بدافزارهایی که کابوس آنتی ویروس ها هستند

به گزارش کارگروه امنیت سایبربان؛ در هر نوبت که آنتی‌ویروس‌ها موفق می‌شوند یک بدافزار جدید را شناسایی کرده و دفع کنند، توسعه‌دهندگان، شرکت‌ها و کاربران یک موفقیت بزرگ به دست می‌آورند. با وجود این که به نظر می‌رسد شرکت‌ها همواره در تلاش هستند با به‌روز نگاه‌داشتن ضدویروس خود به مقابله با نرم‌افزارهای مخرب بپردازند، مهاجمان نوع جدیدی از تهدیدات را به وجود آورده‌اند.

تهدیدات جدید یاد شده بدافزارهای نامرئی هستند که هیچ‌یک از نرم‌افزارهای امنیتی فعلی توانایی شناسایی آن‌ها را ندارند. این دسته از عوامل مخرب تنها در حافظه‌ی موقت، یا رم قرار می‌گیرند. در چنین حالتی دیگر هیچ فایل مشکوکی روی دیسک‌ها وجود نداشته، امکان شناسایی آن نیز از بین می‌رود.

بدافزارهای نامرئی چگونه کار می‌کنند؟

تعدادی از بدافزارهای نامرئی علاوه بر رم، بایوس (BIOS) را هدف قرار می‌دهند. در این حالت بدون این‌که کوچک‌ترین ردی از خود برجای بگذارند، شروع به تأثیر گذاشتن روی سیستم می‌کنند. این بدافزارها می‌توانند از دید کاربر پنهان مانده، خود را به عنوان به‌روزرسانی برای فریمورها (firmware) معرفی کنند. در صورت فریب کاربر و نصب آن‌ها، بازگرداندن و رفع این نوع بدافزار بسیار مشکل خواهد بود.

آلیسا نایت (Alissa Knight)، کارشناس امنیت سایبری شرکت «Aite Group» گفت:

بدافزار فایل‌لس (fileless malware) در رم قرار گرفته، به صورت مخفیانه فعالیت خود را انجام می‌دهد. تنها راه پاک کردن این بدافزارها خاموش کردن رایانه به صورت دستی و اجباری است.

بدافزار بلوپیل (Blue Pill)

زمانی که یک سیستم با بدافزاری مانند بلو پیل آلوده می‌شود، یک روت کیت مجازی (virtual rootkit)، به صورت خودکار در ماشین مجازی بارگذاری شده، سپس سیستم‌عامل آن را در ماشین مجازی اجرا می‌کند. همچنین در زمانی که بدافزار همچنان در حال فعالیت است، امکان فعال‌سازی Shutdown و restart دروغین را فراهم می‌آورد. از طرفی در سیستم‌عامل ویندوز 10، کاربر را در انتخاب گزینه‌ی «Shutdown» محدود می‌گرداند.

روت کیت‌ها همواره پیش از سیستم‌عامل بارگذاری می‌شوند، همین مسئله شناسایی آن‌ها را برای آنتی‌ویروس‌های موجود روی دستگاه غیرممکن می‌سازد؛ زیرا آنتی‌ویروس‌ها روی سیستم‌عامل اجرا شده، درواقع پس از بارگذاری بدافزار، فعالیت خود را آغاز می‌کنند.

بسیاری از شرکت‌ها از هم‌اکنون در حال تحقیق روی راه‌کارهایی هستند که امکان مقابله با بدافزارهای یاد شده را فراهم می‌کنند؛ اما بیشتر این روش‌ها در آینده عملیاتی می‌شوند و سیستم‌های امروزی همچنان بی‌دفاع باقی می‌مانند.

برای نمونه، شرکت اینتل با همکاری لاکهید مارتین در حال طراحی نسل جدیدی از پردازنده‌ها است که امکان مقابله با چنین حملاتی را فراهم می‌کند. این پردازنده‌ها «راه‌کار برگزیده‌ی اینتل برای امنیت سخت‌افزاری» (Intel Select Solution for Hardened Security) نام دارند. در این سخت‌افزار، همه‌ی منابع حیاتی از یکدیگر جدا می‌شوند. بنابراین امکان آلوده شدن آن‌ها توسط بدافزار وجود ندارد. این 2 شرکت، همچنین درحال تحقیق روی «BIOS» هستند تا بتوانند از حملاتی که در سطح آن انجام می‌شود نیز جلوگیری کنند. این پژوهش‌ها، با نام «سپر سخت‌افزاری» (Hardware Shield) شناخته می‌شوند.

نایت توضیح داد:

سامانه‌های امروزی در برابر حملات یادشده بی‌دفاع هستند. بنابراین اگر شرکتی می‌خواهد از منابع حیاتی خود محافظت کند؛ بهتر است آن‌ها را به بسترهای ابری منتقل گرداند.

با وجود این، گزارش‌های بسیاری وجود دارد که بسترهای ابری، به دفعات هک شده‌ و داده‌های درون آن‌ها، به سرقت رفته‌اند. بنابراین نمی‌توان این خدمات را نیز امن درنظر گرفت.