ساخت یک سوپر-بدافزار
یک محقق امنیتی موفق به طراحی و ساخت یک بدافزار شده که از راه دور قابل کنترل است و دارای قابلیت های تخریبی متعددی است تا حدی که می توان آن را یک سوپر-بدافزار نامید. این بدافزار به عنوان یک برنامه جانبی (extension) به مرورگر اضافه می شود و می تواند صفحات وب را تغییر دهد، انواع فایل ها را دریافت و اجرا کند، اطلاعات شخصی کاربر را جمع آوری کند، امکانات امنیتی سایت ها را دور بزند و …
به گفته Zoltan Balazs، محقق و مشاور امنیتی اهل مجارستان، وی این نمونه از بدافزار را برای هشدار و آگاهی درباره خطرات و نقاط ضعف امنیتی برنامه های جانبی مرورگرها تهیه کرده است. او امیدوار است شرکت های امنیتی هشدار و توصیه های وی را جدی گرفته و اقدام کنند.
این محقق امنیتی قصد دارد نتیجه تحقیقات و نمونه بدافزار خود را در سمینار امنیتی Hacker Halted که ماه آینده در شهر میامی آمریکا برگزار خواهد شد، به عموم ارائه نماید. تا آن زمان نیز وی در حال همکاری با شرکت های ضد ویروس است تا آنها بتوانند خود را در مقابل این سوپر-بدافزار آماده کنند.
در گذشته موارد متعددی بوده که از برنامه های جانبی مرورگرها برای عملیات مخرب استفاده شده است. همین اواخر، یک برنامه جانبی که به مرورگر Chrome اضافه می شد، تبلیغات جعلی در صفحات سایت Wikipedia ایجاد می کرد. همچنین مواردی بوده که از برنامه های جانبی مخرب برای مرورگرها جهت دستکاری نتایج جستجوگرهای اینترنتی سوء استفاده می شده. ولی اکنون این سوپر-بدافزار قادر است عملیات مخرب گسترده تر و متنوع تری را انجام دهد.
این محقق امنیتی تا به حال نمونه بدافزار خود را برای مرورگرهای Chrome، Firefox و Safari تهیه کرده است و در حال تهیه برای مرورگر IE است.
از جمله عملیات مخربی که این سوپر-بدافزار قادر به انجام آنها در مرورگرهای Chrome و Firefox است، می توان به این موارد اشاره کرد: دریافت و اجرا فایل، تغییر محتوای صفحات وب، گرفتن عکس با استفاده از دوربین کامپیوتر از طریق یک نرم افزار از نوع Flash که از یک سایت دریافت و اجرا می شود، اجرای نقش به عنوان HTTP Proxy برای ایجاد دسترسی به شبکه داخلی از بیرون.
یک مرورگر که دارای برنامه های جانبی مخرب باشد، مانند یک کامپیوتر (Bot) تسخیر شده در یک شبکه مخرب (Botnet) قابل کنترل و مدیریت از راه دور است. برنامه جانبی مخرب می تواند اطلاعات جمع آوری شده را به مرکز و سرور فرماندهی ارسال کند و دستورات جدید از آن دریافت نماید. تمام این ارتباطات نیز عادی و طبیعی به نظر خواهد رسید، چون از مرورگر سرچشمه می گیرد و برای دیواره های آتش هم تفکیک و جلوگیری آن دشوار خواهد بود.
به غیر از سوپر-بدافزاری که این محقق امنیتی به عنوان نمونه آزمایشگاهی ساخته است، در حالت واقعی، انتشار برنامه های جانبی مرورگر و نصب و فعال ساختن آنها، امری دشوار است و شرایط برای هر مرورگر نیز متفاوت می باشد.
مرورگر Firefox اجازه نصب برنامه های جانبی ثالث را می دهد و بسیاری از کاربران نیز به طور دستی اقدام به نصب این برنامه های جانبی در Firefox می کنند. لذا برای این مرورگر، جهت انتشار و بکارگیری بدافزار به عنوان برنامه جانبی مرورگر، استفاده از شیوه های فریب و وسوسه کاربر که اصطلاحاً به آنها Social Engineering گفته می شود، شاید بهترین راه باشد.
مرورگر Chrome تنها از طریق فروشگاه مجازی خود Chrome Web Store اجازه نصب برنامه های جانبی مرورگر را می دهد. لذا باید به نحوی، مجوز لازم را برای افزودن بد افزار به فروشگاه مجازی Chrome به دست آورد.
اغلب مرورگرها در زمان راه اندازی، درباره برنامه های جانبی نصب شده به کاربر اطلاع می دهند. برنامه هایی هم که به تازگی نصب شده باشند، قبل از فعال شدن باید تاییدیه کاربر را داشته باشند. برای دور زدن اینگونه پیام ها و جلوگیری از آگاه شدن کاربر از نصب غیر مجاز برنامه های جانبی مرورگر، در این سوپر-بدافزار شیوه های نوینی به کار گرفته شده است.
قبل از همکاری این محقق با شرکت های ضد ویروس، هیچیک از ضدویروس های فهرست شده در سایت Virus Total قادر به شناسایی سوپر-بدافزار نبودند. بعد از اینکه این بدافزار در اختیار سازندگان ضد ویروس قرار گرفت و ضد ویروس ها قادر به تشخیص آن شدند، اکنون نیز با کوچک ترین تغییر در بدافزار، ضد ویروس ها دوباره سردر گم شده و قابلیت تشخیص خود را از دست می دهند.
در حال حاضر کارشناسان امنیتی و علاقمندان به حوزه امنیت IT، مشتاقانه درانتظار ارائه گزارش Zoltan Balazs در سمینار امنیتی ماه آینده هستند تا اطلاعات بیشتری درباره این سوپر-بدافزار به دست آورند.