سه شنبه, ۲۰ آبان ۱۳۹۳
۰۱:۴۵
۲۶
هرچند روز به روز تکنولوژیهای شرکتهای امنیتی در حوزه سایبری برای مقابله با بدافزارها به روز و بهینه میشود، در این میان، هکرها و طراحان بدافزار نیز بیکار ننشسته و راههای جدید و ابتکاری برای عبور از سد نرم افزارهای امنیتی میاندیشند. آخرین نسل از بدافزارهای طراحی شده به گونهای است که هیچ فایلی برای شناسایی از خود بر جای نمیگذارند.
حوزه حملات سایبری روز به روز پیچیدهتر میشود و همین امر شرکتهای امنیتی را وارد یک بازی همیشگی میکند. تا همین چند وقت پیش، بدافزارها از کدهایی تشکیل شده بودند که در فایلهای باینری ذخیره شده و از طریق دستورالعملها و الگوریتمها به عملیات تخریبی در سیستم کاربر مشغول میشدند. این موضوع کار را برای شرکتهای امنیتی و در راستای شناسایی این بدافزارها ساده میساخت.
اما اکنون شرایط بسیار سخت و دشوار شده است، زیرا نسل جدیدی از بدافزارها را شاهد هستیم که بدون ایجاد هیچ فایل و گذاشتن هیچ ردی از خود و تنها با استفاده از فضای حافظه RAM فعالیت و عملیات تخریبی میکنند.
بدافزارهای کلاسیک در برابر بد افزارهای پیشرفته
در روش مدرن شانس هکرها و بدافزارها برای ناشناخته ماندن بسیار افزایش یافته است، زیرا چنانچه هیچ ردی از خود در دیسک سخت کاربر باقی نگذارند، احتمال شناسایی آنها بسیار کاهش مییابد. طبعا یافتن بدافزاری که فایل مخصوص خود را بر روی دیسک سخت دارد، بسیار دشوارتر از نمونهای است که در حافظه پنهان شده است. تنها یک استثنا در این مورد وجود دارد و آن اینکه بدافزار از نوع Rootkit بوده و در واقع فایل آن بر دیسک وجود دارد؛ اما قابل رویت نیست.
این موضوع زمانی که بدافزارها از طریق کدهای اسکریپت رمزگذاری شده وارد سیستم قربانی می شوند، به مراتب وخیم تر است. اما از آن سوی یک نکته اساسی وجود دارد و آن این است بدافزاری که در حافظه مستقر میشود، زمان اندکی برای فعالیت خود دارد، زیرا با Shut Down شدن سیستم فعالیت وی به پایان خواهد رسید. در نتیجه یک راه اساسی برای رفع مزاحمت این بدافزارها Restart کردن سیستم است که البته راه حل چندان مناسبی نیست.
سوی دیگر قضیه این است که معمولا کاربران قبل از خاموش کردن سیستم، ساعت ها با آن به امورات روزمره خود می پردازند و در نتیجه بد فزار در این زمان فرصت کافی برای سرقت اطلاعات و حتی دانلود سایر بد افزارهای دیگر دارد.
نرم افزارهای امنیتی سنتی قادر به شناسایی بدافزارها در حافظه و دیسک سخت، تنها پس از آلوده شدن سیستم هستند. اگر بخشی از کد بدافزار به حد کافی جدید و پیچیده باشد، شانس زیادی برای آلوده کردن سیستم دارد.
این نکته ای بسیار اساسی است، زیرا اغلب نرم افزارهای امنیتی درگیر یک بازی موش و گربه هستند، در حالی که تکنولوژی جدید باید به سمت شناسایی رفتار کد چه در حافظه و چه در دیسک سخت باشد، و همچنین تا حد ممکن قبل از آلوده شدن سیستم به شکل کامل توسط بدافزار.