در این بخش از دوره SEC504 از موسسه SANS به توضیح Worm و انواع آن پرداخته و در ادامه به شرح مدل های مختلف آن خواهیم پرداخت.
Worms
به تسخیر درآوردن 10 هزار کامپیوتر به صورت دستی کار بسیار دشوار و زمانبری میباشد. برای یک نفوذگر ماهر، به دست آوردن یک سیستم حدود دو ساعت زمان میبرد. بدین ترتیب برای نفوذ به 10 هزار سیستم، 833 روز زمان نیاز است. این یعنی بیش از دو سال تلاش مستمر در 24 ساعت شبانه روز و بدون استراحت که بسیار طاقت فرساست.
نفوذگران برای جلوگیری از این کار مضاعف، جهت تسخیر سیستمها، از کرمها یا همان Wormها استفاده میکنند. کرمها میتوانند به سیستمها نفوذ کرده و آن را به تسخیر در آورند. در تاریخ اینترنت، کرمها موجب صدمات گستردهای به کامپیوترها شدهاند و یکی از ویژگیهای آنها، پخش به صورت خودکار از طریق شبکه است.
یک کرم ابتدا به یک سیستم دسترسی گرفته و از آن به عنوان یک میزبان (Stage) استفاده کرده تا شبکه را اسکن نموده و به دیگر سیستمهای آسیبپذیر نیز نفوذ نماید. این روند همچنان ادامه دارد تا حجم انبوهی از سیستمها آلوده شوند.
نکتهای که باید به آن اشاره کرد این است که ساختار Worm در ابتدا با کاربردی که در حال حاضر دارد، متفاوت بود. در سال 1988 شخصی به نام Robert Tappan Morris, Jr بخشهای اصلی اینترنت را به وسیله همین ساختار Worm به وجود آورد و حتی قبل از آن هم محققان Xerox PARC به کرمها به عنوان راهی برای به کارگیری نرم افزارهای رایانهای در شبکه نگاه میکردند.
گرچه گروه Xerox پیش بینی نمیکردند، از کرمها به عنوان ابزار حمله استفاده خواهد شد. آنها توانسته بودند توزیعهای نرم افزاری خود را به صورت خودکار در شبکه پخش کنند.
معمولا یکی از سوالات متداول تفاوت بین کرم و ویروس است. هر دوی اینها جزء دسته بندی نرم افزارهای مخرب یا malicious software محسوب میشوند. البته هم ویروس و هم کرم قابلیت تکثیر خودکار را دارند ولی به شخصه کرمها در یک شبکه گسترش مییابند.
همچنین ویژگی خاص ویروس این است که نیاز به یک فایل میزبان دارد. این فایل میزبان میتواند یک سند، پست الکترونیکی یا یک فایل اجرایی باشد.
لازم به ذکر است برخی از نرم افزارهای مخرب هم یک کرم هستند و هم یک ویروس، زیرا در سطح شبکه پخش شده و یک فایل میزبان را نیز آلوده میکنند.
آسیب اولیه و اصلی که کرمها وارد میکنند، بیشتر به دلیل گرفتن پهنای باند شبکه و همچنین چرخه پردازش سیستم است. با این تکنیک کارایی سیستم و شبکه به صورت قابل توجهی کاهش مییابد.
محدوده جدیدی از تحقیقات مهم در زمینه کرمها نشان میدهد که آنها برای دستگاههایی مانند تلفنهای همراه مبتنی بر Android یا iPhone، کنسولهای بازی (که به طور فزاینده به اینترنت متصل هستند) و حتی مترهای هوشمند نیز آماده شدهاند. چنین کرمهایی میتوانند روی سیستمهای آسیب دیده تاثیر بسزایی داشته و همچنین تاثیرات مخربی را در جهان را داشته باشد.
سیر تکاملی کرمها
با تجزیه و تحلیل روند اخیر در پیشرفت کرم و همچنین گوش فرا دادن به بحثهای عمومی توسط محققان توسعه کرم، ما باید آمادگی لازم برای مواجهه با کرمهای مختلف با انواع ویژگیهای مخرب را داشته باشیم. برخی از این ویژگیها عبارتند از:
Multi-exploit
Multiplatform
Zero-day
Fast-spreading
Polymorphic
Truly nasty
که البته در ادامه به Worm و انواع آن خواهیم پرداخت.
تحقیقات کامپیوتری در سراسر جهان در موارد مختلف موجب کشف برخی مشکلات و ایجاد ابزارهای جدید حمله میشود. مهاجمان نیز معمولا در محیطهای زیر زمینی این مشکلات و ابزارهای را بین یکدیگر به اشتراک گذاشته و در مورد آنها به بحث و گفت و گو میپردازند.
فراتر از ایدههای مفهومی ایده آل، بسیاری از کدهای منبع برای ساخت کرمهای قدرتمند به راحتی در قطعات مختلف در اینترنت قابل دسترس است و تنها مسئله در این مورد زمان است. یعنی قبل از آنکه کسی قطعات را از اینترنت به دست آورده و کنار یکدیگر قرار دهد و یا آنها را در اختیار عموم قرار دهد، بتوان به آنها دسترسی یافته و از آنها استفاده نمود.
در ادامه به معرفی برخی از انواع کرمها میپردازیم.
Multi-exploit
بسیاری از کرمهایی که ما در گذشته دیده بودیم در بهترین حالت تنها از یک آسیبپذیری در یک سیستم استفاده میکردند و به آن نفوذ مینمودند و پس از آن خود را گسترش داده به قربانیان جدید نفوذ میکردند.
حال آن که کرمهای جدید، به روشهای مختلف و راههای متعددی به سیستمها نفوذ میکنند و این کار را با استفاده از تعداد زیادی برنامههای تحت شبکه آسیبپذیر انجام میدهند.
یک Worm به تنهایی ممکن است 5، 20 یا تعداد بیشتری آسیبپذیری را تحت تاثیر قرار دهد و با وجود آسیبپذیریهای بیشتر برای اکسپلویت، این کرمها ضریب موفقیت بیشتری داشته و به سرعت گسترش مییابند.
حتی اگر یک سیستم برخی از این حفرههای امنیتی را برطرف کرده باشد، یک Multi-Exploit Wrom میتواند از یک آسیبپذیری دیگر برای نفوذ به آن استفاده نماید. در ادامه نمونهای از کرمهای مشهور قرار داده شده است.
• Ramen had 3 exploits (buffer overflows)
• Nimda had approximately 12 (buffer overflows, browser vulnerabilities, Outlook e-mail problems, and more)
• Original Conficker had 3 (buffer overflow with MS08-067, USB copying, and spreading via SMB shares with guessable passwords)
• Stuxnet had a variety of mechanisms: file Explorer zero-day, USB infection, and more
تا به امروز یکی از موفق ترین کرمهای Multi-Exploit، کرم Nimda میباشد که در سپتامبر 2001 منتشر شد. این کرم بیش از 10 روش را برای گسترش خود در سیستمهای مایکروسافتی به کار میبرد که نمونههایی از آنها مانند گسترش از طریق مرورگر IE، وب سرور IIS، ابزار Outlook و Sharing ویندوز میباشد.
کرم Nimda با گسترش سریع خود با استفاده از تعداد زیادی تکنیک Exploit ویندوز، نحوه عملکرد و موفقیت یک کرم را به خوبی به نمایش گذاشت.
در ادامه توجه شما را به خبری که در سایت asis.io در خصوص کرم اینترنتی Conficker منتشر شده است جلب میکنم.
نزدیک به هفت سال است که کرم اینترنتی Conficker به صورت گستردهای منتشر شده و با سوءاستفاده از چندین آسیبپذیری به رایانههای ویندوزی نفوذ و آنها را تبدیل به عضوی از یک شبکه باتنت توزیع شده کرده است.
در واقع کرم اینترنتی Conficker یکی از بزرگترین تهدیدهای سایبری در دهه گذشته میلادی بوده است و مطابق گزارش پژوهشگران، بعد از گذشت هفت سال این کرم اینترنتی هنوز هم فعال است.
مایکروسافت جایزهی ۲۵۰ هزار دلاری برای هر فردی که بتواند اطلاعاتی از توسعهدهندهی این کرم اینترنتی در اختیار این شرکت قرار دهد، تعیین کرد و تا جایی که اخبار نشان میدهد، این جایزه هیچگاه به فردی اهداء نشده است و این یعنی توسعهدهندهی Conficker به قدری ماهرانه این بدافزار را ایجاد کرده که هیچ ردی از خود به جای نگذاشته است.
مطابق گزارش شرکت امنیتی Check Point این بدافزار هنوز در کشور انگلیس به صورت گستردهای در حال انتشار است. تخمین زده میشود که تاکنون در حدود ۶۰۰ هزار آدرس آیپی مجزا هنوز آلوده به این کرم اینترنتی هستند.
انتشار این کرم اینترنتی تا زمانی که تعداد رایانه آلوده به این کرم با هم در ارتباط باشند ادامه خواهد یافت. اگرچه بدافزار Conficker به این علت که چندین سال پیش توسعه پیدا کرده است از روشهای قدیمی برای انتشار بهره میبرد و امروزه مجرمان سایبری با انتشار یک تروجان که به صورت مخفیانه و بدون جلب توجه فهرستی از قربانیان بعدی را ایجاد میکند، فعالیت میکنند، اما مشاهده میشود که همین روش قدیمی هم به اندازه کافی تاثیرگذار بوده است.
در حال حاضر همه محصولات ضد بدافزاری میتوانند بدافزار Conficker را شناسایی نمایند و به همین دلیل یکی از ویژگیهایی که سامانههای قربانی باید داشته باشند، عدم اجرای یک محصول ضد بدافزاری است.
این آمار نشان میدهد دستکم یک میلیون رایانهی ویندوزی هنوز به هیچ محصول ضد بدافزاری مجهز نیستند که آنها را در برابر بدافزار قدیمیConficker محافظت کند.
همین تعداد قربانی کافی است که مجرمان سایبری انگیزه کافی برای توسعه بدافزارهایی به شکل Conficker را داشته باشند.
ناگفته نماند که اغلب سازمانها از آنجایی که تصور میکنند هیچ تهدیدی متوجه آنها نیست از هیچ محصول ضد بدافزاری استفاده نمیکنند و همین امر منجر به انتشار آلودگیهای بدافزاری در سطح گسترده میشود.
