روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ تا به حال شده به این فکر کنید که اساساً چرا به ویروس‌های کامپیوتر «ویروس» می‌گویند؟ خوب در واقع این روزها واژه‌ی «ویروس» به طرز اشتباهی به هر نوع برنامه‌ی آلوده اطلاق شده و یا برای توصیف هر بلایی که یک برنامه‌ سر کامپیوتر می‌آورد مورد استفاده قرار می‌گیرد. تعریفِ دایره‌المعارفیِ این واژه چنین است: ویروس، یک کد برنامه است که می‌تواند تقلید نموده و سرایت پیدا کند؛ درست مانند ویروس بیولوژیکی (مثلاً ویروس آنفولانزا).

عجیب اینجاست که- ویروس‌هایی با این تعریف، خیلی سال پیش از بین رفته‌اند؛ دیگر امروزه با ویروس‌هایی سر و کار داریم که فقط تقلید نمی‌کنند بلکه بیشتر مشغول خرابکاری‌اند. این ویروس‌ها اکنون با کارکرد مخرب خود می‌توانند به سرقت داده‌ها از کامپیوتر و یا پاک کردن کل اطلاعات بپردازند: برای مثال، یک تروجان را در نظر بگیرید. با این همه اگر هنوز هم از افراد بخواهید فناوری‌های امنیتی کامپیوتر را به تصویر بکشند، اکثریت چیزی شبیه به این می‌کشند: یک سری دانشمند که دارند لوله به دست با روپوش آزمایشگاه روی ویروس‌ها آزمایش انجام می‌دهند.

بدانید و آگاه باشید: ویروس‌ها مرده‌اند. اما متودهای تحلیل که برای تشخیص و ضدعفونی به کار می‌رفتند باقی مانده‌اند و همچنان نیز دارند گسترش می‌یابند. این متودها هنوز هم می‌توانند در مقابل ویروس‌های مدرن بایستند.

خلاصه بگوییم، تقلید (امولاسیون[1]) روشی است برای کشف تهدیدهای ناشناخته که به موجب آن، یک فایل مشکوک در محیطی مجازی (محیط شبیه‌سازی‌شده) که تقلیدی است از کامپیوتر واقعی اجرا می‌شود. در چنین شرایطی، آنتی ویروس رفتار فایل مذکور را مشاهده کرده و اگر به هر گونه فعالیت خطرناک پی ببرد آن را برای بررسی بیشتر ایزوله (جداسازی) می‌کند. متوجه شباهت آن با ویروس‌شناسیِ زیستی می‌شوید؟ وقتی در بدنِ بیمار، سمی وجود ندارد چرا به او پادزهر تزریق کنیم (آن هم با کلی عوارض جانبی که دارد). بهتر است آن را در در محیطِ کشت، شبیه‌سازی کنیم و ببینیم ابتدا ماجرا از چه قرار است؛ بعد نوبت آن می‌رسد که در صورت لزوم داروی مناسب را به کار ببریم.

اما چالش اصلی درست مانند چالش نسخه‌ی زیستی‌ آن است: خیلی مهم است که محیط شبیه‌سازی تا حد امکان شبیه به محیط واقعی باشد. در غیر این صورت، فایل‌های مخرب ممکن است متوجه شوند مکان، مکان تقلبی‌ای است و از آن به بعد رفتارهای عادی از خود نشان دهند تا فعالیت مشکوک‌شان لو نرود. ما دهه‌هاست که داریم چنین عمل امولاسیونی را انجام می‌دهیم و با افتخار می‌توانیم ادعا کنیم در این حوزه سرآمدِ رقبا هستیم.

اولین امولاتور در جهان توسط تیم ما در سال 1992 (پیش از عصر DOS) ساخته شد. خیلی زود متخصصین تمام جهان از میزان شناسایی آنتی‌ویروسِ ما هیجان‌زده شدند (بله آن زمان تنها یک آنتی‌ویروس بود). کمی بعد این حوزه، جو رقابتی به خود گرفت و دیگر هر بخش مستقلی خواست روی ساخت چنین آنتی‌ویروسی کار کند.

حالا از آن زمان خیلی گذشته است.... چشم‌انداز تهدید بیش از اندازه پیچیده شده: ویروس‌ها اکنون صحنه را ترک کردند و جایشان کرم‌های شبکه‌ای، تروجان‌ها و سایر آفاتِ پیچیده آمده است. در عین حال، انواع فناوری‌های کامپیوتر/موبایل/اینترنت اشیا (و کل فناوری‌های دیجیتال) نیز همچنین پیشرفت کرد و به تبع آن مهارت این امولاتور نیز بیشتر شد. حال ما این شبیه‌ساز را در محصول کلود سکیوریتی KSN خود جای داده‌؛ بدان زبان‌های برنامه‌نویسی جدید یاد دادیم؛ با مرورگرهای جدید و سایر OS‌ها آشنایش کردیم.... همه و همه تنها به خاطر اینکه این امولاتور بتواند ما را در کشف انواع ناشناخته‌ی بدافزار بیشتر کمک کند.

امروزه، کمتر رقبایی توانِ ارائه‌ی چنین فناوری‌ای را دارند: شبیه‌سازی کار بسیار سختی است که به سال‌ها مهارت، یکپارچگی‌سازیِ بسیار زمان‌بر و توسعه‌ی مداوم نیاز دارد. با این حال، خیلی از تازه‌کارانِ صنعت امنیت سایبری تمایل دارند در این بخش سرمایه‌گذاری کنند. شاید در کوتاه‌مدت این رویکرد بتواند به رشد سازمانی منتج شود اما نمی‌توان کاربران را در طولانی مدت فریب داد: در نهایت یک جای کار خواهد لنگید و رسوایی پیش خواهد آمد. به بیانی دیگر، اگر یک شرکت فعال در حوزه امنیت سایبری، امولاتور مخصوص به خود را داشته باشد کاربران به سطح تخصص و نیز بلوغ توسعه‌دهنده پی خواهند برد. و بر عکس: اگر امولاتوری وجود نداشته باشد یعنی شرکت مهارت و تجربه کمی دارد و لذا عمر طولانی نخواهد داشت.

بنابراین، گرچه از الان تا به همیشه در حال ارتقا دادن امولاتور خود هستیم اما از طرفی دیگر نیز خوره‌های سایبری را داریم که مدام به فکر راه‌حل‌های جدید برای پیشبرد عملیات جاسوسی و مخرب خود هستند (یکی از این راه‌حل‌ها می‌تواند در راستای محافظت خود و عملیات‌هایشان در برابر امولاتور ما باشد).

عاملین سایبری بسیار حرفه‌ی و پیشرفته از انواع تفرندهای ضد امولاتور برای شناسایی محیط آزمایشگاهی استفاده می‌کنند. برای مثال اجرای عملیاتی ثبت‌نشده، بررسی صحت درخواست‌ها برای تغییر رجیسترهای پردازشگر، تحلیل کدهای خطا، جست‌وجوی کدی خاص در مموری، استفاده از بمب‌های منطقی[2] که امولاتور را در حلقه‌ای بی‌انتها قرار می‌دهد و غیره. اگر این بدافزار متوجه چیز مشکوکی شود، کارکردهای مخرب را آناً متوقف کرده و خود را موجه جلوه می‌دهد.

نکته اینجاست که تیم ما بخوبی به این ترفندها آگاه است و از آن‌ها پیشی می‌گیرد. امولاتور ما همیشه خود را بروزرسانی می‌کند و سعی دارد در برابر هر ترفند جدیدی بایستد. برای مثال برای بالا بردن سرعت این امولاتور از محدودکننده‌ها، بهینه‌سازها و پروفایل‌های تنظیماتیِ مختلفی استفاده می‌کنیم که شاید حتی در برخی موارد اگر تأخیر به بدیِ BSoD باشد روند کار امولاتور قطع گردد.

علاوه بر این، ما دارنده‌ی پتنت (US10275597) برای امولاتور کد منبع هستیم که می‌تواند ناشناخته‌ها را تعبیر کرده و مورد تحلیل قرار دهد. تا آنجا که می‌دانیم هیچ رقیبی در این حوزه چنین محصولی ارائه نکرده است: رقبا برای اینکه بتوانند در مقابل ترفندهای ضد امولاتور بدافزار بایستند می‌بایست مجدداً روی کل امولاتور خود کار کنند (که خوب البته کار یکی دو روز نیست). اما ما به امولاتور خود یاد دادیم که در حین فرآیند، خود را از پایگاه اطلاعاتی داخلی به روز کند. بله... این یک قابلیت تمام‌عیار است.... پس وقتی می‌گوییم قدرت ما همانا در حفاظت از جهان دیجیتالی شماست واقعاً جدی هستیم.

حال، برخی فایل‌ها نه در کد ماشین، که مستقیماً در کد منبع توزیع می‌شوند. برای اجرای آن‌ها روی کامپیوتر نیاز به یک مترجم است (مانند جاوااسکریپت یا  VBA) که بتواند کد را در لحظه به زبانی ماشین‌پسند ترجمه کند. و خوب البته که بدافزار اغلب در چنین فایل‌هایی لانه می‌کند.

برای شناسایی چنین تهدیدهای ناشناخته‌‌ای، از خیلی سال پیش امولاتور کد منبعی ساخته‌ایم که فایل‌ها را پیش از اجرا در «لوله آزمایش[3]» چک می‌کند. با این حال، شبیه‌سازیِ کاملِ مترجم به منابع زیادی احتیاج دارد: تأخیر در پردازش صفحات وبی با اسکریپت شاید به کار خیلی از کاربران اینترنتیِ مأیوس‌شده بیاید. بنابراین امولاتورها معمولاً نسخه‌ی دستکاری‌شده‌ای از فضای مجازی را بازسازی می‌کنند (که هم به لحاظ کارایی و هم کیفیت حفاظت قابل‌ قبول باشد). اما وقتی امولاتور با چیزی ناشناخته یا متود و کارکردی ناشناخته در کد -که ترجمه‌اش به طور حتم برای تحلیل فایل حیاتی است- مواجه می‌شود چه اتفاقی می‌افتد؟

ما این مشکل را نیز به کمک مترجمی هوشمند حل کرده‌ایم. این مترجم قادر است به سرعت شبیه‌سازیِ چنین اجسامی را یاد بگیرد. در طول یک آپدیت از طریق کلود  KSN، این محصول یک کد کمکی به زبان شیء‌ مورد تحلیل دریافت می‌کند (JavaScript، VBA، VB Script، AutoIt و غیره) و حال با دانشی جدید شروع می‌کند به بررسی فایل. در موارد دشوار، وقتی کد کمکی هنوز وارد عمل نشده است، این کار به طور اتوماتیک به تحلیلگران ما انتقال داده می‌شود؛ آن‌ها این کد را توسعه داده و بلافاصله آن را به پایگاه اطلاعاتی اضافه می‌کنند.

در نتیجه، کاربران فناوری در اختیار دارند که نه تنها قوی است که همچنین سرعت بسیار بالایی نیز دارد. این فناوری می‌تواند به سرعت به تهدیدهای سایبری واکنش نشان دهد.

«آنتی‌ویروس» نیز یکی از آن واژگان کهنه است که از زمان ویروس‌های کامپیوتری وجود داشت. آنتی‌ویروس‌های مدرن اکنون نه تنها از دستگاه‌ها در برابر ویروس‌ها حفاظت می‌کنند بلکه همچنین آن‌ها را از همه‌ی انواع بدافزارها محافظت می‌کند. این آنتی‌ویروس‌ها همچنین کارکردهای امنیتی مفیدتری نیز دارند: برای مثال مدیریت کلمه عبور، وی‌پی‌ان، کنترل والدین، بک‌آپ و غیره. دقیق‌تر بگوییم، امروزه یک آنتی‌ویروس خوب باید نه تنها ضد ویروس که ضد همه‌چیز باشد: از من محافظت کند، از خانواده‌ام محافظت کند، از دستگاه‌هایم محافت کند و البته از اطلاعاتم محافظت کند.

[1] emulation

[2] Logic bomb: قطعه‌ای کد است که عمداً دریک سیستم نرم‌افزاری درج شده‌است که به هنگام وقوع شرایط مشخص عملیات مخربی را اجرا می‌نماید.

[3]منظور همان محیطی آزمایشگاهی است.