منظور از بدافزار یا malware چیست و انواع آن کدامند؟
بدافزار یا malware، نرم افزارهایی هستند که به منظور سرقت اطلاعات و یا آسیب رساندن به کامپیوتر و سیستم های نرم افزاری طراحی شده اند. آن هادر قالب های مختلف مانند ویروس، جاسوس افزار و باج افزار عرضه شده اند. مهاجمان سایبری از این ابزارها برای دستیابی به شبکه های سازمانی و تجهیزات موجود در آن استفاده می کنند تا اطلاعات مورد نظر خود را به دست آورده و یا به سیستم ها آسیب وارد کنند.
بدافزارها یا همان malicious softwareها انواع مختلفی دارند و می توانند برای شبکه های سازمانی و حتی کامپیوترهای شخصی بسیار خطرآفرین باشند. لذا رسیس اطلاعات کاملی در مورد آن ها ارائه داده و روش های مقابله را عنوان می کند.
از کجا بدانیم سیستم ما به بدافزار آلوده شده است؟ معمولا چنین سیستمی دارای علائم زیر می باشد:
- کند شدن سرعت کامپیوتر: غالبا بدافزارها به هنگام استفاده از اپلیکیشن و یا اینترنت، سرعت را کاهش می دهند.
- هنگ کردن سیستم: به هنگام استفاده ی عادی از سیستم، از کار می افتد و یا هنگ می کند.
- میزان فراوانی از تبلیغات pop-up: این تبلیغات، غالبا نشان دهنده ی نوعی بدافزار تحت عنوان adware می باشند. توصیه می شود در صورت مشاهده این دسته از تبلیغات، هرگز روی آن ها کلیک نشود؛ زیرا ممکن است کدی را در سیستم اجرا کنند که باعث آسیب بیشتر گردد.
- از دست دادن فضای ذخیره سازی: اگر احساس کردید فضای دیسک شما به طور ناگهانی کاهش یافته، ممکن است نشان دهنده ی وجود بدافزار بر روی هارد درایوتان باشد.
- افزایش فعالیت های اینترنتی بر روی شبکه شما: برخی از مهاجمان سایبری به طور خودکار به اینترنت دسترسی پیدا کرده و موجب افزایش فعالیت های اینترنتی می گردند که هیچ گونه ارتباطی با رفتار کاربر ندارد.
- کار کردن بیش از حد سیستم: این امر می تواند نشان دهنده ی استفاده ی بدافزار از منابع ارزشمند سیستم شما باشد.
- مرورگرتان toolbarهای جدید و یا homepageهای متفاوتی نشان می دهد.
تاریخچه ی بدافزارها
- ۱۹۸۲
ساده ترین تعریفی که از بدافزارها می توان ارائه داد “unwanted software” است و اولین بدافزار تاریخ با نام Elk Cloner شناخته شده که در سال ۱۹۸۲ از طریق فلاپی دیسک ها به سیستم های Apple II راه یافت. این بدافزار لزوما، عامل مخربی نبود؛ اما به هر حال موجب دسترسی غیر مجاز به سیستم قربانی می شد.
- دهه ۱۹۹۰
در دهه ۱۹۹۰، با توجه به اینکه Windows یک سیستم عامل محبوب در کامپیوترهای شخصی محسوب می شد، هکرها شروع به نوشتن کدهایی با استفاده از زبان macro کردند، زیرا توسط اکثر اپلیکیشن های Microsoft Word استفاده می شد.
- ۲۰۰۲
بین سال های ۲۰۰۲ و ۲۰۰۷ همزمان با ظهور پیام رسان ها، مهاجمان شروع به توسعه worm هایی کردند که خود به خود تکثیر شده و از طریق AOL، MSN Messenger، AIM و Yahoo Messenger سیستم ها را آلوده می کردند.
معمولا پیام ارسالی، با جملات وسوسه انگیز، قربانیان را فریب می داد. و با کلیک کردن بر روی لینک، دانلود بدافزار بر روی سیستم آغاز می شد. در مرحله ی بعد، این بدافزار اقدام به ارسال لینک ها به تمامیِ افراد موجود در لیست مخاطبین می نمود.
- ۲۰۰۵
ابزارهای تبلیغاتی مزاحم یا همان adwareها بین سال های ۲۰۰۵ تا ۲۰۰۹ ظاهر شدند و به عنوان نرم افزاری قانونی برای تبلیغ محصولات، مورد استفاده قرار می گرفتند. اما از آنجا که این ابزارها بیشتر با هدف گمراه کنندگی مورد استفاده قرار می گرفتند، توسعه دهندگان نرم افزارها، اقدام به شکایت از تولیدکنندگان adwareها به دلیل کلاهبرداری کردند؛ و دیگر از اکثر آن ها استفاده نشد. اما تبلیغات تمام صفحه و غیر قابل بسته شدن تا به امروز باقی مانده است.
- ۲۰۰۷
شبکه های اجتماعی بین سال های ۲۰۰۷ تا ۲۰۰۹ از محبوبیت بسیاری برخوردار شدند. توسعه دهندگان بدافزارها نیز از Myspace، Twitter و Facebook برای انتشار لینک ها، اپلیکیشن ها و تبلیغات مخرب استفاده می کردند.
- ۲۰۱۳
یکی از خطرناک ترین انواع بدافزار در سال ۲۰۱۳ پدیدار شد و آن چیزی نبود جز باج افزار! باج افزارها با استفاده از Trojanها گسترده شدند. لازم به ذکر است تروجان ها شامل بدافزارهایی هستند که در ظاهر نرم افزاری سودمند به نظر می رسند و هنوز هم به عنوان یکی از انواع اصلی حملات مورد استفاده قرار می گیرند.
- ۲۰۱۷
در سال ۲۰۱۷، cryptojacking ظهور کرد که طی آن، هکرها از تجهیزات افراد مختلف استفاده می کنند تا رمزارز استخراج کنند. باج افزار، cryptojacking و adwareها هنوز هم در حوزه بدافزار رواج دارند و هیچ پیش بینی مبنی بر غیر فعال شدن و یا کاهش استفاده از آن ها در آینده نزدیک وجود ندارد.
مشاهده فایروال Fortigate 80f |
انواع مختلف بدافزارها
بسیاری از افراد تصور می کنند تهدیدات مبتنی بر بدافزار، تنها لپ تاپ و کامپیوترهای رومیزی را هدف قرار می دهند، اما در حقیقت آن ها قادر هستند endpointهای مختلفی را آلوده کنند؛ Endpointهایی مانند تلفن ها، تلفن های همراه و سایر دستگاه های متصل به اینترنت. در ادامه به انواع مختلف بدافزار که ممکن است شبکه های آنلاین و یا تجهیزات متصل به آن را آلوده کند، خواهیم پرداخت.
- Viruses
ویروس ها یکی از شناخته شده ترین انواع بدافزارها می باشند. عملکرد یک ویروس کامپیوتری به این صورت است که کد مخرب خود را با یک clean code مرتبط ساخته و منتظر می ماند تا یک کاربر آن را اجرا کند. ویروس ها به سرعت و از طریق سیستم های مختلف گسترده می شوند و بر روی عملکرد آن ها تاثیر می گذارند. در ضمن فایل های وب سایت را از بین برده و از دسترسی کاربران به کامپیوترهای خود، جلوگیری به عمل می آورند. غالبا ویروس ها در یک فایل اجرایی پنهان می شوند.
- worms
Wormها یکی از رایج ترین انواع بدافزارها بوده که می توانند از طریق شبکه و با ایجاد کانکشن هایی از یک دستگاه به دستگاه دیگر منتقل شوند. بنابراین در صورت عدم توقف، به سرعت کل شبکه را آلوده می سازند.
- Trojan Viruses
نام Trojanها از اسب های تروا، که از اساطیر یونانی است گرفته شده است. تروجان ها در ظاهر نرم افزارهایی قانونی هستند، به همین دلیل توسط بسیاری از کاربران، تایید می شوند. سپس با ایجاد یک backdoor، اجازه دسترسی از راه دور به سایر بدافزارها را می دهند.
- spyware
به طور کلی جاسوس افزارها، اقدام به ردیابی فعالیت هایی می کنند که کاربران بر روی سیستم های خود انجام می دهند. با اینکه هویت جاسوس افزارها به گونه ای است که به سیستم های کامپیوتری، آسیب نمی رساند اما هنوز هم با تعریف بدافزار، مطابقت دارد. Spywareها در قسمتی از کامپیوتر، پنهان شده و اطلاعات مورد نظر خود را بدون اطلاعِ کاربران، جمع آوری می کنند. این اطلاعات ممکن است شامل اطلاعات بسیار مهم مانند اطلاعات کارت های اعتباری و یا پسوردها باشد.
- ransomware
باج افزارها قادر به قفل کردن یک کامپیوتر و یا یک شبکه بوده و مانع از دسترسیِ قربانی به آن ها می شوند، مگر اینکه مبلغ تعیین شده به هکرها پرداخت شود. پس از پرداخت باج، پسورد اطلاعات در مورد نحوه بازپس گیری سیستم به قربانی داده می شود.
- adware
ابزارهای تبلیغاتی مزاحم باعث می شوند به هنگام استفاده از مرورگرهای وب، تبلیغات ناخواسته زیادی بر روی صفحه نمایش ظاهر شوند. Adwareها ظاهری معتبر داشته و با متصل شدن به یک اپلیکیشن دیگر، دسترسی مورد نیاز خود به سیستم را به دست می آورند.
- Rootkit
به طور معمول روت کیت ها، امتیازات یک مدیر شبکه را در اختیار مهاجمان سایبری قرار می دهند. آن ها قادر هستند پنهان بمانند و به هکرها اجازه دهند به سیستم مورد نظر دست پیدا نموده و تغییراتی را ایجاد کنند.
- keylogger
یک keylogger، توانایی این را دارد که فعالیت های انجام شده توسط کاربر بر روی کیبورد را ضبط نموده و سپس آن ها را برای هکر ارسال کند. در مرحله بعد، مهاجم از این اطلاعات برای حدس پسورد، نام کاربری و اطلاعات کارت های اعتباری استفاده می کند.
- cryptojacking
شامل استفاده از کامپیوتر و یا سایر تجهیزات جهت استخراج ارزهای دیجیتال می گردد. در این روش، مهاجم سایبری از قدرت محاسباتی سیستم هدف برای حل معادلات پیچیده مورد نیاز جهت تولید ارزهای دیجیتال استفاده می کند.
- Rogue Software
این نرم افزار وانمود می کند قصد کمک به قربانی را دارد تا از ویروس ها و سایر بدافزارها خلاص شود. سپس آن ها را مجبور به نصب بدافزار مورد نظر و پرداخت مبلغ می کند.
- Scareware
ترس افزارها از مهندسی اجتماعی (social engineering) برای ترساندن کاربر استفاده می کنند تا تصور کند سیستم وی در برابر تهدیدات، آسیب پذیر است. با اینکه حقیقتا هیچ خطری شناسایی نشده است. در این روش مهاجم زمانی موفق می شود که کاربر، نرم افزار مخربی را خریداری نماید تا با “تهدید نمایشی” مقابله کند.
شناسایی و تشخیص بدافزارها
پس از کسب اطلاعات کافی در خصوص بدافزارها، نوبت به شناسایی آن ها می رسد. برای شناسایی بدافزارها توصیه می شود از یک سیستم intrusion prevention یا IPS، فایروال ها و سیستم های sandboxing استفاده شود. برخی از بدافزارها مانند باج افزار، با روشی که برای حمله دارد، خود را نشان می دهد، زیرا شروع به رمزنگاری فایل ها می کند.
از سوی دیگر، برخی از بدافزارها از تاکتیک های نامحسوس تری مانند نصب خود بر روی سیستم هدف استفاده می کنند تا دسترسی هکرها را ساده تر کنند. بهترین راه برای شناسایی این دسته از بدافزارها، استفاده از فیلترینگ ترافیک هایی است که می توانند نرم افزارهای مخرب را از طریق بررسی تهدیدات شناخته شده و یا الگوی رفتاری آن ها تشخیص دهند.
کدام malware ها در دنیای تجارت رواج بیشتری دارند؟
زمانی که یک بدافزار به سیستم های تجاری راه پیدا می کند، باید منتظر یک حمله بزرگ تر بود. اکثر کسب و کارها دارای دستگاه های متعددی هستند که به شبکه ی مرکزی متصل می گردند. حتی ممکن است یک سرور مرکزی به اشتراک گذاشته شود، مانند سروری که میزبان ایمیل ها و داده های سازمانی است. در صورتی که مهاجم بتواند از لایه های دفاعی یک سازمان عبور کند، قادر به گسترش بدافزار به تمامیِ دستگاه های متصل به شبکه خواهد بود.
دلیل دیگری که چرا مشاغل غالبا مورد هدف مجرمان سایبری قرار می گیرند، سودمند بودنِ آنها از نظر مالی است. به خصوص اگر، روش انتخابی، باج افزار باشد. مهاجمان به خوبی می دانند دقیقه به دقیقه برای سازمانی که عملکردش مختل شده، خسارات مالی به همراه خواهد داشت. در مورد حملات باج افزاری نیز یک سازمان ترجیح می دهد، مبلغ درخواستی را به مهاجم پرداخت کند، زیرا مبلغ آن کمتر از خسارات مالی وارده خواهد بود.
قطعا در سازمان های بزرگ تر، این تهدیدات افزایش خواهد یافت، زیرا سطح حملات نیز گسترش می یابد. با رشد یک سازمان، تعداد دستگاه ها، کاربران، سرورها و سایر نقاط ورودی برای بدافزار نیز افزایش می یابد.
آیا تلفن های همراه نیز به بدافزار آلوده می شوند؟
قطعا پاسخ به این سوال، مثبت است. تلفن های همراه اعم از Apple iPhone و Android یکی از اصلی ترین اهداف مهاجمان هستند. امروزه حدودا ۶ میلیارد کاربر تلفن همراه وجود دارد و بسیاری از آن ها قادر به شناسایی حملات بدافزاری نمی باشند. به همین دلیل است که تلفن های همراه، اهداف جذابی برای هکرها به حساب می آیند.
چگونه می توان در برابر حملات malware از تجهیزات خود محافظت کرد؟
برای محافظت در برابر تهدیدات بدافزاری به سه مرحله ی جلوگیری، اقدامات پیشگیرانه و آموزش نیاز است.
- دوری از malware ها
شناساییِ اکثر بدافزارها نسبتا ساده است. متداول ترین بخش هایی که ممکن است با آن ها مواجه شوید، اسپم های ایمیل، وب سایت های مخرب و پاپ آپ هایی است که به هنگام استفاده از اینترنت و یا در صورت عملکرد عادی دستگاه، ظاهر می شوند.
- بکاپ گرفتن از داده ها
بکاپ گرفتن از داده ها، نوعی اقدام پیشگیرانه است که در صورت موفقیت آمیز بودن حملات مبتنی بر باج افزار، ارزش بسیاری خواهد داشت. بهتر است از تمامیِ endpointها و سرورها، بکاپ گرفته شود تا در برابر حملات بدافزاری ایمن باشند.
- آموزش کارمندان
توصیه می شود همه کارمندان، اطلاعات لازم در خصوص بدافزار، نحوه نفوذ آن به سیستم، اثرات زیان بار بدافزارها و همین طور بهترین راهکارها برای جلوگیری از آن ها را بدانند.
- بررسی آسیب پذیری ها
داشتن یک سیستم امنیت سایبری کامل، به شناسایی نقاط ورودی بدافزارها کمک نموده و قابلیت نظارت بر تمام endpointها و سرورها را میسر می کند.
- ایزوله کردن ویروس ها با Sandboxing
Sandboxing می تواند با ایزوله کردن بدافزار، با آن ها مقابله کند. در این صورت تیم فناوری اطلاعات می تواند بدافزارها را کنترل کرده و رفتار و عکس العمل آن ها را ارزیابی کند. لازم به ذکر است در تمام این مدت، سایر تجهیزات و بخش های مختلف شبکه از حمله ی بدافزارها در امان می مانند. فورتی نت در این خصوص راهکار FortiSandbox را پیشنهاد می دهد.
- استفاده از فایروال های معتبر
فایروال های معتبر با فیلتر کردن ترافیک شبکه، مانع از حملات بدافزاری می گردند. لازم به ذکر است فایروال های نسل جدید (NGFW) شامل قابلیت هایی مانند packet filtering، network monitoring ، IP mapping، IP Security (IPsec) و secure sockets layer virtual private network (SSL VPN) می گردند. در ضمن برای محافظت از سازمان ها در برابر نفوذ به اپلیکیشن ها، از اقدامات بازرسی دقیق تری استفاده می کنند.
فایروال های نسل جدید فورتی نت مرتبا در حال به روز رسانی هستند تا قادر به مقابله با جدیدترین تهدیدات سایبری باشند. بنابراین به سازمان ها توصیه می شود برای مقابله با حملات سایبری، فایروال های نسل جدید فورتی گیت را به کار گیرند.
- شناسایی بدافزارها با آنتی ویروس
سرویس امنیتی فورتی گارد با جمع آوری اطلاعات در خصوص انواع مختلف بدافزار در سراسر جهان، قادر است به طور متوسط در هر دقیقه ۹۵۰۰۰ بدافزار را مسدود کند. ضمن اینکه با لحاظ کردن اقدامات متقابل به منظور خنثی سازی هر یک از تهدیدات، به طور خودکار از شبکه های سازمانی محافظت می نماید.
لازم به ذکر است سرویسFortiGuard Antivirus قابل استفاده توسط FortiGate، FortiSandbox، FortiMail، FortiWeb و همچنین FortiClient می باشد.
- حذف بدافزار
بهترین روش برای حذف بدافزار از سیستم های آلوده، اجرای نرم افزار antivirus security می باشد. این سرویس با استفاده از داده های مربوط به انواع تهدیدات، می تواند بدافزار را شناسایی و حذف کند. برنامه های آنتی ویروس از داده هایی که در جدیدترین به روزرسانی های خود به دست می آورند، به وسیع ترین طیف تهدیدات دست پیدا می کنند. بنابراین اهمیت انتخاب راهکاری که مرتبا به روزرسانی می شود، کاملا واضح است.
چند نکته آماری از بدافزار
- میانگین تعداد حملات بدافزاری در سراسر جهان، سالیانه به ۵.۴ میلیارد می رسد.
- رایج ترین حملات سایبری عبارتند از بدافزار (۱۷%)، فیشینگ (۱۷%) و باج افزار (۱۹%)
- تعداد بدافزارهای شناسایی شده از ۲۸.۸۴ میلیون در ده سال پیش به ۶۷۸ میلیون رسیده است.
- به طور کلی تهدیدات بدافزاری به سمت پنهان شدن پیش می روند؛ مانند افزایش fileless malware و فایل های مخرب رمزنگاری شده.
- تجهیزات Linux-based Internet of Things (IoT) شاهد افزایش ۳۵% حملات مبتنی بر بدافزار در سال گذشته بودند.
- تلفن های همراه نیز ممکن است هدف حملات بدافزاری باشند. Mobile malware بر روی iPhone و Android در برخی کشورها، به شدت رو به افزایش است.
نقش فورتی نت در کاهش تهدیدات بدافزاری
فایروال های نسل جدید فورتی گیت که مجهز به اطلاعات کافی از بدافزار هستند، شناسایی و مقابله با تهدیدات مرتبط را تضمین می کنند. علاوه بر این FortiGateها از قابلیت machine learning نیز برخودار بوده و می توانند malware ها را بر اساس الگوی رفتاری شان تشخیص دهند. به این ترتیب، فورتی گیت ها قادر به جلوگیری از حملات zero-day نیز می باشند.
آخرین تغییرات مقابله با تهدیدات بدافزاری در سال ۲۰۲۴
در سال ۲۰۲۴، عرصه مبارزه با بدافزار داغتر از همیشه خواهد بود. مجرمان سایبری دائماً در حال توسعه تکنیکهای جدید برای نفوذ به سیستمها و سرقت اطلاعات هستند، اما جای نگرانی نیست! اینجا راهکارهای مقابله با بدافزار در سال ۲۰۲۴ را مرور میکنیم:
۱. هوش مصنوعی و یادگیری ماشین (AI/ML) سلاحی قدرتمند علیه بدافزار: دنیای امنیت سایبری شاهد نفوذ پرقدرت هوش مصنوعی و یادگیری ماشین است. این فناوریها با شناسایی و مسدودسازی بدافزارهای جدید و ناشناخته، از شما محافظت میکنند. آنها با یادگیری الگوهای رفتاری بدافزار، بهسرعت با تهدیدات نوظهور مقابله میکنند.
۲. امنیت مبتنی بر رفتار، فراتر از امضای بدافزار: این رویکرد بجای تکیه بر امضای بدافزارهای شناختهشده، بر شناسایی فعالیتهای مشکوک تمرکز دارد. با تجزیه و تحلیل رفتار برنامهها و سیستمها، امنیت مبتنی بر رفتار میتواند بدافزارهای جدید و پیچیده را که از امضای سنتی فرار میکنند نیز شناسایی کند.
۳. به اشتراک گذاشتن دانش، کلید مبارزه با بدافزار: اشتراک اطلاعات در مورد تهدیدات با سایر سازمانها، یک استراتژی حیاتی است. در سال ۲۰۲۴، تجزیه و تحلیل تهدیدات (Threat Intelligence) نقشی اساسی در ایمنسازی زیرساختهای فناوری اطلاعات در برابر حملات بدافزار ایفا خواهد کرد.
۴. بهروزرسانی و وصلههای امنیتی، سد نفوذ بدافزار: بهروزرسانی نرمافزار و سیستمعاملها با آخرین وصلههای امنیتی، همچنان یک استراتژی کلیدی برای بستن حفرههای امنیتی و ممانعت از سوءاستفاده بدافزار است. در سال ۲۰۲۴ نیز این مورد را جدی بگیرید.
۵. آموزش، بهترین دفاع در برابر بدافزار: آموزش کارکنان در مورد خطرات بدافزار و نحوه شناسایی و جلوگیری از حملات فیشینگ، همچنان یک استراتژی مهم برای کاهش خطر عفونت بدافزار است. با آموزش، کارکنان را به خط مقدم مبارزه با بدافزار تبدیل کنید.
فراموش نکنید برای دریافت اطلاعات بهروز در مورد استراتژیهای خاص فورتینت و فورتگارد، به منابع رسمی آنها مراجعه کنید. با بهکارگیری این راهکارها، در سال ۲۰۲۴ از خود در برابر بدافزار محافظت کنید.
پیشنهاد رسیس به شما مخاطب گرامی ، مطالعه مقاله دیگری تحت عنوان “انواع حملات باج افزاری و بهترین راهکارهای مقابله با آن ها چیست؟” در ویکی رسیس می باشد .