info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

ضد باج‌افزار هوشمند جدید

خلاصه: ابزار هوشمند جدید، باج‌افزار را پیش از این که خیلی دیر شود متوقف می‌کند. این ابزار که ShieldFS نام دارد، از روی رفتار برنامه ماهیت باج‌افزار را تشخیص داده و با آن مقابله می‌کند.این ضد باج‌افزار توسط دانشمندان دانشگاه پلی‌تکنیک میلان توسعه داده شده است.

 

در چند ماه اخیر، موج حملات باج‌افزارها، دنیا را آلوده کرده است و نه ‌تنها در امور تجاری، که در سرویس‌های حیاتی مانند مراقبت‌های پزشکی، زیرساخت‌ انرژی و نیز مخابرات، اختلال ایجاد کرده است. این موضوع به این معناست که تحقیقاتی که Andrea Continella و گروهش اخیراً دنبال کرده‌اند در بهترین زمان ممکن بوده است؛ ابزاری که به طور خودکار و تقریباً بلافاصله باج‌افزار را تشخیص داده و قبل از این که هکرها بتوانند به‌طور کامل فایل‌ها را رمز کنند، سیستم شما را به حالت قبلی ذخیره شده در پشتیبان‌گیری بازمی‌گرداند. ‌

این ابزار که ShieldFS نام دارد، یک پلت‌فرم گسترده‌ی ضدویروس نیست و فقط ظاهرش شبیه آن است. درعوض یک محصول با ویژگی هدفمند است که فقط برای یافتن حملات باج‌افزارها پویش می‌کند. در واقع می‌توان آن را یک ضد باج‌افزار نامید. با محدود نگه داشتن حوزه‌ی عمل ShieldFS تمرکزش روی تشخیص رفتارهای منحصر به ‌فرد رمزنگاری باج‌افزار خواهد بود و در نتیجه این ابزار را قادر می‌سازد که تشخیصش منحصر به انواع شناخته شده‌ی فعلی نباشد و هرگونه رفتار مشکوک شبیه به باج‌افزاری را شناسایی کند. این گروه مستقل که از دانشگاه پلی‌تکنیک میلان در ایتالیا است، ShieldFS را در کنفرانس امنیتی Black Hat در لاس وگاس در روز چهارشنبه گذشته ارائه کرد.

یک پژوهشگر امنیتی که در این پروژه کار کرده می گوید: «آنچه در این پژوهش استفاده شده، مجموعه‌ای از شاخص‌هاست که ما تهیه کرده‌ایم تا با استفاده از آن‌ها بتوان به طور مؤثری گفت آیا یک فرایند، بدافزار است یا خیر». با تمرکز بر تشخیص خود عملیات رمزنگاری به جای فهرست‌بندی ساده‌ی انواع باج‌افزارها برای جستجوی آن‌ها، ShieldFS می‌تواند نمونه‌های ناشناخته باج‌افزارها را هم تشخیص دهد و این موضوع حتی در مورد باج‌افزارهای شناخته‌شده‌‌ای که به یکباره تغییر چهره می‌دهند هم خیلی مؤثر خواهد بود.

 

گارد سایه

پژوهشگران با انواع رایج باج‌افزارها مانند CryptoLocker و TeslaCrypt که به یک شیوه‌ی پایه به سیستم حمله می‌کنند کار کرده‌اند؛ این باج‌افزار‌ها درون دایرکتوری حرکت کرده و تک‌تک فایل‌ها را رمز می‌کنند. در کنفرانس Black Hat این گروه قرار است عملکرد دفاعی ShieldFS را در برابر بدافزار معروف WannaCry اثبات کرد.

وقتی ShieldFS یک برنامه‌ی مشکوک جدید می‌یابد، وارد فاز مشاهده می‌شود تا متوجه شود برنامه یک باج‌افزار است یا نه. در طول این زمان ShieldFS شروع می‌کند به جمع‌آوری یک گزارش از تمام کارهایی که آن برنامه انجام می‌دهد و تمام فایل‌هایی که به آن دسترسی پیدا می‌کند. در صورتی که ShieldFS نتیجه بگیرد که آن برنامه مخرب است، کد را از اجرا باز داشته و مسدود می‌کند و به طور خودکار تمام چیزهایی که باج‌افزار با آن تماس داشته، به حالت قبلی در پشتیبان‌گیری‌ها بازمی‌گرداند.

ShieldFS  می‌تواند عملکرد مثبت کاذب  داشته باشد. این محققان ذکر کرده‌اند که ابزار تولیدشده، سبب آسیب‌های جانبی نخواهد شد و صرفاً برخی فرایندهایی را که قصد اجرایشان را داشتید متوقف می‌کند و به راحتی می‌توانید آنچه را این ابزار، مشکوک تلقی کرده، مجاز شمرده و مجدداً اجرا کنید.

حین ساخت ShieldFS، محققان دریافتند که باج‌افزارهای قدیمی‌تر، رفتار یکتا و رمزکردنی دارند و در مقایسه با دیگر برنامه‌های درحال اجرا در یک سیستم، قابل شناسایی هستند. یکی از اعضای این تیم می‌گوید: «همیشه اینگونه است که بدافزار، فایلی را باز می‌کند؛ آن را با محتوایی کاملاً متفاوت و دقیقاً در محل قبلی جایگزین می‌کند و این محتوا، از طریق حافظه با یک اثر انگشت و ویژگی‌های خاص منتقل می‌شود که این عمل، غیر قابل اجتناب است. هیچ برنامه‌ی عادی چنین ویژگی‌هایی از خودش نشان نمی‌دهد و درنتیجه ما به طور امن می‌توانیم متوجه شویم که آن برنامه یک باج‌افزار است.»

اتاق رشد

بزرگترین محدودیت  ShieldFS این است که سیستم را تنها در برابر باج‌افزارهای سنتی که در بالا ذکر شد محافظت می‌کند و گونه‌هایی را که با قفل‌گذاری، افراد را بیرون سیستم‌هایشان متوقف می‌کنند تشخیص نمی‌دهد. این گونه باج‌افزارها اشخاص را مجبور به پرداخت مبلغی می‌کنند تا دوباره دسترسی به سیستم خود را به دست بیاورند، نه که کلید رمزگشایی فایل‌هایشان را به آن‌ها بدهد. برای مثال، این ابزار، در حال حاضر نمی‌تواند در برابر خانواده‌ی Petya  که نسخه‌ای از آن اوکراین و چند کشور دیگر را درگیر کرد محافظت کند. بیشتر حملات باج‌افزاری، به شیوه‌ی سنتی هستند که ShieldFS  می‌تواند آن‌ها را تشخیص دهد؛ اما گونه‌های مهم و بالقوه‌ی دیگر نادیده گرفته شده است. عضو تیم توسعه‌ی این ابزار می‌گوید توسعه‌ و افزودن شیوه‌های تشخیص دیگر انواع باج‌افزارها در این ضد باج‌افزار ممکن خواهد بود.

این ابزار در کنار مزایایی که دارد، در معرض رویارویی با همان نگرانی‌های امنیتی مربوط به انواع دیگر ضدویروس هست. این برنامه نیاز به مجوز بالایی دارد تا بتواند کل داده‌ها و فعالیت‌های درون سیستم را پویش کند. هکر هم با سواستفاده از همین دسترسی می‌تواند دسترسی به سیستم را به دست آورد یا کد مخرب اجرا کند. البته محققان گفته‌اند که ShieldFS  را با حداقل ممکن دسترسی به سیستم ساخته‌اند. تنها ماژول تشخیص نیاز به این سطح عمیق دسترسی دارد و مؤلفه‌های محاسبه و تحلیل می‌توانند به عنوان یک برنامه‌ی عادی اجرا شوند و در نتیجه تاثیرگذاری محدودی روی سیستم داشته باشند.

این محققان می‌گویند با وجود این که ShieldFS  می‌تواند به‌طور کارآمدی پویش برای یافتن بدافزار انجام دهد، اما این تنها یک محصول تحقیقاتی است و برای پیاده‌سازی در دنیای واقعی آماده نیست. این‌ گرو‌ه‌ها قصد دارند کد را منتشر کنند و در نتیجه، دیگران می‌توانند از آن برای پروژه‌های مرتبط دیگر الهام گرفته یا برای بهتر کردن آن کار کنند. در نهایت، ساختن باج‌افزارهایی که بتوانند ShieldFS یا پویشگرهایی نظیر آن را دور بزنند، می‌تواند مشکل را از این که هست بدتر کند.

عملکردهای دفاعی نظیر وصله کردن نرم‌افزار می‌تواند خطر آلوده شدن یک سیستم به باج‌افزار را کاهش دهد. همچنین پشتیبان‌گیری مداوم، یک راه‌ حل ساده‌ی چندمنظوره است که پس از خرابکاری باج‌افزار می‌تواند کمک کند. اما روند آسیب‌زنی‌های اخیر باج‌افزارها نشان‌دهنده‌ی این است که این اقدامات حیاطی، برای انهدام کامل آسیب‌های باج‌افزار در همه موارد کافی نبوده است.

تحت نظارت وف ایرانی