باشیم – کنترل برنامه قبل از اجرا – به روزرسانی مداوم • کنترل جامعیت دیسک – کل دیسک را می خوانیم و داده های جامعیت برای سکتورهای سیستم و فایلها که مثل امضا عمل می کنند را ضبط می کنیم. – به جای استفاده از جمع کنترلی ساده از تکنیکهای رمزنگاری استفاده می کنیم. • جلوگیری تشخیص ویروس – نظارت بر روتینهای سطح سیستم که کارهای مخرب انجام می دهند. – برای تشخیص بمبهای منطقی و اسبهای تروجان خوب است. – نمی توان فقط به نظارت بر رفتار تکیه کرد زیرا به راحتی قابل دور زدن است. • ترکیب سه روش قبلی اکثر ویروسها را تشخیص می دهد. بازیابی • جدا کردن ویروس از فایلهای آلوده و بازیابی فایلهای اصلی • حذف ارجاعات به کد ویروس • بازیابی فایل سالم از طریق نسخه ی پشتیبان • حذف فایلهای آلوده اولین ویروسها برای Apple I/II/IIIسال 1981 • در سال 1981سه ویروس برای ماشینهای اپل نوشته شدند. – ویروس سکتور راه اندازی • در آن زمان ،فالپیها به صورت پیش فرض شامل کدی به اسم DOS ) (disk operating systemبودند. – این ویروسها بدون هیچ گونه بدخواهی و خرابکاری نوشته شدند. :اولین ویروس کامپیوترهای شخصی Pakistani Brain Virus (1986) و برای حفاظت از حق کپی رایت آنها نوشتهPakistani • توسط برادران .شد فقط ماشینهایی را آلوده می کند که از نسخه بدون الیسنس استفاده می:– ادعا .کنند – سکتور راه اندازی و مقیم در حافظه :– پیغام چاپ شده “Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination ............. !!" ویروس مخرب :چرنوبیل 1998 • برای خرابکاری درست شد. • BIOSرا آdلودdه dمdیکddرد و از طdریdقمdادرdبورد بddاعdثخdراdبdیداdئdمیسddخت اdفزارdها مdیش dد. – به عالوه 2Kاز اولین سکتورهای هر دیسک را تغییر می داد که معموالً باعث از دست دادن داده ها و غیر قابل بوت شدن دیسک می شد. • قبل از چرنوبیل باور عمومی این بود که خوش خیم بودن برای ادامه ی حیات ویروس ضروری است. – از چرنوبیل به عنوان شاهدی برای ابطال این باور یاد می شود. یک ویروس ماکرو اولیهMelissa (1999) : • ملیسا یک ویروس ماکرو برای ورد 2007است. • 50آدرس نخستین برنامه outlookرا هدف قرار می داد. • موضوع نامه”______ Important messages from“ : • به یک ضمیمه اشاره می کرد که یک سند درخواستی بود. – شامل لیستی از سایتهای غیراخالقی • بعد از ملیسا امنیت ماکروها خیلی افزایش یافت. کرمها • یک کد خودکار و فعال که خود را بدون هیچ گونه تحریک در کامپیوترهای راه دور تکثیر می کند. – تکثیر می شود اما برنامه ها را آلوده نمی کند. • به خاطر این که به طور خودکار منتشر می شود ،شیوع آن از ویروس خیلی سریعتر است. • سرعت شیوع و عدم نیاز به تعامل کاربر ،کرمها را به مهمترین تهدید تبدیل کرده است. مرور کرم + Target Discovery Activation Attacker Payload Carrier کشف هدف •اسکن کردن پورتها •ترتیبی :با استفاده از یک کتابچه آدرسها • تصادفی •لیست اهداف •تولید لیست خارجی توسط متاسرورها •لیست داخلی اهداف •کرمهای منفعل لیست خارجی اهداف :کرمهای متاسرور • اکثر سامانه ها از یک متاسرور برای تولید اطالعات راجع به بقیه ی سرورها استفاده می کنند. – بازیها :متاسرور اطالعات سرورهای محلی را دارد. – گوگل :می توان از طریق گوگل وب سرورها را پیدا کرد. – اکتیو دایرکتوری ویندوز :از لیست همسایگیهای شبکه ای نگهداری می کند. • کرمها از خدمات فوق بهره برداری می کنند. – یک پرس و جو درست می کنند تا لیست سرورها را به دست بیاورند. – هر قربانی جدید نیز دوباره لیست خود را می سازد. • از راهبرد تقسیم و پیشروی برای شیوع استفاده می کند. ‏Metaserver ‏Server ‏Server ‏Server ‏Server ‏Server ‏Server ‏Server ‏Server کرمهای متاسرور چقدر سریع هستند؟ • متاسرور بازیها :چون جمعیت آنها کم است در کمتر از یک دقیقه همه ی اهداف آلوده می شوند. • گوگل :از گوگل برای سرعت بخشیدن به فرآیند اسکن کردن کرم استفاده می شود. 100% ‏No Ac ce le ra t io n ‏Me t a se rve r Acce le ra t i o n 60% 40% 20% 0% 6 5 4 3 )Ti me (Ho u rs 2 1 0 ‏Percen t In fect ed 80% لیست داخلی اهداف :اطالعات توپولوژیکی • از اطالعات محلی برای پیدا کردن هدف جدید استفاده می کند. – URLهایروdیدdیdسکو داdخdلحdافdظه ی نddهdان – آدرسهای پست الکترونیکی – ssh/known_hosts. • کرمهای ایمیلی در پیدا کردن اهداف جدید حریص تر هستند. • کرم موریس ()1988 – فضای آدرس خیلی پراکنده است ،لذا راهبرد اسکن جامع جواب نمی دهد. کرمهای توپولوژیکی چقدر سریع هستند؟ • به توپولوژی ) G = (V, Eوابسته است. – ماشینها روی رئوس قرار دارند .یالها نیز اطالعات محلی هستند. – زمان آلودگی تابعی از کوتاهترین مسیر نسبت به نقطه ی شروع الودگی است. • در گرافهای Power lawو یا گرافهای مشابه: – وابستگی زیادی به پارامترها دارد اdما معموالً خیلی سریع است. کرمهای منفعل • منتظر اطالعات بقیه ی اهداف می مانند. • به عنوان مثال Crclean ،که یک کرم ضد CodeRed IIاست ،منتظر حمله ی CodeRed IIمی ماند و با ضدحمله کرم CodeRed IIرا حذف و خودش را روی ماشین نصب می کند. • سرعت خیلی متغییر است و به ترافیک ارتباطی وابسته است. • کام ً ال مخفی عمل می کند. – منتظر است که آلودگی را کشف کند و خودش اهداف را انتخاب نمی کند. حامل • توسط خودش حمل می شود: • به عنوان قسمتی از فرآیند سرایت خودش را نیز منتقل می کند. • کانال دوم: • مثالً ،کرم بالستر از RPCبرای آسیب زدن بهره می گیرد .ولی از TFTPبرای دانلود کامل بدنه ی کرم استفاده می کند. فعال سازی • فعال سازی توسط انسان فعال سازی – نیاز به مهندسی اجتماعی داdرد (به خصوص کرمهای ایمیلی) • ملیسا”!Attached is an important message for you“ : • ”!Iloveyou : “Open this message to see who loves you • مبتنی بر فعالیت های کاربر – مثل الگین کردن ،راه اندازی مجدد دستگاه (مورد استفاده ی نیمدا) • فعال سازی زمانبندی شده – مثل به روزرسانی ،پشتیبان گیری و ... • فعال سازی سرخود – به عنوان مثال code redاز وب سرورهای IISاستفاده می کند. بدنه • بدون بدنه بدنه – اکثر کرمها از این دسته هستند. – البته هنوز میزان اسیب زیاد است زیرا مثل کرم موریس ترافیک و بار دستگاه را افزایش می دهد. • کنترل از راه دور توسط اینترنت – Code Red IIیddکدرdبمdخفیروdیمdاشdینقddربانdیبddاز مdیکddرد کddه از طdریdقیddکمdرورdگر مdیشddد هر کddدیرا اdجرا کddرد. • منع سرویس ( )DOSاز طریق اینترنت – مثل Code Redو Yaha • جمع آوری داده • آسیب رساندن به داده ها Chernobyl:و Klez • نگهداری از کرم مهاجم •کنجکاوی •افتخار و قدرت •مزیت تجاری adware :و اسپم •اخاذی :باج گیرها •Spyware •جنگ سایبری کرمهای معروف Worm Year 1988 Strategy Topological Victims Other Notes Code Red 2001 Scanning ~300,000 CRClean 2001 Passive none First recent "fast" worm, 2nd wave infected 360,000 servers in 14 hours 2001 Scanning IIS, Code Red 2 backdoor, etc ~200,000 Scalper 2002 Scanning <10,000 Scanning >75,000 Morris Nimda Slammer 2003 6000 First major autonomous worm. Attacked multiple vulnerabilities. Unreleased Anti-Code-Red worm. Local subnet scanning. Effective mix of techniques Released 10 days after vulnerability revealed Spread worldwide in 10 minutes Sapphire/Slammer SQL آلودگی کرم است Slammerچقدر س ریع ؟ • در 10دقیقه 75000ماشین را آلوده کرد. • در سه دقیقه اسکن کامل انجام می دهد. – در هر ثانیه 55میلیون ادرس IP • هر 8.5ثانیه دوبرابر می شود. – در کمتر از یک دقیقه تمام سازمان را آلوده می کند. چرا Sapphireسریع بود؟ • اسکنر Code Redدارای محدودیت تاخیر بود. – چندنخی :فرستادن SYNبه یک آدرس تصادفی و انتظار براdی جواب و یا پایان مهلت زمانی ‏dکنdنdجام مdیدdهد. شddشdس ا ا – Code Redدر هر ثddانdیه • جمعیت کرمها بعد از هر 40دقیقه دو برابر می شود. • اما sapphireبسته های آلوده را با حداکثر نرخ ممکن می فرستد. – اگر پهنای باند 100Mbpsباشد 280000 ،اسکن در ثانیه انجام می دهد. – SYNها را بddا نddرخ خdط مdیفddرسdتد ،اdما ACKها را در یddکنddخ جdداdگانdه مdیگddیرد. امتحان میان ترم • چهارشنبه 3/3/96ساعت 10