بدافزارها

بدافزارها

اسلاید 1: بدافزارهامظفر بگ محمدی

اسلاید 2: بدافزارهای متحرکبرنامه های مخرب که بدون رضایت صاحب/کاربر/اپراتور از یک ماشین به یک ماشین دیگر منتقل می شوند. به روزرسانی خودکار ویندوز (از لحاظ عملکردی) رضایتی است. گونه های مختلفی دارد:ویروسهاکرمهابه روزرسانیهای خودکار که مورد تسخیر قرار گرفته اند.نیازی به کنش کاربر ندارند و بسیار خطرناک هستند.

اسلاید 3: نرم افزارهای مخرب

اسلاید 4: Trapdoors (درب مخفی)یک راه مخفی برای ورود به برنامهبه کسانی که از این درب مخفی اطلاع دارند اجازه می دهد که از مراحل امنیتی مثل احراز هویت عبور کنند. توسعه دهندگان نرم افزار از این موضوع خیلی استفاده می کنند. یک تهدید است که می تواند مورد استفاده ی مهاجمین قرار گیرد. سیستم عامل به سختی می تواند مانع این تهدیدات شود. لازم است که توسعه ی نرم افزار و به روزرسانی آن به درستی انجام شود.

اسلاید 5: بمب منطقییکی از قدیمیترین گونه های نرم افزارهای مخربکد مخرب در یک برنامه مفید جاسازی شده است. اگر شرایط برقرار باشد، فعال می گردد. وجود یا عدم وجود بعضی فایلهازمان یا تاریخ خاصکاربر خاصیک دنباله ی خاص از فشردن کلیدهابعد از فعال شدن به سیستم آسیب می زند. تغییر/حذف فایلها/دیسکها

اسلاید 6: اسب تروجانبرنامه ای که به نظر می رسد کار مشخصی انجام دهد اما در واقع کار دیگری انجام می دهد. مثل به روزرسانی نرم افزار و بازیبعد از اجرا وظایف دیگری را نیز انجام می دهد. به مهاجم اجازه می دهد تا به طور غیرمستقیم مجوزهایی به دست بیاورد که به صورت مستقیم نداشت. معمولاً برای نشر کرم/ویروس و نصب درب مخفی استفاده می شود. یا حتی حذف و تخریب داده های کاربر

اسلاید 7: زامبی و باتنتبرنامه ای که از طریق شبکه و به صورت مخفی وارد یک کامپیوتر متصل به شبکه می شود. سپس، از کامپیوترهای تسخیرشده استفاده می کند تا به صورت غیر مستقیم به یک جای دیگر حمله کنند. باتنت به شبکه ای از کامپیوترهای تسخیر شده گفته می شود. معمولاً، حمله ی DDoS به این صورت انجام می شود. از نقصهایی مشهود سامانه های تحت شبکه استفاده می کند.

اسلاید 8: ویروسهاتعریف طبق RFC1135: ویروس کدی است که خودش را در یک میزبان، شامل سیستم عامل، جاسازی می کند تا منتشر شود. ویروس به صورت مستقل قابل اجرا نیست و به یک برنامه ی میزبان برای اجرا و فعال شدن نیاز دارد. هنگام اجرادنبال فایلهای هدف معتبر می گردد. که معمولاً فایلهای اجرایی هستند.اغلب فقط فایلهای سالم را آلوده می کند. یک نسخه از ویروس را داخل فایل هدف قرار می دهد. هنگام اجرای فایل هدف، ویروس نیز اجرا می شود. انتشار ویروس به این صورت است که از طریق انتقال فایل آلوده از یک ماشین به ماشین دیگر منتشر می شود. امروزه دفاع در برابر ویروسها راحت است.

اسلاید 9: آمار رشد ویروسها1988: Less than 10 known viruses1990: New virus found every day1993: 10-30 new viruses per week1999: 45,000 viruses and variants

اسلاید 10: عملکرد ویروسفازها: مقیم: منتظر یک رخداد فعال کننده است. انتشار: از طریق برنامه ها و دیسکها تکثیر می شود. تحریک: رخدادی که باعث اجرای برنامه ی حامل می شود. اجرا: اجرای برنامه ی حامل جزییات وابسته به دستگاه و سیستم عامل است. از خصوصیات و ضعفهای موجود سیستم استفاده می کند.

اسلاید 11: تشریح یک ویروسدو جزء اصلی: مکانیسم انتشارحاملانتشارروشی که ویروس از طریق آن خود را تکثیر می کند. قبلاً از طریق فلاپی دیسک و امروزه از طریق اینترنت و فلش تکثیر می شود.

اسلاید 12: ساختار یک ویروسVirus() { infectExecutable(); if (triggered()) { doDamage(); } jump to main of infected program;}void infectExecutable() { file = choose an uninfected executable file; prepend V to file; }void doDamage() { ... }int triggered() { return (some test? 1 : 0); }

اسلاید 13: مثال: ویروس فشرده سازی

اسلاید 14: ماکروویروس معمولاً از فایلهای اجرایی مثل .com, .exe و .bat استفاده می کند.کدهای ماکرو به فایلهای داده متصل هستند. برنامه ای که فایل داده ای را باز می کند، مثل ورد و اکسل، ماکرو را اجرا می کند. ماکروها کارهای مفیدی، مثل امور تکراری، انجام می دهند. این نوع کدها از پلتفرم مستقل هستند. مرز بین فایلهای برنامه و داده ای کمرنگ شده است. ماکرو یک مصالحه بین امنیت و سادگی استفاده است. امروزه برنامه هایی مثل ورد خیلی ایمن شده اند.

اسلاید 15: انواع ویروسهاویروسهای سکتور سیستمسکتور کنترلی دیسک را آلوده می کندسکتور راه اندازی DOSسکتور MBRویروسهای سکتور سیستم به راحتی از طریق فلاپی و فلش منتقل می شوند. ویروسهای همراهبرای هر فایل exe یک فایل com درست می کند. DOS فایل com را قبل از فایل exe اجرا می کند. پیدا کردن و حذف آن راحت است. ویروسهای کلاستراطلاعات فهرستهای DOS را طوری تغییر می دهد که نقطه ی شروع فهرست به جای برنامه ی واقعی، کد ویروس باشد. اگر چه ممکن است تمام برنامه های روی دیسک آلوده باشند، در حقیقت فقط یک نسخه از کد ویروس روی دیسک قرار دارد.

اسلاید 16: ویروسهای متغییرویروسهای چندریختیبعد از آلوده کردن تغییر شکل می دهند. قسمت اجرایی کد ویروس تغییر می کند. جریان کنترلی برنامه (از طریق goto ها) دارای جایشگتهای مختلفی است. هدف ویروس شکست دادن اسکنر است.امروزه ابزارهای نوشتن ویروس وجود دارند.

اسلاید 17: تشخیص/فرار ویروسروش تشخیص آنتی ویروسجستجو برای تغییر در اندازه ی فایلچک کردن مهرهای زمانی فایلجستجو برای رفتارهای مخربجستجوی الگوهای بایتی یکتا در کد ویروسجستجوی تغییرات جمع کنترلی فایلروش فرار ویروسفشرده سازی کد فایل و ویروسدستکاری مهرهای زمانی و بازگرداندن آنها به حالت اولیهانجام رفتار مخرب به صورت خائنانهتغییر الگوها- چندریختیجابجایی داده ها در فایلغیر فعال کردن آنتی ویروس

اسلاید 18: تشخیص ویروساسکن کردنما باید اطلاعات قبلی راجع به ویروس داشته باشیمکنترل برنامه قبل از اجرابه روزرسانی مداومکنترل جامعیت دیسککل دیسک را می خوانیم و داده های جامعیت برای سکتورهای سیستم و فایلها که مثل امضا عمل می کنند را ضبط می کنیم. به جای استفاده از جمع کنترلی ساده از تکنیکهای رمزنگاری استفاده می کنیم.

اسلاید 19: تشخیص ویروسجلوگیرینظارت بر روتینهای سطح سیستم که کارهای مخرب انجام می دهند. برای تشخیص بمبهای منطقی و اسبهای تروجان خوب است. نمی توان فقط به نظارت بر رفتار تکیه کرد زیرا به راحتی قابل دور زدن است. ترکیب سه روش قبلی اکثر ویروسها را تشخیص می دهد.

اسلاید 20: بازیابی جدا کردن ویروس از فایلهای آلوده و بازیابی فایلهای اصلیحذف ارجاعات به کد ویروس بازیابی فایل سالم از طریق نسخه ی پشتیبان حذف فایلهای آلوده

اسلاید 21: اولین ویروسها برای Apple I/II/III سال 1981در سال 1981 سه ویروس برای ماشینهای اپل نوشته شدند. ویروس سکتور راه اندازیدر آن زمان، فلاپیها به صورت پیش فرض شامل کدی به اسم DOS (disk operating system) بودند. این ویروسها بدون هیچ گونه بدخواهی و خرابکاری نوشته شدند.

اسلاید 22: اولین ویروس کامپیوترهای شخصی: Pakistani Brain Virus (1986)توسط برادران Pakistani و برای حفاظت از حق کپی رایت آنها نوشته شد. ادعا: فقط ماشینهایی را آلوده می کند که از نسخه بدون لایسنس استفاده می کنند.سکتور راه اندازی و مقیم در حافظه پیغام چاپ شده: “Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination ............. !!

اسلاید 23: ویروس مخرب: چرنوبیل 1998برای خرابکاری درست شد. BIOS را آلوده می کرد و از طریق مادربورد باعث خرابی دائمی سخت افزارها می شد. به علاوه 2K از اولین سکتورهای هر دیسک را تغییر می داد که معمولاً باعث از دست دادن داده ها و غیر قابل بوت شدن دیسک می شد. قبل از چرنوبیل باور عمومی این بود که خوش خیم بودن برای ادامه ی حیات ویروس ضروری است. از چرنوبیل به عنوان شاهدی برای ابطال این باور یاد می شود.

اسلاید 24: یک ویروس ماکرو اولیه: Melissa (1999)ملیسا یک ویروس ماکرو برای ورد 2007 است. 50 آدرس نخستین برنامه outlook را هدف قرار می داد. موضوع نامه: “Important messages from ______”به یک ضمیمه اشاره می کرد که یک سند درخواستی بود.شامل لیستی از سایتهای غیراخلاقیبعد از ملیسا امنیت ماکروها خیلی افزایش یافت.

اسلاید 25: کرمهایک کد خودکار و فعال که خود را بدون هیچ گونه تحریک در کامپیوترهای راه دور تکثیر می کند. تکثیر می شود اما برنامه ها را آلوده نمی کند. به خاطر این که به طور خودکار منتشر می شود، شیوع آن از ویروس خیلی سریعتر است.سرعت شیوع و عدم نیاز به تعامل کاربر، کرمها را به مهمترین تهدید تبدیل کرده است.

اسلاید 26: + AttackerTarget DiscoveryCarrierActivationPayloadمرور کرم

اسلاید 27: کشف هدفاسکن کردن پورتهاترتیبی: با استفاده از یک کتابچه آدرسها تصادفیلیست اهدافتولید لیست خارجی توسط متاسرورهالیست داخلی اهدافکرمهای منفعل

اسلاید 28: لیست خارجی اهداف: کرمهای متاسروراکثر سامانه ها از یک متاسرور برای تولید اطلاعات راجع به بقیه ی سرورها استفاده می کنند. بازیها: متاسرور اطلاعات سرورهای محلی را دارد.گوگل: می توان از طریق گوگل وب سرورها را پیدا کرد. اکتیو دایرکتوری ویندوز: از لیست همسایگیهای شبکه ای نگهداری می کند. کرمها از خدمات فوق بهره برداری می کنند. یک پرس و جو درست می کنند تا لیست سرورها را به دست بیاورند.هر قربانی جدید نیز دوباره لیست خود را می سازد. از راهبرد تقسیم و پیشروی برای شیوع استفاده می کند. MetaserverServerServerServerServerServerServerServerServer

اسلاید 29: کرمهای متاسرور چقدر سریع هستند؟متاسرور بازیها: چون جمعیت آنها کم است در کمتر از یک دقیقه همه ی اهداف آلوده می شوند. گوگل: از گوگل برای سرعت بخشیدن به فرآیند اسکن کردن کرم استفاده می شود.

اسلاید 30: لیست داخلی اهداف: اطلاعات توپولوژیکیاز اطلاعات محلی برای پیدا کردن هدف جدید استفاده می کند. URL های روی دیسک و داخل حافظه ی نهان آدرسهای پست الکترونیکی.ssh/known_hostsکرمهای ایمیلی در پیدا کردن اهداف جدید حریص تر هستند. کرم موریس (1988)فضای آدرس خیلی پراکنده است، لذا راهبرد اسکن جامع جواب نمی دهد.

اسلاید 31: کرمهای توپولوژیکی چقدر سریع هستند؟به توپولوژی G = (V, E) وابسته است. ماشینها روی رئوس قرار دارند. یالها نیز اطلاعات محلی هستند. زمان آلودگی تابعی از کوتاهترین مسیر نسبت به نقطه ی شروع الودگی است. در گرافهای Power law و یا گرافهای مشابه: وابستگی زیادی به پارامترها دارد اما معمولاً خیلی سریع است.

اسلاید 32: کرمهای منفعلمنتظر اطلاعات بقیه ی اهداف می مانند.به عنوان مثال، Crclean که یک کرم ضد CodeRed II است، منتظر حمله ی CodeRed II می ماند و با ضدحمله کرم CodeRed II را حذف و خودش را روی ماشین نصب می کند. سرعت خیلی متغییر است و به ترافیک ارتباطی وابسته است. کاملاً مخفی عمل می کند. منتظر است که آلودگی را کشف کند و خودش اهداف را انتخاب نمی کند.

اسلاید 33: حامل توسط خودش حمل می شود:به عنوان قسمتی از فرآیند سرایت خودش را نیز منتقل می کند. کانال دوم:مثلاً، کرم بلاستر از RPC برای آسیب زدن بهره می گیرد. ولی از TFTP برای دانلود کامل بدنه ی کرم استفاده می کند.

اسلاید 34: فعال سازی

اسلاید 35: فعال سازیفعال سازی توسط انساننیاز به مهندسی اجتماعی دارد (به خصوص کرمهای ایمیلی)ملیسا: “Attached is an important message for you!”Iloveyou : “Open this message to see who loves you!”مبتنی بر فعالیت های کاربرمثل لاگین کردن، راه اندازی مجدد دستگاه (مورد استفاده ی نیمدا)فعال سازی زمانبندی شدهمثل به روزرسانی، پشتیبان گیری و ...فعال سازی سرخودبه عنوان مثال code red از وب سرورهای IIS استفاده می کند.

اسلاید 36: بدنه

اسلاید 37: بدنهبدون بدنهاکثر کرمها از این دسته هستند. البته هنوز میزان اسیب زیاد است زیرا مثل کرم موریس ترافیک و بار دستگاه را افزایش می دهد. کنترل از راه دور توسط اینترنتCode Red II یک درب مخفی روی ماشین قربانی باز می کرد که از طریق یک مرورگر می شد هر کدی را اجرا کرد. منع سرویس (DOS) از طریق اینترنتمثل Code Red و Yahaجمع آوری داده آسیب رساندن به داده ها:Chernobyl و Klezنگهداری از کرم

اسلاید 38: مهاجمکنجکاویافتخار و قدرتمزیت تجاری: adware و اسپماخاذی: باج گیرهاSpywareجنگ سایبری

اسلاید 39: کرمهای معروفWormYearStrategyVictimsOther NotesMorris1988Topological6000First major autonomous worm. Attacked multiple vulnerabilities.Code Red2001Scanning~300,000First recent fast worm, 2nd wave infected 360,000 servers in 14 hoursCRClean2001PassivenoneUnreleased Anti-Code-Red worm. Nimda2001ScanningIIS, Code Red 2 backdoor, etc~200,000Local subnet scanning. Effective mix of techniquesScalper2002Scanning<10,000Released 10 days after vulnerability revealedSlammer2003Scanning>75,000Spread worldwide in 10 minutes

اسلاید 40: آلودگی کرم Sapphire/Slammer SQL

اسلاید 41: Slammer چقدر سریع است؟در 10 دقیقه 75000 ماشین را آلوده کرد. در سه دقیقه اسکن کامل انجام می دهد.در هر ثانیه 55 میلیون ادرس IPهر 8.5 ثانیه دوبرابر می شود.در کمتر از یک دقیقه تمام سازمان را آلوده می کند.

اسلاید 42: چرا Sapphire سریع بود؟ اسکنر Code Red دارای محدودیت تاخیر بود. چندنخی: فرستادن SYN به یک آدرس تصادفی و انتظار برای جواب و یا پایان مهلت زمانیCode Red در هر ثانیه شش اسکن انجام می دهد. جمعیت کرمها بعد از هر 40 دقیقه دو برابر می شود. اما sapphire بسته های آلوده را با حداکثر نرخ ممکن می فرستد. اگر پهنای باند 100Mbps باشد، 280000 اسکن در ثانیه انجام می دهد. SYN ها را با نرخ خط می فرستد، اما ACK ها را در یک نخ جداگانه می گیرد.

اسلاید 43: امتحان میان ترمچهارشنبه 3/3/96 ساعت 10