مدیریت رخدادهای حاصل از کدهای مخرب سیستم

مدیریت رخدادهای حاصل از کدهای مخرب سیستم

کدهای مخرب، به برنامه ای اطلاق می شود که به صورت پنهانی در برنامه دیگری وبه منظور تخریب داده ها قرار می گیرد. اجرای برنامه های ویرانگر یا جاسوسی، موجب تخریب سیستم امنیتی و شکار شدن داده های شود. به طور عمده کد مخرب به منظور اجرای اینگونه فانکش ها بدون احتیاج به اطلاعات امنیتی سیستم کار بر طراحی شده است. حملات کدهای مخرب به صورت کلی به 5 دسته تقسیم شده است : ویروسها، اسب ای تروا (تروجان)، کرم ها، کدهای متحرک، و ترکیبی از این موارد.

1 ویروس

ویروس­های کامپیوتری برنامه­هایی هستند که مشابه ویروس­های بیولوژیک گسترش یافته و پس از وارد شدن به کامپیوتر اقدامات غیر منتظره ای را انجام می دهند. باوجودی که همه ویروس ها خطرناک نیستند، ولی بسیاری از آنها با هدف تخریب انواع مشخصی از فایل ها، برنامه های کاربردی و یا سیستم های عامل نوشته شده اند.

ویروس ها هم مشابه همه برنامه های دیگر از منابع سیستم مانند حافظه و فضای دیسک سخت، توان پردازنده مرکزی و سایر منافع بهره می گیرند و می توانند اعمال خطرناکی را انجام دهند به عنوان مثال فایلهای روی دیسک را پاک کرده و یا کل دیسک سخت را فرمت کنند همچنین یک ویروس می تواند مجوز دسترسی به دستگاه را از طریق شبکه و بدون احراز هویت فراهم آورد.

2 انوع ویروس

·         boot sector

اولین سکتور بر روی فلاپی و یا دیسک سخت کامپیوتر است در این قطاع کدهای اجرایی ذخیره شده اند که فعالیت کامپیوتر با استفاده از آنها انجام می شود باتوجه به اینکه با هر بار بالا آمدن کامپیوتر Boot sector   مورد ارجاع قرار می گیرد و با هر بار تغییر پیکربندی کامپیوتر محتوای boot sector   هم مجددا نوشته میشود، لذا این قطاع مکانی بسیار آسیب پذیر در برابر حملات ویروسها می باشد. این نوع ویروس ها از طریق فلاپی هایی که قطاع boot   آلوده دارند انتشارمی یابند. Boot sector   دیسک سخت کامپیوتری که آلوده شود،توسط ویروس آلوده شده و هر بار که کامپیوتر روشن میشود.، ویروس خود را در حافظه بارکرده ومنتظر فرصتی برای آلوده کردن فلاپی هامی ماند تا بتواند خود را منتشر کرده و دستگاه های دیگری را نیز آلوده نماید. این گونه ویروس ها می توانند به گونه ای عمل کنند که تا زمانی که دستگاه آلوده است امکان Boot   کردن کامپیوتر از روی دیسک سخت ازبین برود. این ویروس ها بعد از نوشتن بر روی متن اصلی boot   سعی می کنند کد اصلی را به قطاعی دیگر بر روی دیسک منتقل کرده و آن قطاع را به عنوان یک قطاع خراب (bad sector  ) علامت گذاری می کند.

·         Macro viruses

این نوع ویروس ها مستقیما برنامه ها را آلوده نمی کنند. هدف این دسته از ویروس ها، فایل تولید شده توسط برنامه هایی است که از زبان های برنامه نویسی ماکرویی مانند مستند ات word   یا exel   استفاده می کنند. ویروس های ماکرو از طریق دیسک ها، شبکه و یا فایل های پیوست شده با نامه های الکترونیکی قابل گسترش می باشد. ویروس تنها هنگامی امکان فعال شدن را دارد که فایل آلوده باز شود، در این صورت ویروس شروع به گسترش خود در کامپیوتر نموده و سایر فایل های موجود رانیز آلوده می نماید.انتقال این فایل ها به کامپیوترهای دیگر و یا اشتراک فایل بین دستگاههای مختلف باعث گستردگی آلودگی به این نوع ویروس ها می شود.

·         File infecting viruses

این نوع ویروس، فایل های اجرایی یعنی فایل هایی با پسوند exe  . و com   را آلوده نموده و هم زمان با اجرای این برنامه ها خود را در حافظه دستگاه باز نموده و شروع به گسترش خود و آلوده کردن سایر فایل های اجرایی سیستم مینماید. بعضی از نمونه های این ویروس ها متن موردنظر خود را جای متن فایل اجرایی قرار می دهند.

·         ویروس های چند ریختی

این ویروس ها در هر فایل آلوده به شکلی ظاهر می شوند باتوجه به اینکه از الگوریتم های کدگذاری استفاده کرد، و ردپای خود را پاک می کنند. آشکارسازی و تشخیص این گونه ویروس ها دشوار است.

·         ویروسهای مخفی

این ویروس ها سعی می کنند خود را از سیستم عامل و نرم افزارهای ضد ویروس مخفی نگه دارند. برای این کار ویروس در حافظه مقیم شده و حائل دسترسی به سیستم عامل می شود. در این صورت ویروس کلیه درخواست هایی که نرم افزار ضد ویروس به سیستم عامل می دهد را دریافت می کند. به این ترتیب نرم افزارهای ضد ویروس هم فریب خورده و این تصور به وجود می آید که هیچ ویروسی در کامپیوتر وجود ندارد این ویروسها کاربر را هم فریب داده و استفاده از حافظه را به صورت مخفیانه انجام می دهند.

·         ویروس های چند بخشی

رایج ترین انواع آن ترکیبی از ویروس های file infecting boot sector   می باشد. ترکیب انواع دیگر ویروس ها هم امکان پذیر است

3 تروجان

تروجان برنامه کامپیوتری است که جاسوس کامپیوتری نیز نامیده می شود یک تروجان وقتی در کامپیوتری اجرا می شود در همان کامپیوتر ماندگار می گردد. تروجان ها اطلاعاتی از کامپیوتر که فایل سرور در آن اجرا شده به کامپیوتر موردنظر هکر می فرستند.این اطلاعات می تواند پسوردهای کامپیوتر مانند پسورد admin   یا پسوردهای اینترنتی مانند yahoo   و یا آدرس IP   باشد. این طلاعات می توانند در قالب یک ایمیل به شخص هکر فرستاده شوند.

بعضی از تروجان ها توانایی سرویس دهی برای هکرها را نیز دارند. یعنی اگر تروجان در کامپیوتری اجرا شود، آن تروجان می تواند کامپیوتر قربانی را با استفاده از کامپیوتر خود و از راه دور کنترل کند و عملیاتی بر روی کامپیوتر مانند حذف فایل، مشاهده درایورها فرمت کردن درایورها و... ) انجام دهد. البته باید سرور (فایل اجرا شده در کامپیوتر قربانی) این سرویس دهی ها را دارا باشد.

  Worm

برنامه­ای رایانه­ای است که می تواند خود را از یک ماشین به ماشین دیگر کپی نماید. آنها معمولاً در شبکه­های کامپیوتری بدنبال آلوده کردن دیگر رایانه­ها هستند. در هنگام استفاده از یک شبکه رایانه­ای یک Worm   می­تواند به آسانی یک کپی کردن منتقل شده و گسترش یابد.

معمولا یک Worm   بدنبال یکی از حوزه های امنیتی در یک نرم افزار یا یک سیستم عامل می باشد.

5 کد متحرک mobile code

کد متحرک، به نرم افزاری گفته می شود که از یک کامپیوتر دور به یک کامپیوتر محلی منتقل می شود و بدون اینکه کاربر متوجه آن شود، در کامپیوتر موردنظر اجرا می گردد. کد متحرک اغلب از مکانیزم مربوط ویروس، کرم و یا تروجان برای انتقال به کامپیوتر کاربر استفاده می کند. در حالت دیگر، کد متحرک از خصوصیت آسیب پذیری سیستم برای دستیابی به اطلاعات با دسترسی غیرمجاز سود می برد حامل محبوب یک کد متحرک شامل موارد زیر است : جاوا اپلت، active x، جاوا اسکریپت و VBscript

6 تمهدیدات به کار گرفته شده برای مقابله با کدهای مخرب سیستم

الف. استفاده از نرم افزارهای آنتی ویروس

نرم افزار آنتی ویروس به منظور جلوگیری از کدهای مخرب چندگانه و حملات به سیستم (به طور محدود) به غیر از مسئله مقابله با ویروس سودمند می باشد. آنتی ویروس ها باید نه تنها برروی کامپیوترهای میزبان و سرور نصب گردد بلکه وجود آنها بر روی تک تک client ها نیز توصیه می گردد و به صورت دوره ای و منظم باید به روز رسانی شود و سیستم ها را به طور خودکار برای پیدا کردن هرگونه ویروس و کد مخرب تحت نظر داشته باشد.

ب. مسدود کردن فایل های مشکوک

تنظیم میل سرورها و کد امنیت به گونه ای که تمام ضمایم همراه یک ایمیل را که دارای کد اجرایی مشکوک و ناشناخته (مانند. vbs و. pif ) و همچنین فایل های ترکیبی توسط یافته (مانند htm.exe;.txt.vbs) را مسدود نمایند.

پ. محدود کردن استفاده از فایل های غیرضروری دارای قابلیت انتقال فایل

به عنوان مثال برنامه های به اشتراک گذاری فایل های موسیقی، نرم افزارهای ارسال و پیام فوری و کلاینت های IRC و سرورها این برنامه ها به صورت مداوم در حال انتقال کدهای مخرب در میان کاربران هستند.

 ت. آموزش کاربران در نحوه استفاده صحیح از ضمایم ایمیل

نرم افزارهای آنتی ویروس قابلیت تنظیم برای بررسی ضمائم ایمیل ها قبل از باز کردن آنها را دارند کاربران باید آموزش ببینند که از باز کردن ضمائم ایمیل هایی که حالت مشکوک دارند خودداری نمایند

ایمیل هایی که دارای منبع مشکوک و نامشخص هستند یکی از مهم ترین دلایل انتقال کدهای مخرب می باشند در بسیاری از مواقع فرستنده ایمیل خود نمی داند که سیستم آلوده ای دارد و با ارسال ایمیل و یا فایل به شخص دیگر کد مخرب را به صورت ناخواسته انتقال می دهد حال درصورتی که یکی از دو طرف از نرم افزار آنتی ویروس استفاده کرده باشد که دارای تنظیمات بررسی ضمائم ایمیل ها و فایل های ارسالی است کد مخرب کشف و محدود می گردد. در ضمن کاربران باید آموزش ببینند که انواعی از فایلها هستند که هرکز نباید باز شوند مانند (vbs,.pif,.exe,.com,.bat) اگرچه اینگونه مسایل جزو مطالبی هستند که اکثر کاربران کامپیوتر با آن آشنا می باشند اما سازمان باید فرض را بر آن قرار دهد که کاربران کوچکترین آشنایی با آن ندارند و به صورت پایه و اساسی نسبت به آموزش کاربران درون سازمانی اقدام شود.

ث. ازبین بردن تمام حفره های امنیتی و پورت های باز ویندوز

بسیاری از کرم ها و کدهای مخرب از طریق حفره ها و پورت های باز ویندوز به راحتی به داخل آن نفوذ می کنند درصورتی که یک کد مخرب ازطریق پورت بازی وارد شبکه گردد، کلیه گره های دیگر شبکه به راحتی ازطریق آن آلوده می شود. برای جلوگیری از روی دادن اتفاق این چنینی باید با دقت تمام پورت های باز، شناسایی و نسبت به مسدود نمودن آنها و همچنین ازبین بردن حفره های امنیتی اقدام نمود.

 ج. استفاده از نظرات امنیتی بر روی web browser ها با هدف محدود کردن کدهای متحرک

امکان نظارت امنیتی تقریبا در تمام web browser ها وجود دارد و به راحتی می توان با محدود کردن ActiveX و کدهای متحرک جلوی تخریب توسط آنها را گرفت سازمان با اخذ سیاست مناسب باید نسبت به محدود کردن کدهای متحرک در شبکه های درون سازمانی اقدامات لازم را انجام دهد. این مسئله درمورد سرورهای داخل و سرورهای خارجی هر کدام به صورت جداگانه قابل بررسی است

چ. تنظیم کردن ایمیل کلاینت ها به منظور ایمنی بالاتر

به وسیله تنظیمات ویژه ای که بر روی ایمیل هایی با حوزه درون سازمانی می توان انجام داد می شود کاربر را در استفاده از امکانات ایمیل ها مانند ایجاد و یا باز کردن ضمائم بهمراه ایمیل محدود نمود

DMC Firewall is developed by Dean Marshall Consultancy Ltd
DMC Firewall is developed by Dean Marshall Consultancy Ltd