مبارزه دشوار با بدافزارهای تحت وب

شرکت Google نتایج یک بررسی جدید را منتشر کرد که نشان می‎دهد شناسایی بدافزارهای تحت وب هر روز دشوارتر و پیچیده‎تر می‎شود.

این بررسی بر روی اطلاعات جمع‎آوری شده در طی چهار سال، شامل 8 میلیون سایت و 160 میلیون صفحه سایت، صورت گرفته است. این اطلاعات توسط سرویس Safe Browsing در مرورگر Chrome و Firefox که وظیفه شناسایی سایت‎های مخرب و خطرناک را بر عهده دارد، جمع‎آوری شده است.

شرکت Google از طریق این سرویس هشداردهی، روزانه 3 میلیون هشدار درباره سایت‎های خطرناک و مشکوک به 400 میلیون کاربر نمایش می‎دهد. برای شناسایی سایت‎های خوب از بد، شرکت Google روش‎های مختلفی را به کار گرفته است.

از جمله روش‎های شناسایی سایت‎های خطرناک، استفاده از ماشین‎های مجازی است که به سایت‎های مختلف مراجعه کرده و رفتار آن سایت را مورد ارزیابی قرار می‎دهد. همچنین از مرورگرهای شبیه‎سازی شده برای شناخت رفتار و مراحل اجرای یک بدافزار تحت وب، استفاده می‎شود.

افراد خلافکار نیز بیکار ننشسته و در مقابل این روش‎های شناسایی خودکار و سریع، واکنش نشان می‎دهند. یکی از راه‎های مقابله با ماشین‎های مجازی Google برای شناسایی سایت‎های مخرب، وابسته کردن فعالیت یک بدافزار به دخالت کاربر جهت شروع عملیات است. در اغلب سایت‎های مخرب، به محض مراجعه کاربر به آن سایت، برنامه مخرب مخفی شده در آن، به اجرا در می‎آید. شناسایی این نوع سایت‎ها برای ماشین‎های مجازی Google بسیار آسان است. ولی وقتی شروع عملیات برنامه مخرب منوط به یک کلیک ساده کاربر بر روی سایت باشد، کار شناسایی برای ماشین‎های مجازی دشوار خواهد شد. ماشین‎های مجازی نمی‎دانند و نمی‎توانند کلیک کنند، در نتیجه عملیات مشکوکی را نیز مشاهده نمی‎کنند. Google سعی دارد این گونه امکانات ساده را نیز به ماشین‎های مجازی خود اضافه کند.

برای مقابله با مرورگرهای شبیه سازی شده Google، افراد خلافکار از برنامه‎های پیچیده و رمزگذاری شده استفاده می‏کنند، تا این مرورگر قادر به اجرای کامل و صحیح آن نباشد و در تشخیص برنامه مخرب دچار خطا شود. در این گونه موارد، تشخیص یک برنامه پیچیده و رمزگذاری شده، خود علامتی از یک حرکت مشکوک به شمار می‎آید.

همچنین افراد خلافکار با شناسایی نشانی‎های IP شرکت‎های امنیتی و یا شرکت‎هایی مانند Google، از اجرای برنامه‎های مخرب برای مراجعه کنندگان از این نشانی‎های IP جلوگیری می‎کنند تا امکان شناسایی سایت‎ها و برنامه‎های مخرب برای این گونه شرکت‎ها امکان پذیر نباشد. طبق آمار Google بیش از 200 هزار سایت مخرب از این روش برای مخفی ماندن از دید رادارهای شرکت‎های امنیتی استفاده می کنند. اکنون شرکت‎های امنیتی و Google از نشانی های IP ناشناخته و غیر معمول استفاده می‎کنند و آنها را مرتباً تغییر می‎دهند.

گزارش کامل این بررسی را می توانید در نشانی زیر مطالعه کنید:

http://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/en//archive/papers/rajab-2011a.pdf