جلوگيری از فعاليت زيرزمينی ورم

جلوگيری از فعاليت زيرزمينی ورم‌ها

نويسنده: Paul F.Roberts
Info World
مترجم: آزاده ارشدی

سانفرانسيسكو- در طی دو سال گذشته، فروشندگان نرم افزار و كارشناسان امنيتی، تهديدی را كه ويروس‌های ورم ناميده می‌شد را از بين برده‌اند، اما شواهد نشان می‌دهند كه حملات اگر چه بيشتر از سابق نباشند اما هنوز هم خطرناك هستند.

طبق گفته محققان، هنگاميكه توده بزرگ ويروس‌های ورم پست الكترونيكی سال‌های گذشته همانند حملات Sobig، My Doom و Slammer كه به منظور تخريب زير ساختار تكنولوژی اطلاعات فعاليت می‌كردند، ناپديد شدند، ظهور ويروس های كوچكتر به جهت بارگذاری بدافزار مالی در كامپيوترهای كاربران حرفه‌ای مثل Storm Worm اينترنت را تهديد خواهد كرد.

عقيده كلی ميان كارشناسان امنيتی چنان است كه شركت‌ها و مصرف كنندگان، ابزارهای امنيتی دسك‌تاپ و عادات كامپيوتری آنان را توسعه داده‌اند، بازرسان بازار اظهار عقيده كرده‌اند كه برای نويسندگان بدافزار بدام انداختن گروهی كاربران با ورم‌ها مشكل‌تر شده است. اين روش متجاوزان را به سوی خلق تهديدهای خود انتشار و ثانويه به جرم‌افزار تحريك شده مالی می‌كشاند.

اما ادامه انتشار و اصلاح Storm Worm كه اولين بار در اواسط ژانويه 2007 ظاهر شد، توانست نسل پديد آمده حملات را كه ممكن است كاربران را در سال‌های آتی به دردسر بياندازد، آشكار نمايد.

در 27 فوريه، كارمندان Secure Computing كه سازنده نرم‌افزار امنيتی است، جزييات Storm Wormی را كه به شكل متفاوتی، جديدا پديد آمده، عرضه نمودند كه جزييات مهندسی اجتماعی مبتنی بر وب را در پست الكترونيك سنتی‌تر حملات و نمونه‌های تحويل IM اضافه می‌كند.

طبق اعلام Secure كه در سن خوزه واقع است، نسخه جديد Storm Worm در كامپيوتر آلوده شده جای گرفته و منتظر كاربر می‌ماند تا پيامی را به سيستم Web mail و يا سايت مجله آن‌لاين ارسال كند و سپس، لينكی را به آن ارتباطاتی كه هر فردی را كه بر URL كليك كند به صفحه وب دارای بدافزار می‌فرستد، اضافه می‌كند.

تهديدهايی كه در سايت‌های توليد شده Storm قرار دارند شامل، انواع مختلف حملات به همراه گروه برنامه‌های جرم‌افزار می‌باشد كه به جهت سرقت اطلاعات مالی و يا فردی حساس ارائه می‌شوند.

Dmitri Alperovitch دانشمند محقق اصلی در Secure گفت، ويروس‌هايی چون Storm كه م‍ی‌توانند به عنوان روت كيت تروجان نيز دسته‌بندی شوند، سبكی را منعكس می‌كنند كه متجاوزان پلاتفرم ورم time - honored را بكار خواهند برد تا آخرين كار خويش را انجام دهند.

Alperovitch افزود، ما تهديد را از حملات مالی هدفمند كاهش نمی‌دهيم اما اين تهديدها تمايل به كسب كار بيشتری دارند تا موفق به انجام آن شوند. چنانكه متجاوز بايد در سازمان يا كاربر اكتشاف كند و تلاش بسياری برای كسب مقصود انجام دهد.

بازپرداخت به آن حملات احتمالا بزرگ‌تر می‌باشد، اما اين نوع از ورم‌ها مثل انواع جديد Storm می‌توانند به سرعت برای خويش منفعت داشته باشند. در اينجا ترديد مختصری وجود دارد كه ما در اين مورد بيشتر آن را مشاهده می‌كنيم. طبق گفته محقق Secure علاوه بر استفاده از دسترسی ورم به منظور توزيع بدافزار Cutting-edge، انواع مختلف Storm تعدادی از مشخصات ديگر را كه بطور نمونه با حملات جديد پيوسته‌اند، پذيرفته‌اند كه تهديد خود در حركت سريعی تغيير می‌يابد تا توسط سيستم‌های ضدويروس از كشف خود جلوگيری به عمل آورد. ليست URLها و آدرس‌های IP را كه مدام تغيير می‌كنند، مورد استفاده قرار می‌دهد تا payload خود و جاسوس را تحويل دهد. پروفايل Storm Worm كه به سرعت تغيير می‌كند، خودداری از اين تهديدها را برای محصولات امنيتی قديمی مشكل خواهد ساخت.

Alperovitch افزود، با اين تكنيك اضافه شده و ساير تكنيك‌های جديد نمی‌توانم تصور كنم كه چگونه تكنولوژی‌های مبتنی بر امضا با اين نوع روبرو می‌شوند -- افراد حقيقتا به ابزارهای مبتنی بر رفتار نياز دارند تا آنان را متوقف سازند، ما توده‌ای از پست الكترونيكی و ورم‌های هدفمند عمده‌ای كه در گذشته مهم بودند را مشاهده نكرده‌ايم، Storm، ورم هدفمند مهمی در مقابل برخی از آنان نمی‌باشد اما جزييات وب به آن اجازه می‌دهند تا سريعتر تكثير شود. پس بايد بدقت مراقب آن باشيم. سازندگان نرم افزار ضدويروس موافقت كرده‌اند كه ابزارهای مبتنی بر امضای قديمی به تنهايی برای توقف نسل جديد ورم كفايت نمی‌كنند اما اعلام كرده‌اند كه حملات می‌توانند با استفاده از تركيب آن محصولات و سيستم‌های مبتنی بر رفتار جديدتر خنثی شوند.

Dave Cole، مدير گروه Security Response سايمنتك گفت، نمايندگان پيشوای بازار AV شركت سايمنتك كه در شهر Cupertino كاليفرنيا واقع است، گفته‌اند آنان Storm را بيشتر يك تروجان می‌بينند تا يك ورم، در حقيقت انتشار اين تهديد، بر شيوه‌های مهندسی اجتماعی در مقابل توسعه خودكار تكيه می‌نمايد. به هر حال كاربران بايد به استراتژی امنيتی عميق پشتيبانی تكيه كنند تا خويش را از هر نوع حمله حفاظت نمايند.

Cole افزود، تهديد بزرگ حال حاضر، ورم گذشته نمی‌باشد، اما در حقيقت حمله تروجان است كه طراحان در مهندسی اجتماعی استفاده می‌كنند تا افراد را به دانلود كردن وادارند. ورم‌های كلاسيك هنوز هم وجود دارند، ما هنوز تعداد زيادی از آنان را مشاهده می‌كنيم اما واقعيت اين است كه آنان تقريبا افراد زيادی را آلوده نمی‌كنند، چون حفاظت‌هایی موجود است، اين تهديد جديد، تهديد بزرگ‌تری می‌باشد. طبق گفته محقق سايمنتك، هنگاميكه ابزارهای مبتنی بر رفتار همچون IDses، تاثير بيشتری را از دفاع عليه تهديدهای ورم امروزی كه به سرعت در حال تغييرند را نشان می‌دهد، كاربران بايد برنامه‌های ضدويروس مبتنی بر امضا را بكار گيرند تا عليه هر چيزی كه از ميان آن فيلترها به سرقت می‌رود، حفاظت شوند.

Dan Hubbard ثائم مقام مدير عامل تحقيق امنيتی در Websense كه در سن‌ديگو واقع است، گفت بيشتر از ساير نسل بدافزار، ورم‌ها بطور افزاينده‌ای با يكديگر با انواع مختلف حملات آراسته می‌شوند تا به افزايش دسترسی و ويرانی خود كمك نمايند.

وی ادامه داد كه احتمالا به اين زودی‌ها ورم فرمت ويروس مهمی نخواهد شد، اما در پالت‌های هنرمندان بدافزار به عنوان يك گزينه فعاليت می‌كنند، باقی خواهند ماند.

Hubbard افزود، در مقياس وسيعتر، پست الكترونيك تنها ورمهايی را كه دارد، كمتر دائمی شده‌اند اما استفاده آنان در تركيب با ساير حملات، گمراه كنندگی بيشتری را بدست آورده است و احتمالا همچنان به نظر خواهند رسيد. اتوماسيون به منظور تحويل انواع مختلف جديد حتی سريعتر از گذشته نيز مورد استفاده قرار می‌گيرد و آنا ن خود به روزرسانی و اصلاح می‌شوند اين بخشی از افزايش است كه ما در روش‌های مختلفی كه افراد در وب آلوده می‌شوند، مشاهده می‌نماييم.

Copyright 1998-2007 PC World Iran All rights reserved.
Copyright 1977-2007 Electronics and Computer Magazine (GSRP). All rights reserved.
Copyright 2000-2007. International Data Corp. Inc.. All right Reserved.