ايتنا - ویروس‌کشی با تدبیر

مجله دنياي كامپيوتر و ارتباطات , 30 مهر 1399 ساعت 3:00

ایتنا- آیا تا به حال فکر کرده اید که کامپیوتر شما چگونه ویروس‌ها‌را شناسایی می کند؟

بیایید برای پی‌بردن به این راز با هم سری به پشت صحنه ESET بزنیم تا دریابیم که محققان چگونه ویروس‌ها ‌را شکار می‌کنند.

هدف واقعی از طراحی یک نرم‌افزار امنیتی با کارآیی مناسب، ایجاد اختلال در کارهای کامپیوتری و بمباران کردن شما با انبوهی از اطلاعات و هشدارها نیست.

در حقیقت سایت‌هایی که از یک نرم افزار امنیتی کارآمد بهره می‌برند تنها ‌با اتکا به پیغام‌های pop –up گاه به گاه از کامپیوتر شما در برابر تهدیدها‌محافظت کرده و شما را از خطرات جدی که سرراهتان قرار دارند مطلع می‌سازند.

البته واضح است که عدم وجود این مداخله گرها‌ با عث می‌شود شما با راحتی و لذت بیشتری از کامپیوتر استفاده کنید اما بعضی وقت‌ها این لذت دوام زیادی ندارد. شاید گاهی اوقات در مورد کارایی درست یا خرابی کامپیوتر خود دچار تردید بشوید.

با این حال، عوامل زیادی در پشت صحنه این سناریو دست اندرکارهستند. نرم افزار امنیتی تمامی فایل‌های قابل دسترس شما و هر بایت از ترافیک اینترنت را بررسی می‌کند تا تهدیدهای بالقوه ‌را تحت نظر قرار دهند.

علاوه براین، نرم افزارهای ویروس یاب به پشتوانه تیمی از مهندسان کار می‌کنند که ویروس‌ها ‌را از دنیای وحش اینترنت می‌ربایند و پس از آنالیز کردن، آنها‌را به نرم‌افزارهای ویروس کش یا بروزرسان واگذار می‌کنند تا با طالع نهایی‌شان روبرو گردند.

این دست‌اندرکاران پشت صحنه، شما را برای رهایی از شر بدافزارها یاری می‌نمایند.
برای پی بردن به اینکه مهندسان چگونه چنین کاری را انجام می دهند ما اطلاعاتی از مهندسان ESET گرفتیم تا بررسی جامعی در خصوص شناسایی ویروسها‌ داشته باشیم.

ویروس‌کشی با تدبیر
نرم‌افزارهای ویروس‌یاب به منظور بررسی وجود بدافزار در فایل‌های بارگذاری شده، فایل‌های در حال اجرا و یا فایل‌های موجود در وب سایت‌ها ‌طراحی شده‌اند و این امکان را دارند تا قبل از اجرا شدن این بدافزارها ‌آنها ‌را سرجای خود بنشانند.

نرم‌افزار ضدویروس برای انجام این کار در ابتدا باید ماهیت ویروس و ظاهر آن را بشناسد تا بتواند نحوه متوقف کردن آن را تشخیص بدهد و نیز باید با برنامه‌های غیرویروسی آشنایی کامل داشته باشد تا برنامه های مجاز را بلاک ننماید.

معمولا با استفاده از یک دیتابیس به اصطلاح امضای فایل‌ها که حاوی تمامی اطلاعات نرم‌افزاری مورد نیاز برای شناسایی و بلاک کردن ویروس است می‌توان این کار را صورت داد.
این امضاها ‌توسط یک تیم متخصص که کارشان شناسایی بدافزارها‌ و طراحی راهکارهای لازم برای شناسایی و مقابله با آنها‌ است به وجود آمده‌اند.

شناسایی جدیدترین تهدیدات و مقابله با آنها ‌از طریق به‌روزترین روش‌های ممکن، بخش مهمی از فرآیند نبرد با ویروس‌ها ‌می‌باشد.
ESET که یکی از نرم‌افزارهای پیشرو در این زمینه است، امنیت همیشگی کامپیوتر شما را به خوبی تضمین می‌کند.
این نرم افزار با به کارگیری طیف متفاوت و وسیعی از روش‌های تخصصی قادر است بدافزارها‌ را شکار کرده و پس از آنالیز کردن آنها ‌را بلاکه کند.

آشکارسازی هویت
یکی از هوشمندانه‌ترین روش‌های ESET در شناسایی و انهدام ویروس‌های جدید، دخیل کردن کاربران در این روند است. همانطور که اشاره شد نرم‌افزار امنیتی، بدافزارها‌ را به کمک امضاهای ویروس شناسایی می نماید.

در گذشته، یعنی در زمانی که اینگونه تهدیدات بسیار انگشت شمار بودند برای شناسایی هر تهدید تنها‌ یک امضا طراحی می‌شد که می توانست به صورت یک فایل هش ساده (hash file) که fingerprint فایل است باشد.

اما امروزه نشانه‌های مربوط به شناسایی تهدیدات چندان واضح و قابل تشخیص نیستند. بدافزارها‌ دائما بروز می‌شوند و طیف جدیدی از همان آلودگی‌ها ‌لحظه به لحظه گسترش می‌یابند.

در واقع اتکا به یک فایل ساده هش باعث می‌شود بسیاری از بدافزارها ‌از چشم شما پنهان بمانند و جدای از آن هر نسخه واحد، امضای خاص خود را دارد.

ESET برای مقابله با این مشکل، امضاهای هوشمندانه ای پدید آورده است که به جای تحت نظر گرفتن ظاهر و عملکرد فایل، آلودگی بوقوع پیوسته در آن را هدف قرار می‌دهند. با استفاده از این روش یک امضا می تواند هزاران نوع بدافزار را پوشش داده و طیف‌های جدید آن را قبل از نگاشته شدن بلاک نماید.

مهارتی که در پس این روش شناسایی وجود دارد نوشتن نوعی از امضاهای ویروسی است که برای پوشش دادن طیف‌های متفاوت بدافزارها‌ به اندازه ای گستردگی دارند و نرم افزارهای مجاز را نیز بلاک نمی‌کنند.

خبرهای جدید
امضاهای ESET می‌توانند تهدیدات جدیدی که رفتارهایی مشابه با ویروس‌های پیشین دارند را بلاک کنند. اعضای سرویس گزارش‌دهی، در خصوص بدافزارهای بلاک شده و دلیل آن اطلاعات جدیدی را به ESET ارسال می‌نمایند.

حتی اگر یک بایت از بدافزار نیز ناشناخته باشد از طریق اینترنت در ESET بارگذاری می شود تا آنالیزهای بیشتری روی آن صورت گیرد. از سوی دیگر، کاربران می‌توانند فایل‌های ناآشنا و مشکوک را به صورت دستی برای شرکت ارسال کنند.
این اقدام به شرکت کمک می‌کند تا در شناسایی بدافزارها ‌و آلودگی های ویروسی و یافتن روشهایی برای مقابله با آنها‌ همیشه پیشتاز باشد.

یک طعمه جذاب
از آنجا که اغلب کامپیوترها‌ به سبب حملات مستقیم ویروسی آلوده می‌شوند ESET به هانی‌پات‌ها ‌(honeypot) روی آورده است.
هانی پات به بیان ساده‌تر، کامپیوتری با مرکزیت اینترنت است که نقش یک طعمه دلفریب را برای تبهکاران اینترنتی بازی می‌کند.

هانی پات دائما مشغول نظارت و بررسی است و زمانی که مورد حمله و آلودگی قرار می گیرد امکان دسترسی به این تهدیدات و آنالیز کردن آنها‌ را برای ESET میسر می سازد.

تمامی شرکت‌های مهم فعال در زمینه آنتی ویروس در به اشتراک گذاشتن نمونه‌ها‌ با هم همکاری می کنند. ESET اطلاعات مربوط به تهدیداتی که سایر شرکت‌ها‌ موفق به کشف آن نشده اند را در اختیارشان قرار می دهد و نیز قادر است بدافزارهای کشف شده توسط شرکتهای دیگر را مورد آنالیز قرار دهد.

شناسایی انواع بدافزارها
ESET از طریق روشهای ذکر شده روزانه ۲۰۰،۰۰۰ فایل آلوده که قبلا هرگز دیده نشده‌اند را دریافت می‌کند که همه آنها‌ نیازمند آزمایش، امتحان کردن و گنجانده شدن در درون محصولات امنیتی می‌باشند.

این شرکت حتی با بکارگیری مهندس‌هایی در کشورهای اسلواکی، لهستان، کروات، چکسلواکی، روسیه، سنگاپور، کانادا و آرژانتین وجود یک فرد با مهارت جهت انجام اینگونه وظایف را به صورت شبانه‌روزی تضمین می نماید.

با این حال، هیچ یک از این ۲۰۰،۰۰۰فایل به صورت دستی پردازش نمی شوند چرا که بسیاری از بدافزارهای جدید در واقع نوع دیگری از بدافزارهای فعلی هستند.

در مورد تعدد گونه های بدافزار دلایل بسیاری را می توان برشمرد که در کنار آن دشواری‌های مقابله با مشکلات و تهدیدات عمده، اضافه کردن مشخصه‌های جدید، بوجود آوردن راهکارهای امنیتی جدید و یا تغییر آنها، شناسایی تهدیدات را مشکل‌تر می سازد.

تشخیص اینکه بسیاری از بدافزارها ‌از یک نوع هستند امتیاز مهمی برای شرکت محسوب می‌شود. ESET جهت بررسی‌های مقدماتی روندهای روتینی را به صورت اتوماتیک به اجرا می‌گذارد و در صورت کشف فایلی که مربوط به یکی از انواع بدافزارهای شناخته شده باشد می‌تواند فایلهای امضا را تنظیم کرده و بدون اجازه به وارد شدن جستجو گران آن را نابود می‌کند.

قلمرو ناشناخته
در صورت جدید بودن یک بدافزار و عدم نسبت آن با بدافزارهای شناخته شده، فایل‌های یافت شده را می‌توان رهسپار آنالیزهای عمقی‌تر نمود. بعنوان مثال Flashback botnet یکی از نمونه بدافزارهای جدید است.

یک بوت نت شبکه ای از کامپیوترهای آلوده است که تبهکاران سایبری بواسطه آن بسیاری از اهداف خود مانند ارسال ایمیل‌های اسپم به چندین کامپیوتر را عملی می‌کنند.

بوت نت از طریق Flashback با بیش از ۶۰۰،۰۰۰کامپیوتر مک مرتبط بود. ESET پس از آنالیز این تهدید، بوت نت را تحت نظارت و بررسی قرار داد و متعاقب آن با دنبال کردن فرمان‌ها و سرورهای کنترل، مدیریت کامپیوترهای آلوده را بدست گرفت.

این اطلاعات به شرکت امکان می دهد تا اطلاعات مربوط به انواع جدید بدافزارهای Flashback را جمع آوری کرده و به سرعت کاربران را از این تهدید برهاند. چنین پیش‌زمینه‌ای در خصوص نحوه عملکرد بدافزارها، امکان نوشتن امضاهای درست‌تر و جامع‌تر که بدافزارها‌ باید بوسیله آنها‌بلاک شوند را فراهم می آورد.

بازخورد اطلاعات
پس از شناسایی و طبقه‌بندی تهدیدات، لازم است که اطلاعات حاصل شده به نرم افزار ارجاع داده شود. نحوه شناسایی تهدیدات تا میزان زیادی به امضاها‌ متکی است و امضاهای جامعی که ESET از آنها ‌استفاده می‌کند امنیت گسترده‌ای را بوجود می‌آورد اما برای اطمینان از توان آنها‌ در رویارویی با تهدیدات جدید و بلاک نکردن نرم افزارهای قانونی هنوز هم نیاز به بروزرسانی است.

مدت زمان لازم برای خلق یک امضا به نوع تهدید بستگی دارد. درصورتی که این تهدید یکی از انواع شناخته شده باشد و شناسایی آن نیز بصورت اتوماتیک صورت گرفته باشد ایجاد یا بروزرسانی امضای اتوماتیک تنها‌به چند دقیقه زمان نیاز دارد.

در مورد بدافزارهای جدید این زمان کمی بیشتر است هرچند که این امضاها ‌بمنظور بلاک کردن تهدیدات باید به سرعت ایجاد شده و اطلاعات مربوط به آن برای بررسی‌های بیشتر بازخورد داده شود. تنظیمات امضاها ‌را می توان در مراحل بعدی نیز انجام داد.

نرم افزار ESET معمولا چهار بار در طول روز بروزرسانی می‌شود. با این حال، امضاها‌ پیشرو هستند و نه تنها‌ بدافزارهای شناخته شده قبلی بلکه طیف‌هایی از بدافزارها‌ که تحریرگران آنها‌ سرگرم اختراع و تدبیرشان هستند را تحت پوشش قرار می دهند تا مشتری‌ها‌ همچنان در حلقه امنیت باقی بمانند.

گاهی اوقات تبهکاران اینترنتی رویکردهای افراط‌گرایانه‌ای را در پیش می‌گیرند (مانند حملات هدفمند) تا به این وسیله دیوارهای تدافعی گذشته را درهم شکنند.

خوشبختانه، تکنولوژی ابری که در ESET Live Grid نامیده می‌شود می‌تواند راه حل بسیار خوبی برای این مشکل باشد. این تکنولوژی قادر است با مقیاس‌بندی‌های خاص خود طغیان تهدیدات را کنترل کرده و در مقابل آنها ‌واکنش درست‌تر و سریعتری نشان بدهد.

مکانیسم‌های دیگری ‌امکان غیرفعال یا فعال‌سازی امضاها ‌را فراهم می آورند.
به این ترتیب می‌توان نتیجه گرفت که یک شرکت ارائه دهنده نرم افزارهای آنتی ویروس مانند ESET تمامی فایل‌های ویندوز را از لحاظ آلودگی مورد بررسی قرار می‌دهد و امضاهای شناساییی شده مربوط به آنها ‌را قبل از اینکه بتوانند مشکلی ایجاد کنند غیرفعال می‌کند.

نادیدنی‌ها
شاید نرم افزار آنتی‌ویروس شما با داشتن یک دیتابیس ساده امضای ویروسی که بین شما و تمامی بدافزارهای اینترنتی واسط شده سیار ساده و ابتدایی به نظر بیاید اما واقعیت این است که همین ابزار به ظاهر ساده از ظاهر شدن بسیاری از پیغام‌های هشداردهنده روی صفحه کامپیوتر شما جلوگیری می‌کند.

بنابراین زمانی که باخبر می‌شوید تهدیدات بالقوه‌ای در کمین نشسته‌اند بهتر است تلاش مداوم تیم کارشناسانی که روزانه ۲۰۰،۰۰۰ فایل را با هدف یافتن بدافزارها ‌و محافظت از شما بررسی می‌کنند به یاد بیاورید.

منبع: ماهنامه دنیای کامپیوتر و ارتباطات