روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ تا به حال شده به این فکر کنید که اساساً چرا به ویروسهای کامپیوتر «ویروس» میگویند؟ خوب در واقع این روزها واژهی «ویروس» به طرز اشتباهی به هر نوع برنامهی آلوده اطلاق شده و یا برای توصیف هر بلایی که یک برنامه سر کامپیوتر میآورد مورد استفاده قرار میگیرد. تعریفِ دایرهالمعارفیِ این واژه چنین است: ویروس، یک کد برنامه است که میتواند تقلید نموده و سرایت پیدا کند؛ درست مانند ویروس بیولوژیکی (مثلاً ویروس آنفولانزا).
عجیب اینجاست که- ویروسهایی با این تعریف، خیلی سال پیش از بین رفتهاند؛ دیگر امروزه با ویروسهایی سر و کار داریم که فقط تقلید نمیکنند بلکه بیشتر مشغول خرابکاریاند. این ویروسها اکنون با کارکرد مخرب خود میتوانند به سرقت دادهها از کامپیوتر و یا پاک کردن کل اطلاعات بپردازند: برای مثال، یک تروجان را در نظر بگیرید. با این همه اگر هنوز هم از افراد بخواهید فناوریهای امنیتی کامپیوتر را به تصویر بکشند، اکثریت چیزی شبیه به این میکشند: یک سری دانشمند که دارند لوله به دست با روپوش آزمایشگاه روی ویروسها آزمایش انجام میدهند.
بدانید و آگاه باشید: ویروسها مردهاند. اما متودهای تحلیل که برای تشخیص و ضدعفونی به کار میرفتند باقی ماندهاند و همچنان نیز دارند گسترش مییابند. این متودها هنوز هم میتوانند در مقابل ویروسهای مدرن بایستند.
خلاصه بگوییم، تقلید (امولاسیون[1]) روشی است برای کشف تهدیدهای ناشناخته که به موجب آن، یک فایل مشکوک در محیطی مجازی (محیط شبیهسازیشده) که تقلیدی است از کامپیوتر واقعی اجرا میشود. در چنین شرایطی، آنتی ویروس رفتار فایل مذکور را مشاهده کرده و اگر به هر گونه فعالیت خطرناک پی ببرد آن را برای بررسی بیشتر ایزوله (جداسازی) میکند. متوجه شباهت آن با ویروسشناسیِ زیستی میشوید؟ وقتی در بدنِ بیمار، سمی وجود ندارد چرا به او پادزهر تزریق کنیم (آن هم با کلی عوارض جانبی که دارد). بهتر است آن را در در محیطِ کشت، شبیهسازی کنیم و ببینیم ابتدا ماجرا از چه قرار است؛ بعد نوبت آن میرسد که در صورت لزوم داروی مناسب را به کار ببریم.
اما چالش اصلی درست مانند چالش نسخهی زیستی آن است: خیلی مهم است که محیط شبیهسازی تا حد امکان شبیه به محیط واقعی باشد. در غیر این صورت، فایلهای مخرب ممکن است متوجه شوند مکان، مکان تقلبیای است و از آن به بعد رفتارهای عادی از خود نشان دهند تا فعالیت مشکوکشان لو نرود. ما دهههاست که داریم چنین عمل امولاسیونی را انجام میدهیم و با افتخار میتوانیم ادعا کنیم در این حوزه سرآمدِ رقبا هستیم.
اولین امولاتور در جهان توسط تیم ما در سال 1992 (پیش از عصر DOS) ساخته شد. خیلی زود متخصصین تمام جهان از میزان شناسایی آنتیویروسِ ما هیجانزده شدند (بله آن زمان تنها یک آنتیویروس بود). کمی بعد این حوزه، جو رقابتی به خود گرفت و دیگر هر بخش مستقلی خواست روی ساخت چنین آنتیویروسی کار کند.
حالا از آن زمان خیلی گذشته است.... چشمانداز تهدید بیش از اندازه پیچیده شده: ویروسها اکنون صحنه را ترک کردند و جایشان کرمهای شبکهای، تروجانها و سایر آفاتِ پیچیده آمده است. در عین حال، انواع فناوریهای کامپیوتر/موبایل/اینترنت اشیا (و کل فناوریهای دیجیتال) نیز همچنین پیشرفت کرد و به تبع آن مهارت این امولاتور نیز بیشتر شد. حال ما این شبیهساز را در محصول کلود سکیوریتی KSN خود جای داده؛ بدان زبانهای برنامهنویسی جدید یاد دادیم؛ با مرورگرهای جدید و سایر OSها آشنایش کردیم.... همه و همه تنها به خاطر اینکه این امولاتور بتواند ما را در کشف انواع ناشناختهی بدافزار بیشتر کمک کند.
امروزه، کمتر رقبایی توانِ ارائهی چنین فناوریای را دارند: شبیهسازی کار بسیار سختی است که به سالها مهارت، یکپارچگیسازیِ بسیار زمانبر و توسعهی مداوم نیاز دارد. با این حال، خیلی از تازهکارانِ صنعت امنیت سایبری تمایل دارند در این بخش سرمایهگذاری کنند. شاید در کوتاهمدت این رویکرد بتواند به رشد سازمانی منتج شود اما نمیتوان کاربران را در طولانی مدت فریب داد: در نهایت یک جای کار خواهد لنگید و رسوایی پیش خواهد آمد. به بیانی دیگر، اگر یک شرکت فعال در حوزه امنیت سایبری، امولاتور مخصوص به خود را داشته باشد کاربران به سطح تخصص و نیز بلوغ توسعهدهنده پی خواهند برد. و بر عکس: اگر امولاتوری وجود نداشته باشد یعنی شرکت مهارت و تجربه کمی دارد و لذا عمر طولانی نخواهد داشت.
بنابراین، گرچه از الان تا به همیشه در حال ارتقا دادن امولاتور خود هستیم اما از طرفی دیگر نیز خورههای سایبری را داریم که مدام به فکر راهحلهای جدید برای پیشبرد عملیات جاسوسی و مخرب خود هستند (یکی از این راهحلها میتواند در راستای محافظت خود و عملیاتهایشان در برابر امولاتور ما باشد).
عاملین سایبری بسیار حرفهی و پیشرفته از انواع تفرندهای ضد امولاتور برای شناسایی محیط آزمایشگاهی استفاده میکنند. برای مثال اجرای عملیاتی ثبتنشده، بررسی صحت درخواستها برای تغییر رجیسترهای پردازشگر، تحلیل کدهای خطا، جستوجوی کدی خاص در مموری، استفاده از بمبهای منطقی[2] که امولاتور را در حلقهای بیانتها قرار میدهد و غیره. اگر این بدافزار متوجه چیز مشکوکی شود، کارکردهای مخرب را آناً متوقف کرده و خود را موجه جلوه میدهد.
نکته اینجاست که تیم ما بخوبی به این ترفندها آگاه است و از آنها پیشی میگیرد. امولاتور ما همیشه خود را بروزرسانی میکند و سعی دارد در برابر هر ترفند جدیدی بایستد. برای مثال برای بالا بردن سرعت این امولاتور از محدودکنندهها، بهینهسازها و پروفایلهای تنظیماتیِ مختلفی استفاده میکنیم که شاید حتی در برخی موارد اگر تأخیر به بدیِ BSoD باشد روند کار امولاتور قطع گردد.
علاوه بر این، ما دارندهی پتنت (US10275597) برای امولاتور کد منبع هستیم که میتواند ناشناختهها را تعبیر کرده و مورد تحلیل قرار دهد. تا آنجا که میدانیم هیچ رقیبی در این حوزه چنین محصولی ارائه نکرده است: رقبا برای اینکه بتوانند در مقابل ترفندهای ضد امولاتور بدافزار بایستند میبایست مجدداً روی کل امولاتور خود کار کنند (که خوب البته کار یکی دو روز نیست). اما ما به امولاتور خود یاد دادیم که در حین فرآیند، خود را از پایگاه اطلاعاتی داخلی به روز کند. بله... این یک قابلیت تمامعیار است.... پس وقتی میگوییم قدرت ما همانا در حفاظت از جهان دیجیتالی شماست واقعاً جدی هستیم.
حال، برخی فایلها نه در کد ماشین، که مستقیماً در کد منبع توزیع میشوند. برای اجرای آنها روی کامپیوتر نیاز به یک مترجم است (مانند جاوااسکریپت یا VBA) که بتواند کد را در لحظه به زبانی ماشینپسند ترجمه کند. و خوب البته که بدافزار اغلب در چنین فایلهایی لانه میکند.
برای شناسایی چنین تهدیدهای ناشناختهای، از خیلی سال پیش امولاتور کد منبعی ساختهایم که فایلها را پیش از اجرا در «لوله آزمایش[3]» چک میکند. با این حال، شبیهسازیِ کاملِ مترجم به منابع زیادی احتیاج دارد: تأخیر در پردازش صفحات وبی با اسکریپت شاید به کار خیلی از کاربران اینترنتیِ مأیوسشده بیاید. بنابراین امولاتورها معمولاً نسخهی دستکاریشدهای از فضای مجازی را بازسازی میکنند (که هم به لحاظ کارایی و هم کیفیت حفاظت قابل قبول باشد). اما وقتی امولاتور با چیزی ناشناخته یا متود و کارکردی ناشناخته در کد -که ترجمهاش به طور حتم برای تحلیل فایل حیاتی است- مواجه میشود چه اتفاقی میافتد؟
ما این مشکل را نیز به کمک مترجمی هوشمند حل کردهایم. این مترجم قادر است به سرعت شبیهسازیِ چنین اجسامی را یاد بگیرد. در طول یک آپدیت از طریق کلود KSN، این محصول یک کد کمکی به زبان شیء مورد تحلیل دریافت میکند (JavaScript، VBA، VB Script، AutoIt و غیره) و حال با دانشی جدید شروع میکند به بررسی فایل. در موارد دشوار، وقتی کد کمکی هنوز وارد عمل نشده است، این کار به طور اتوماتیک به تحلیلگران ما انتقال داده میشود؛ آنها این کد را توسعه داده و بلافاصله آن را به پایگاه اطلاعاتی اضافه میکنند.
در نتیجه، کاربران فناوری در اختیار دارند که نه تنها قوی است که همچنین سرعت بسیار بالایی نیز دارد. این فناوری میتواند به سرعت به تهدیدهای سایبری واکنش نشان دهد.
«آنتیویروس» نیز یکی از آن واژگان کهنه است که از زمان ویروسهای کامپیوتری وجود داشت. آنتیویروسهای مدرن اکنون نه تنها از دستگاهها در برابر ویروسها حفاظت میکنند بلکه همچنین آنها را از همهی انواع بدافزارها محافظت میکند. این آنتیویروسها همچنین کارکردهای امنیتی مفیدتری نیز دارند: برای مثال مدیریت کلمه عبور، ویپیان، کنترل والدین، بکآپ و غیره. دقیقتر بگوییم، امروزه یک آنتیویروس خوب باید نه تنها ضد ویروس که ضد همهچیز باشد: از من محافظت کند، از خانوادهام محافظت کند، از دستگاههایم محافت کند و البته از اطلاعاتم محافظت کند.
[1] emulation
[2] Logic bomb: قطعهای کد است که عمداً دریک سیستم نرمافزاری درج شدهاست که به هنگام وقوع شرایط مشخص عملیات مخربی را اجرا مینماید.
[3]منظور همان محیطی آزمایشگاهی است.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.