مقالات ترجمه شده دانشگاهی ایران

بدافزارهای استاکس نت و فلیم تکنیک های مبهم سازی

بدافزارهای استاکس نت و فلیم تکنیک های مبهم سازی

بدافزارهای استاکس نت و فلیم تکنیک های مبهم سازی – ایران ترجمه – Irantarjomeh

 

مقالات ترجمه شده آماده گروه کامپیوتر
مقالات ترجمه شده آماده کل گروه های دانشگاهی

مقالات

چگونگی سفارش مقاله

الف – پرداخت وجه بحساب وب سایت ایران ترجمه(شماره حساب)ب- اطلاع جزئیات به ایمیل irantarjomeh@gmail.comشامل: مبلغ پرداختی – شماره فیش / ارجاع و تاریخ پرداخت – مقاله مورد نظر --مقالات آماده سفارش داده شده پس از تایید به ایمیل شما ارسال خواهند شد.

قیمت

قیمت این مقاله: 38000 تومان (ایران ترجمه - Irantarjomeh)

توضیح

بخش زیادی از این مقاله بصورت رایگان ذیلا قابل مطالعه می باشد.

مقالات ترجمه شده کامپیوتر - ایران ترجمه - irantarjomeh

www.irantarjomeh.com

شماره      
۱۶۱
کد مقاله
COM161
مترجم
گروه مترجمین ایران ترجمه – irantarjomeh
نام فارسی
تکنیک های مبهم سازی در بد افزارهای استاکس نت و فلیم
نام انگلیسی
Obfuscation of Stuxnet and Flame Malware
تعداد صفحه به فارسی
۲۷
تعداد صفحه به انگلیسی
۵
کلمات کلیدی به فارسی
بد افزار, سیستم های فشرده ساز, مبهم سازی, مهندسی معکوس, تحلیل, استاکس نت, فلیم
کلمات کلیدی به انگلیسی
malware, packers, obfuscation, reverse engineering, analysis, stuxnet, flame
مرجع به فارسی
انفورماتیک و محاسبات کاربردی – آخرین خط مشی ها
کالج علوم، فناوری اطلاعات و مهندسی، دانشگاه بالارات، ام تی هلن
کالج فناوری اطلاعات و مهندسی، انستیتو فناوری ملبورن، استرالیا
مرجع به انگلیسی
Latest Trends in Applied Informatics and Computing; School of Science, Information Technology and Engineering University of Ballarat; School of IT and Engineering Melbourne Institute of Technology
کشور
استرالیا

تکنیک های مبهم سازی در بد افزارهای استاکس نت و فلیم

چکیده
بدافزار به عنوان رشته ای از دستور العمل های اجرایی، بر مبنای تمایلات فرد مهاجم یا هکر، جای داده شده بصورت پنهان در یک سیستم کامپیوتری، بدون رضایت مالک اصلی، به حساب می آید. این مقاله سه بدافزار اصلی ذیل با توجه به ویژگی های مبهم سازی آنها را مورد بررسی قرار می دهد: استاکس نت (Stuxnet)، فلیم (Flame) و مایدوم (MyDoom). بعلاوه مقاله جاری آنالیز بدافزار مایدوم با استفاده از سه تکنیک امضای ذیل را بررسی می کند: Armadillo، InstallShield وUPX.
تعداد گسترده ای از بد افزارها بوسیله سیستم های فشرده ساز تحت فرآیند فشرده سازی قرار می گیرند. ابزارهای مبهم سازی نه تنها کم هزینه و دارای دسترسی آسانی می باشند، بلکه فراهم آورنده یک راهکار استتار و مخفی سازی کارامد برای کد نویسی برنامه بد افزار نیز بشمار می آیند. بر این مبنا، فرآیند نا فشرده سازی یا از حالت فشرده خارج کردن اینگونه از برنامه ها و آنالیز کد مخرب موجود در آنها را می توان به عنوان یک راه حل بهینه برای این مشکل در نظر گرفت. اما با توجه به تعداد روزافزون و متنوع بد افزارهای انتشار یافته، چنین راهکاری را نمی توان به عنوان یک مولفه مناسب برای شرکت های امنیتی و محققین این رشته در نظر داشت. در این مقاله هدف ما فراهم آوردن خلاصه جامعی از مشکلات مربوطه و ارائه راهکارهای عملی در زمینه تاثیر گذاری آنها و بررسی تکنیک های ژنتیکی مختلف به منظور برخورد با این مشکلات می باشد.

کلمات کلیدی: بد افزار، سیستم های فشرده ساز، مبهم سازی، مهندسی معکوس، تحلیل، استاکس نت، فلیم.

 

بدافزارهای استاکس نت و فلیم تکنیک های مبهم سازی

 

۱- مقدمه
انواع بدافزارها شامل برنامه های مخرب نظیر استاکس نت، فلیم، مایدوم، بوتز، کرم ها، جاسوس افزارها، روتکیت ها، ویروس ها، اسب های تراوا، آگهی افزارها، برنامه های بکدور / پشت دربی، انواع کدهای مخرب و موارد دیگر می باشند.
ویروس ها غالباً در طی اجرای یک برنامه، نرم افزار یا انتقال مستندات و یا فایل های مختلف گسترش می یابند. کرم ها به عنوان نوعی نرم افزار مستقل به شمار می آیند که به طور معمول بر روی فرایند بوت نمودن کامپیوتر تأثیرگذار هستند. اسب های تراوا به صورت دستی به بخشی از نرم افزار متصل گردیده که سبب خواهند شد تا کاربر به صورت اجباری اقدام به نصب نرم افزار غیرضروری نماید. نرم افزارهای بکدور یا پشت دربی نیز سبب می شوند تا کاربران به سرور یا هر مورد برنامه اصلی دیگر از طریق نادیده گرفتن فرایند شناسایی معمولی وارد شوند. جاسوس افزارها اقدام به جمع آوری و توزیع اطلاعات در خصوص الگوی دسترسی  کاربران  می نمایند. کدهای مخرب (Exploit) نیز علیرغم استفاده کاربران از ابزارهای امنیتی خود اقدام به تضعیف ویژگی های امنیتی این ابزارها می نمایند. روتکیت که نوعی از برنامه های درب پشتی به شمار می آید سبب می گردد تا رد مهاجمین یا هکرها به هنگام ورود کاربر به سیستم مخفی گردد. بدافزارهایی نظیر استاکس نت، فلیم، مایدوم، بوتز و آگهی افزارها نیز جزء دیگری از انواع بدافزار به شمار می آیند که برخی از آنها اخیراً مشخص گردیده اند.
ویژگی های اصلی برای تشخیص بدافزار و ممانعت شامل موارد امنیتی، ایمنی، مخفی سازی و پایداری می باشند. خصیصه های مطرح شده در بخش جاری به صورت مختصر مورد بررسی قرار می گیرند.
امنیت
چارچوب امنیت جهت تحلیل بستر مورد استفاده به منظور حفاظت از قربانیان در برابر حملات مورد استفاده قرار می گیرد. مؤلفه های این چارچوب را می بایست در یک حالت امن مدیریت نمود.
ایمنی
فایل های مخربانه مختلفی بر روی پلتفرم های گوناگون ممکن است سبب بروز حوادث غیر مترقبه ای شوند. مخصوصاً برای فرایندهای تحلیل دینامیکی، چارچوب ایمنی قابلیت مشخص سازی برنامه های مخرب و ممانعت از هرگونه صدمه دیدگی ناخواسته به کاربران شبکه را خواهد داشت. دسترسی خاص به شبکه از سوی میزبان هایی که اقدام به اجرای برنامه های بدافزاری می نمایند می بایست به صورت منفک مشخص گردیده و به علاوه می بایست قابلیت کنترل آنها به منظور ممانعت از ایجاد ترافیک مضر در شبکه نیز وجود داشته باشد.
مخفی کاری
این چارچوب در اینترنت پیاده شده و در آن قابلیت مشخص سازی فعالیت های مهاجمین وجود دارد. به منظور به حداقل رسانی ریسک های غیرضروری، رفتار این سیستم نباید باعث بروز آشفتگی چندانی در سیستم شود. این برنامه را می بایست مخصوصاً بر روی شبکه با دقت بکار گرفت.
پایداری
فعالیت ضد بدافزاری به عنوان یک فرایند پیوسته مشخص سازی گونه های بدافزاری جدید، ذخیره سازی مشخصه های بدافزارها در بانک های اطلاعاتی، تحلیل گونه ها، ایجاد امضا برای تشخیص و گزارش دهی مد نظر می باشد. بدافزارهای جدید به صورت مکرر ایجاد می شوند و چنین فرایندی هرگز با توقف روبرو نخواهد شد. این چارچوب می بایست در یک حالت پیوسته تحت مدیریت قرار گیرد.
ادامه این مقاله بشرح ذیل سازماندهی شده است: بخش ۲ مشخص کننده ویژگی های بدافزار استاکس نت می باشد. بخش ۳ مشخص کننده ویژگی های بدافزار فلیم و بدافزار مایدوم است. متعاقباً ویژگی های ابهام سازی این بدافزارها در بخش ۴ مورد بررسی قرار می گیرد. فرایند ابهام سازی را می توان برای بدافزارهای استاکس نت و فلیم بکار گرفت. نتیجه گیری همراه با ویژگیهای تحقیقات آتی در بخش ۵ ارائه خواهد شد.

بدافزارهای استاکس نت و فلیم تکنیک های مبهم سازی

 

۲- بدافزار استاکس نت
استاکس نت به عنوان اولین خطر و بدافزار مخربی به شمار می آید که اقدام به هدف قراردهی سیستم کنترل صنعتی نظیر خطوط لوله گاز، تأسیسات نیروگاهی برق و غیره نموده است [۱]. این بدافزار دارای چهار ویژگی می باشد: دستور و کنترل، روش های متعدد انتشار، گواهینامه درایو VeriSign دزدیده شده و یک روتکیت [۱].
استاکس نت به طور ابتدا به ساکن جهت خراب کردن تجهیزات زیمنس (S7-315 و S7-417) طراحی شده و این پیش بینی نیز ارائه گردیده است که در آینده این بدافزار ممکن است قابلیت خراب نمودن رمزها یا پسوردهای هک شده نرم افزار Siemens step 7 را داشته باشد. بر مبنای اطلاعات شورای فناوری وزارت صنعت و معدن ایران، مشخص ساخته است که آدرس های IP 30000 سیستم کامپیوتری صنعتی این کشور از ۲۵ سپتامبر ۲۰۱۰ به بعد آلوده شده اند.
۲ـ۱٫ ویژگی اصلی استاکس نت
استاکس نت شامل چهار فایل است: .LNK، WTR4141.tmp ~، WTR4 132.tmp ~، .dll کدگذاری شده با انتخاب فایل های مختلف نظیر .dll، .exe، .dat، .sys، .tmp [2]. این فایل ها همگی در یک فایل .dll فشرده شده اند که تحت عنوان فایل .dll فشرده شده UPX به شمار می آیند، به علاوه ویژگی های دیگر آن قابلیت حمل، و قابلیت اجرایی در کسری از زمان است و همچنین در فرمت های قابل گسترش مختلفی نیز وجود دارد. هدف اصلی استاکس نت بروز وقفه یا مشکل در سیستم ها از طریق کنترل لاجیک با قابلیت برنامه ریزی (PLC) می باشد، به گونه ای که مهاجمین به راحتی می توانند کنترل PLCها را به دست گیرند [۳]. استاکس نت همچنین، در ارتباط با خطوط تولید، جهت انتقال داده ها از تأسیسات صنعتی ایران به گره های شبکه خارجی طراحی شده است [۴].
بدافزار استاکس نت می تواند از طریق یک CD، یک حافظه فلش (USB) در PLC مرتبط با سیستم کنترل صنعتی (ICS) انتشار یابد. البته احتمال آنکه سیستم های کنترل صنعتی به طور مستقیم به اینترنت متصل باشند بسیار نادر است، اما هر PLC با خواص منحصر به فردی پیکربندی شده است. مهاجمین قابلیت حاصل آوردن اطلاعات در خصوص مستندات طراحی ICها با کمک مستخدمین (افراد درون سازمانی) را داشته یا می توانند این اطلاعات را از نگارش اولیه استاکس نت به دست آورند.
حمله روز صفر به عنوان نرم افزاری تلقی می شود که قبل از آنکه توسعه دهندگان نرم افزارهای ضد بدافزار (ضد حمله) اطلاعات چندانی در خصوص خطرات آن داشته باشند، به وسیله یک مهاجم توسعه یافت. استاکس نت از کدهای مخرب و بدافزارهایی نظیر روز صفر و روز صفر- متعدد جهت گسترش خود در کامپیوترهای دیگر محلی و کامپیوترهای شبکه (LAN) همانگونه که در شکل ۱ نشان داده شده است استفاده می نماید. این بدافزار با استفاده از یک مکانیزم خاص قابلیت بلوکه سازی نرم افزار کنترل کننده رفتار را داشته و از این طریق اقدام به بارگذاری یک فایل dll نموده و بر مبنای آن قابلیت کنترل فراخوانی های کتابخانه بارگذاری که بر مبنای فناوری های محافظت از هجوم کامپیوترهای هاست (میزبان) می باشد را خواهد داشت.
 

بدافزارهای استاکس نت و فلیم تکنیک های مبهم سازی

 

۳- بدافزار فلیم
فلیم به عنوان پیچیده ترین بدافزار کامپیوتری به شمار می آید که تاکنون در بخش صنعت مشاهده شده است [۷]. فلیم که همچنین تحت عنوان w32.Flame.skywiper  نیز خوانده  می شود جهت ربودن بانک های اطلاعاتی مختلف طراحی شده است. یکی از عملکردهای متمایزی که به وسیله بدافزار فلیم استفاده می شود  تحت عنوان “جاسوسی صوتی” خوانده می شود که در آن از قابلیت ضبط صدا، ضبط تصاویر موجود بر روی صفحه کامپیوتر و کنترل فعالیت های صفحه کلید و ترافیک شبکه بهره گرفته شده است. به طور مثال، فلیم دارای قابلیت رهگیری صحبت های و مکالمات انجام شده بر روی نرم افزار اسکایپ از طریق تشخیص و شناسایی فعالیت میکروفن بر روی کامپیوتر آلوده را دارد.
بدافزار فلیم متعاقباً اقدام به ارسال اطلاعات جمع آوری شده به سرور مرتبط می نماید. چنین ارسالی را می توان به عنوان یک نقطه آغازین برای انجام فرایند های بدافزاری متعاقب در نظر گرفت [۸]. چنین موردی دارای مشابهت های زیادی با دیگر بدافزارها نظیر استاکس نت و Duquas که در شکل ۲ نشان داده شده است می باشد. فلیم از نقطه نظر برنامه نویسی و پیچیدگی بیست برابر استاکس نت می باشد. همانند استاکس نت، فلیم نیز از شبکه محلی (LAN) یا اینترانت و یا اتصال USB جهت انتشار آلودگی بر روی سیستم های مختلف استفاده می نماید. برخلاف استاکس نت، فلیم صرفاً برای تأثیرگذاری بر روی سیستم های کنترل صنعتی طراحی نشده است، بلکه برای افراد، مؤسسات آموزشی و تجاری نیز مدنظر است. با وجود آنکه استاکس نت و فلیم از زبان های برنامه نویسی مختلفی همراه با معماری های کاربردی متفاوت استفاده می نمایند، اما ویژگی های آنها بر حسب پراکنده سازی، کاربرد ویژگی های امنیتی مشابه، ویژگی های آسیب پذیری یکسان، تأثیرگذاری بر روی سیستم ها و همچنین کاربرد تکنیک ها و الگوریتم های حک کننده که در هیچ کجای دیگر استفاده نشده اند کاملا مشترک هستند.

بدافزارهای استاکس نت و فلیم تکنیک های مبهم سازی

 

۴- ابهام سازی در بدافزار مایدوم
ابهام سازی به عنوان یک ویژگی فراگیر کنونی بدافزارها به شمار می آید. از آنجایی که فرایند ابهام سازی سبب سخت تر شدن پیچیدگی یک برنامه برای آنالیز مهندسی معکوس و ایجاد تغییرات در امضای برنامه ها می شود، چنین مؤلفه ای به عنوان انتخاب شایع نویسندگان بدافزار به شمار می آید. در اینجا سه تکنیک ابهام سازی متعارف مدنظر می باشد که شامل تزریق یا درج کد ناخواسته، جابجایی کد برنامه، و در نهایت فشرده سازی است. فرایند فشرده سازی به عنوان یک روش شایع مطرح است. نویسندگان امروزی بدافزار به طور عمده ای بر روی برنامه های فشرده ساز تمرکز دارند.
در سال ۲۰۰۳، درصد بدافزارهای جدید فشرده شده از ۲۹% به ۳۵% افزایش یافته و در سال ۲۰۰۵ به تقریباً ۸۰% رسیده و این فرایند تا به امروز نیز تداوم داشته است [۹]. برنامه های فشرده ساز قابلیت فشرده سازی عملیات و پوشش دادن آن با یک سیستم نافشرده ساز یا بازکننده اطلاعات به عنوان یک کد قابل اجرای منحصر به فرد را خواهند داشت. به منظور پیچیده سازی این فرایند، ویژگی مخفی سازی و کد نمودن اطلاعات بکار گرفته می شود. اولین راه حل برای سیستم های فشرده ساز، باز کردن کد فشرده شده می باشد و متعاقباً فرایند مهندسی معکوس و انجام تحلیل کد مخرب در دست آخر می بایست انجام شود. با این وجود، دانستن اطلاعات کافی و پیاده سازی ویژگی های امنیتی برای کلیه سیستم های فشرده ساز و باز کننده اطلاعات چندان آسان نیست. تحقیقات مرتبط با ویژگی های امنیتی اصلی و تحقیقات انجام شده به وسیله شرکت های ضد ویروس نشان داده است که حداقل ۲۰۰۰ گونه سیستم های فشرده ساز مخرب در بیش از ۲۰۰ خانواده وجود دارند که در این میان، آنها توانسته اند نسبت به شناسایی کد نافشرده ساز در تقریباً ۱۲۰۰ سیستم که ۱۵۰ خانواده را در بر می گیرد اقدام نمایند. به طور مؤثر، کد فشرده ساز برای ۸۰۰ عضو در ۱۱۰ خانواده موجود است. بنابراین، همچنان شاهد بروز معضلی در این رابطه هستیم که متشکل از ۱۲۰۰ عضو در بین ۹۰ خانواده در این ارتباط می باشد [۱۰]. البته این تعداد روز به روز در حال افزایش است، چرا که سیستم های فشرده ساز جدید انتشار یافته و حتی برنامه ها و کدگذاری های سیستم های موجود نیز جهت استفاده مجدد اصلاح می گردند.
۴ـ۱٫ فشرده سازی بدافزار و کارآمدی آن
با توجه به یک گونه بدافزار M نظیر مایدوم و قابلیت بکارگیری آن با استفاده از یک فشرده ساز P نظیر Armadillo، قابلیت ایجاد یک کد مخرب مبهم سازی PM وجود دارد. چنین موردی سبب می شود تا فرایند مهندسی معکوس و مشخص سازی امضا بر مبنای رویه تشخیص مشکل تر گردد.
M±P = PM
که در آن،
M = بدافزار
P = فشرده ساز
PM = برنامه بدافزار فشرده شده
با توجه به این رویکرد M مشخص کننده یک امضا “A” می باشد در حالی که PM مشخص کننده امضای “B” است.
در صورتی که تعداد n گونه ای از بدافزار m نظیر M1, M2, M3……….Mnand وجود داشته باشد، هر گونه قابلیت تولید امضای S را خواهد داشت. بنابراین n به صورت ثابت باقی مانده و تعداد n مورد از امضاها حاصل خواهد شد، نظیر S1, S2, S3……Sn.
مشکل اصلی با استفاده از روش تشخیص مبتنی بر امضا آن است که چنین موردی نیازمند آنالیز کد قطعی و تداخل اصلی می باشد. به هنگامی که امضاهای جدید ایجاد شدند، امضاهای قدیمی به راحتی کنار گذاشته می شوند. با توجه به روشی که بر مبنای آن تعداد زیادی از بدافزارها به صورت روزمره انتشار می یابند، اندازه مخزن یا انباره امضا تدریجاً به عنوان یک مسئله مهم تلقی خواهد شد [۹].
۴ـ۲٫ راه حل های بدافزارهای فشرده شده
دو دسته بندی کلی در ارتباط با راه حل ها در خصوص مشکل برنامه های فشرده ساز موجود وجود دارند.
  1. انجام دستی فرایند مهندسی معکوس باینری های فشرده شده و ایجاد فایل هایی که قابلیت باز کردن اطلاعات فشرده شده برای سیستم های فشرده ساز شناخته شده موجود را داشته باشند.
  2. انجام پیوسته آنالیز برنامه های بدافزاری و اضافه نمودن امضاهای بدافزارهای شناخته شده و خانواده های آنها به بانک های اطلاعاتی AV.
هر دوی این روش ها یک قالب کلی را در بر نداشته و نیازمند سطح بالایی از مهارت های مرتبط با مهندسی معکوس و زبان  اسمبلی می باشند. آنها همچنین زمانبر بوده و به علاوه قابلیت مقاومت در برابر بدافزار روز صفر را نیز نخواهند داشت. هیچ گونه برنامه بازکننده فایل های فشرده کلی کارآمد و تکنیک تحلیل امضای کاملاً مناسب برای بدافزارهای مبهم موجود وجود ندارد. البته رویکردهای تحلیلی استاتیکی و دینامیکی مورد استفاده قرار گرفته اند. آنالیز استاتیک بدافزارهای فشرده از قابلیت هایی نظیر ایمنی، کارآمدی و جابجایی برخوردار است اما در عین حال یک رویه کلی را ارائه نمی نماید. چنین موردی در بردارنده سرمایه گذاری معنی داری در ارتباط با زمان و انجام تلاش های بسیار به وسیله مهندسین کاملاً باتجربه می باشد. با نگاه به تاریخچه رشد بدافزار این سرمایه گذاری به نظر با توجه به یک نرخ دینامیکی سریع در حال رشد می باشد. از طرف دیگر آنالیز دینامیکی یک ماشین مجازی (VM) یا یک شبیه ساز از کارآمدی کمتری برخوردار می باشد چرا که بدافزارهای جدید از توانایی کافی جهت شناسایی حضور یک شبیه ساز یا VM برخوردار می باشند. آنها از مقادیر متنوعی از تکنیک های ضد شبیه سازی برخوردار هستند. به علاوه هیچ گونه خط سیاه و سفید خاصی، و یا روش ابتکاری مشخصی، جهت تعیین معیارهای آنالیز دینامیکی نیز وجود ندارد.

بدافزارهای استاکس نت و فلیم تکنیک های مبهم سازی

 

۵- نتیجه گیری
فرآیند ابهام سازی کد بدافزار به عنوان یک روش مؤثر استفاده شده به وسیله اکثریت بدافزارهای موجود جهت ممانعت از تشخیص به وسیله نرم افزارهای ضد ویروسی به شمار آمده و علاوه بر این مهندسی معکوس آن نیز مشکل است و در عین حال چنین بدافزارهایی قابلیت مخفی سازی طبیعت اصلی کد برنامه خود، در برابر محققین، را خواهند داشت. از آنجایی که مکانیزم تشخیص بدافزار بر مبنای امضا متکی به  توالی  کد  بایت  می باشد، برای نویسندگان بدافزارها بسیار آسان می باشد تا اقدام به تغییر توالی کد بایت نموده و بنابراین می توانند نسبت به تغییر امضای بدافزار خود با استفاده از ابزارهایی نظیر فشرده سازها اقدام نمایند.
تحقیق متعاقب ما در خصوص آنالیز بدافزارهای استاکس نت و فلیم با استفاده از روش مهندسی معکوس می باشد.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Irantarjomeh
لطفا به جای کپی مقالات با خرید آنها به قیمتی بسیار متناسب مشخص شده ما را در ارانه هر چه بیشتر مقالات و مضامین ترجمه شده علمی و بهبود محتویات سایت ایران ترجمه یاری دهید.