کابوس کرم شبکه : قسمت آخر

آناتومي كرم

كرم‌ها براي خود تكثيري بايد عمل‌كردهاي مشخصي را در كد خود داشته باشند:

·         شناسايي هدف، به منظور مشخص كردن هدف‌هاي جديد.

·         مكانيزم آلوده‌سازي، به منظور حمله به يك هدف جديد.

·         تكثير، به منظور انتقال يك كپي از كرم به هدف.

ممكن است كرم‌ها شامل كنترل زماني و يك payload باشند. كنترل زماني ممكن است براي توقف اتوماتيك، دانلود plug-inها يا update كد كرم (دانلود بدافزار جديد به سيستم‌هاي آلوده شده يا فعال‌سازي payload) مورد استفاده قرار گيرد. كرم‌ها هميشه يك payload را حمل نمي‌كنند و payloadها تقريباً مي‌توانند هر چيزي باشند. Payloadهايي مثل يك DDosagent ممكن است با استفاده از كنترل زماني فعال شوند.

شناسايي هدف

ساده‌ترين راه براي يافتن هدف‌هاي جديد، انتخاب اتفاقي آدرس‌هاي IP است. هر چند كه اين روش، روش موثري نيست. با آلوده شدن تعداد بيشتري از ميزبان‌ها، نرخ انتشار به واسطه اين كه ميزبان‌هاي آلوده با هدف‌هايي كه قبلاً آلوده شده‌اند برخورد مي‌كنند كند مي‌شود. اين عدم كارآيي، ترافيك اضافي را به شبكه تحميل مي‌كند و باعث كند شدن هر چه بيشتر انتشار مي‌شود.

كرم‌هايي مثل Blaster و Code Red II از الگوريتم‌هاي پيچيده بيشتري براي آدرس‌هاي IP استفاده كرده‌اند. Blaster، تنها در 60 درصد مواقع، يك آدرس IP اتفاقي را انتخاب مي‌كند و در ساير مواقع، سعي مي‌كند آدرسي را در همان شبكه محلي، به عنوان قرباني آلوده شده پيدا كند. Code Red II، از هر 8 بار، يك بار آدرس‌هاي IP اتفاقي، 4 بار آدرس‌هايي در داخل همان دامنه كلاس A و 3 بار آدرس‌هايي را در داخل كلاس B ميزبان آلوده شده انتخاب مي‌كند.

يكي ديگر از روش‌هاي رايج، بهره‌برداري از آدرس‌هاي اي-ميل ميزبان آلوده است. كرم‌هاي اوليه‌اي كه از ارسال اي-ميل در حجم زياد استفاده مي‌كردند و با مليسا آغاز شدند، آدرس‌ها را از دفترچه آدرس پيدا مي‌كردند. كرم‌هاي پيشرفته‌تري مثل MyDoom مي‌توانند آدرس‌هاي اي-ميل را از انواع فايل‌هاي موجود برروي سيستم قرباني جمع‌آوري كنند.

بخش‌هايي كه هدف آلودگي هستند

از منظر تاريخي كاملاً روشن است كه كرم‌ها مي‌توانند به انواع روش‌ها منتقل شوند.از سال 1999 به اين طرف، اي-ميل يكي از رايج‌ترين روش‌هاي انتشار آلودگي بوده است زيرا كرم‌ها اغلب موتور SMTP خود را حمل مي‌كنند و پيام‌ها مي‌توانند به راحتي از مهندسي اجتماعي بهره بگيرند. اي-ميل مي‌تواند از ارتباطات اجتماعي كه ممكن است بسيار موثرتر از تماس‌هاي اتفاقي باشد بهره‌برداري كند.

كرم‌ها همچنين مي‌توانند از آسيب‌پذيري‌ها بهره‌برداري و سوء استفاده كنند. رايج‌ترين نوع اين سوء استفاده‌ها، سرريز بافر است زيرا معمولاً مي‌تواند از راه دور انجام گيرد، مي‌تواند كنترل كامل قرباني را به دست بگيرد، و اين نوع آسيب‌پذيري‌ها در تعداد زيادي از سيستم عامل‌ها و برنامه‌هاي كاربردي يافت مي‌شود. حتي كرم اوليه Morris نيز از آسيب‌پذيري سرريز بافر استفاده مي‌كرد.

كرم‌هايي مثل Livra و Fizzer قادر بودند از طريق به اشتراك گذاري فايل و مثلاً شبكه همتا به همتاي Kaza منتقل شوند. كرم معمولاً با يك اسم بي‌ضرر بر روي يك پوشه اشتراكي باقي مي‌ماند.

كرم‌ها مي‌توانند از طريق پيام‌رساني كوتاه (IM) يا IRC منتقل شوند. كرم Livra كه در سال 2003 ظاهر شد قادر بود از طريق IRC منتقل شود. در اين روش، يك فايل يا URL آلوده، به يك كانال چت ارسال مي‌شود. در ماه مارس 2005، خانواده كرم‌هاي Kelvir از طريق MSN Messenger شروع به منتشر شدن كردند. پيغام‌هاي اتفاقي دربردارنده لينكي به يك سايت وب بودند كه سعي مي‌كرد فايل‌ها را دانلود كند. وقتي كرم دانلود و اجرا مي‌شد، پيام‌هاي كوتاهي را به تمام آدرس‌هاي پيدا شده در MSM Messenger ارسال مي‌كرد.

بخش‌هاي ديگري كه در معرض آلودگي قرار دارند عبارتند از شكستن كلمه عبور، كپي كردن به network shareهاي باز، دستكارس سايت‌هاي وب براي دانلود drive-by، بهره‌برداري از درهاي پشتي به جاي گذاشته شده توسط كرم‌ها يا اسب‌هاي ترواي قبلي و انتشار از طريق بلوتوث، SMS/MMS يا از طريق ساير ارتباطات بي‌سيم.

Payloadها

Payloadهاي يك كرم (كه حتمي نيست و مي‌تواند اختياري باشد)، پس از اينكه يك قرباني جديد مورد حمله قرار گرفت اجرا مي‌شوند. برخي از كرم‌ها فاقد payload هستند و دليل اين موضوع هم به طور قطع روشن نيست. يك payload مي‌تواند تقريباً هر چيزي باشد. در نمونه‌هاي گذشته، payloadهاي رايج شامل: botهايي براي كنترل گروهي از ميزبان‌هاي آلوده به صورت يك bot net، اسپم‌هايي كه براي ايجاد اسپم به سرورها ارسال مي‌شوند، درهاي پشتي به منظور فراهم نمودن امكان دسترسي راه دور، DDos agentهايي مثل keylogger، spyware، TFN2Kها، و ساير اسب‌هاي تروا و rootkitها به منظور فرار از كشف شدن بودند. در حالي كه payloadهاي مخرب كاملاً امكان‌پذير هستند، ممكن است غير موثر نيز باشند و در نتيجه سبب انتشار كندتر و جلب توجه بيشتر مسئولان امنيتي شوند.

Payload اغلب نشان‌دهنده انگيزه‌هاي نويسنده كرم به شمار مي‌رود. فقدان payload در يك كرم ممكن است تائيدي بر اين نظريه باشد. Payloadهايي كه براي سرقت اطلاعات شخصي به كرم‌ها اضافه مي‌شوند به هدف كسب درآمد (البته از راه نامشروع) نوشته شده‌اند.

گرايش‌هاي آينده

اگرچه شيوع گسترده كرم‌هايي كه با سرعت زيادي منتشر مي‌شوند از سال 2003 به اين طرف كمتر شده است، بر اساس گزارش‌هاي منتشر شده توسط سازمان‌هاي مختلف، كرم‌ها هنوز هم يك تهديد جدي به شمار مي‌روند. طبيعت اين تهديدات تكامل يافته است.

اولاً، كرم‌ها كمافي‌السابق بخش‌هاي جديدي را براي آلوده كردن پيدا مي‌كنند. به عنوان مثال، كرم Cabir در ماه مارس 2004 اولين كرمي بود كه از طريق بلوتوث بين تلفن‌هاي هوشمند مجهز به سيستم عامل Symbian منتقل شد. به دنبال اين كرم، كرم ديگري به نام Com War در ماه مارس 2005 با استفاده از MMS منتشر و بخش جديدي براي آلودگي به وجود آمد. بلافاصله پس از Com War، كرم جديدي به نام Mabir ظاهر شد كه قادر بود از طريق MMS و بلوتوث منتشر شود.

موضوع دوم، گسترش به كارگيري payloadها به منظور سوء استفاده‌هاي مالي بوده است. برنامه‌هاي تشخيص و كشف Anti-spyware و rootkit به سرعت در حال تبديل شدن به نرم‌افزارهاي حياتي محافظتي براي كاربران كامپيوتر هستند. اين نوع متفاوت از بدافزارها نيازي به كرم‌ها ندارند. به عنوان مثال، بدافزار مي‌تواند از طريق دانلود درايو به درايو در يك سايت وب آلوده منتقل شود. اما كرم‌ها كماكان محمل مناسبي براي انتقال بدافزارها هستند و به راه خود در اين مسير ادامه مي‌دهند.

سوماً، مهندسي اجتماعي نيز كماكان در حال توسعه است. نويسندگان بدافزارها در سوء استفاده از علائق مردم و گنجاندن اين وقايع در پيا‌هاي اي-ميل بسيار سريع عمل كرده‌اند. نمونه ديگري از يكي از شايع‌ترين كرم‌هاي سال 2006، Nyxem يا Blackmal يا Kama Sutra است كه موضوع‌هاي اغوا كننده سكسي را در subject و متن اي-ميل ارسالي قرار مي‌داد.

نتيجه‌گيري

كرم‌ها از زماني كه اولين آزمايشات برروي آنها انجام گرفت تكامل قابل توجهي پيدا كرده‌اند و تبديل به روشي پيچيده براي حمل ساير انواع تهديدات و بدافزارها شده‌اند. كرم‌ها، تهديدات رايج برروي اينترنت هستند و براي تهاجم به ساير محيط‌هاي شبكه‌اي، نظير شبكه‌هاي بي‌سيم توسعه پيدا مي‌كنند. متاسفانه، طبيعت تهديد كرم‌ها اساساً شبيه به ساير فعاليت‌هاي بزه‌كارانه است. كرم‌ها توسط افراد مجرم خلق مي‌شوند و امكان پيش‌بيني چگونگي شكل‌گيري كرم‌هاي جديد وجود دارد. در عين حال، دفاع در مقابل آنها هميشه منجر به بروز حملات جديد مي‌شود. سوال‌هاي طبيعي وجود دارد كه ممكن است هميشه پاسخ واضحي براي آنها وجود نداشته باشد. به عنوان مثال: چه وقتي يك شيوع گسترده ديگر رخ خواهد داد؟ سرعت انتشار يك كرم تا چه حد زياد است و چه نوع خرابي‌هايي به بار مي‌آورد؟ براي پاسخ به اين سوال‌ها، بايد به تحقيقات خود ادامه دهيم.

منبع : بزرگراه رايانه

Advertisements

دربارهٔ Yaser Hosseini

یاسر هستم طراح وب علاقه مند به طراحی تجربه کاربری و مدیریت فرآیندهای کسب‌وکار، عاشق کوهنوردی و دوچرخه سواری ولی حرفه ای نیستم. یادمیگیرم و به اشتراک میذارم

Posted on دسامبر 21, 2008, in وب, امنیت, شبکه and tagged , , . Bookmark the permalink. بیان دیدگاه.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: