نوشته‌ها

پروژه مایکروسافت و اینتل برای تبدیل بدافزارها به تصویر؛ گام جدید برای حفاظت از کامپیوترها

مایکروسافت و اینتل اخیرا با یکدیگر پروژه جدیدی برای حفاظت از کامپیوترها را آغاز کرده‌اند. این پروژه «STAMINA» نام دارد و  نوع جدیدی از شناسایی و دسته‌بندی بدافزارها را ارائه می‌کند. روش جدیدی که این دو کمپانی توسعه داده‌اند، بدافزارها را به عکسی سیاه و سفید تبدیل کرده و سپس آن را اسکن و بررسی می‌کند.

پروژه STAMINA (سرواژه STAtic Malware-as-Image Network Analysis) به معنی «آنالیز شبکه‌ای ثابت بدافزار به عنوان عکس» به کمک تکنیک جدیدی، بدافزارها را به عکس سیاه و سفید تبدیل می‌کند و سپس با اسکن تصویر، به دنبال بافت‌ها و ساختارهای الگویی مشخص و مختص به هر بدافزار می‌گردد. تیم تحقیقات مایکروسافت و اینتل می‌گویند تمامی فرایندهای تشخیص بدافزار، تنها در چند مرحله ساده صورت می‌گیرد.

اولین گام دریافت یک فایل و تبدیل سیستم باینری (دودویی) آن به جریانی از داده‌های پیکسلی است. محققین سپس این جریان پیکسلی تک بعدی را به یک تصویر دو بعدی تبدیل می‌کنند تا الگوریتم‌های متداول آنالیز تصویر بتوانند آن را تحلیل کنند. عرض تصویر بر اساس حجم فایل ورودی و طبق جدول زیر انتخاب می‌شود. ارتفاع یا طول تصویر نیز به صورت پویا، متغیر خواهد بود که به کمک آن می‌توان جریان داده‌های پیکسلی را بر اساس ارزش عرض عکس، تقسیم‌بندی کرد. پس از سرهم کردن جریان داده‌های پیکسلی به یک تصویر نرمال دو بعدی، محققین تصویر نهایی را به ابعادی کوچکتر کاهش می‌دهند.

مایکروسافت و اینتل

محققین دو کمپانی اینتل و مایکروسافت می‌گویند کاهش ابعاد تصویر «تاثیر منفی بر نتایج دسته‌بندی» نخواهد داشت و در اصل یک گام ضروری است تا منابع رایانشی آن‌ها با میلیاردها پیکسل سر و کار نداشته باشند، زیرا در غیر این صورت فرایند تحلیل به شدت کند پیش خواهد رفت. آن‌ها در گام بعدی عکس به دست آمده را به یک شبکه عصبی عمیق از پیش تعلیم داده شده می‌دهند تا آن را اسکن کرده و در دسته سالم یا آلوده قرار دهد.

مایکروسافت می‌گوید ۲.۲ میلیون نمونه آلوده فایل پرتابل قابل اجرا را در پایگاه داده این شبکه عصبی قرار داده است تا پایه و اساس تحقیقات را تشکیل دهد. آن‌ها ۶۰ درصد بدافزارهای شناخته شده را به عنوان نمونه برای آموزش شبکه عصبی عمیق، ۲۰ درصد آن را برای صحت‌سنجی این شبکه عصبی عمیق و ۲۰ درصد دیگر را برای فرایند اصلی تست استفاده کردند.

مایکروسافت و اینتل

محققین این دو کمپانی در نهایت اعلام کرده‌اند که STAMINA توانسته با دقت ۹۹.۰۷ درصد و با نرخ مثبت کاذب ۲.۵۸ درصد، بدافزارها را شناسایی و دسته‌بندی کند (نرخ مثبت کاذب در این جا به این معناست که فایل‌های عادی به عنوان بدافزار شناخته شوند). محققین در رابطه با این نتیجه می‌گویند «نتایج این پروژه نشان می‌دهد که می‌توان از یادگیری انتقال عمیق برای اهداف دسته‌بندی بدافزارها استفاده کرد.»

البته STAMINA برای فایل‌های حجیم‌تر چندان پاسخگو نیست، زیرا محدودیت‌ها باعث می‌شوند تبدیل میلیاردها پیکسل به یک تصویر JPEG و سپس کاهش ابعاد آن، بهینه نباشد. البته احتمالا چنین چیزی از کمترین میزان اهمیت برخوردار است، زیرا محققین در ابتدا نیز این پروژه را برای فایل‌های کم‌حجم توسعه داده بودند. در نهایت انتظار می‌رود این پروژه کم کم راه خود را به نرم‌افزار دیفندر مایکروسافت باز کرده تا میلیاردها دستگاه را به لایه جدیدی از حفاظت در برابر بدافزارها تجهیز کند.

منبع: digiato.com

مایکروسافت: تعداد بدافزارها، باج‌افزارها و معدن‌کاوهای رمزارز در سال ۲۰۱۹ کاهش یافت

مایکروسافت دقیق‌ترین آمارها را از لحاظ شناسایی ابزارهای بدافزاری در دنیای کامپیوتر ارائه می‌کند و برای سال جاری، کاهش در تعداد آن‌ها را گزارش داد. مایکروسافت ابزار امنیتی Windows Defender را برای همه‌ی نسخه‌های جدید سیستم‌عامل ویندوز ارائه می‌کند. درنتیجه هیچ شرکت امنیتی در سرتاسر جهان نمی‌تواند به‌ اندازه‌ی آن‌ها آماری دقیق از بدافزار‌ها و ابزارهای مخرب امنیتی داشته باشد. با نزدیک شدن به روزهای پایانی سال میلادی، نگاهی به گزارش ردموندی‌ها پیرامون رخدادهای شناسایی بدافزارها و دیگر ابزارهای مخرب کامپیوتری، خالی از لطف نیست. مایکروسافت گزارش امنیتی خود را تحت عنوان Security Intelligence Report و به‌صورت تعاملی در وب‌سایتش منتشر می‌کند.

طبق گزارش امنیتی مایکروسافت از رخدادهای سال جاری میلادی، تعداد بدافزارها، باج‌افزارها و معدن‌کاوهای غیرقانونی رمزارز امسال کاهش یافته است. آمار مذکور در مقایسه با تعداد ابزارهای مخرب در سال‌ گذشته و دو سال پیش ارائه شد. ردموندی‌ها در بخشی از گزارش امسال می‌نویسند:

به‌ عنوان یکی از دلایل احتمالی برای کاهش تعداد بدافزارها در سال ۲۰۱۸ و ۲۰۱۹ می‌توان به افزایش استفاده از ویندوز ۱۰ و درنتیجه Windows Defender اشاره کرد.

ویندوز ۱۰ و ویندوز دیفندر در پنج سال گذشته به‌روزرسانی‌های امنیتی مهمی دریافت کرده‌اند. درنتیجه‌ی همین به‌روزرسانی‌های امنیتی، کمپین‌های بدافزاری که ویندوز ۱۰ مدرن را هدف می‌گیرند، موفقیت کمتری دارند. مایکروسافت باتوجه به نمودار زیر می‌گوید تعداد سیستم‌‌های مجهز به ویندوز که بدافزار در آن‌ها مشاهده شد، از ۶ تا ۷ درصد در ابتدای سال ۲۰۱۷ به ۴/۱۵ درصد در اکتبر ۲۰۱۹ کاهش یافته است.

آمار امنیت مایکروسافت

آمار بدافزارهای معدن‌کاوی رمزارز نیز کاهش را نسبت به سال‌های گذشته نشان می‌دهند. چنین بدافزارهایی از منابع پردازشی سیستم قربانی برای معدن‌کاوی انواع رمزارز استفاده می‌کنند. تعداد آن‌ها در سال ۲۰۱۷ و با اوج‌گیری قیمت بیت‌ کوین، افزایش قابل‌ملاحظه‌ای داشت. داده‌های مایکروسافت می‌گویند که روند افزایشی بدافزارهای رمزارز از ژانویه‌ی ۲۰۱۸ کاهش یافت. در آن زمان تعداد معدن‌کاوهای رمزارز در سیستم‌های ویندوزی ۰/۳ درصد بود که با ادامه‌دار شدن روند کاهشی، در اکتبر ۲۰۱۹ به ۰/۰۹ درصد رسید. تعداد باج‌افزارها مانند دیگر انواع بدافزار در سال‌های گذشته با روند کاهشی روبه‌رو شده است. آمار آن‌ها در ژانویه‌ی ۲۰۱۸ برابر با ۰/۱۱ درصد کل سیستم‌های ویندوزی بود که تا اکتبر سال جاری میلادی به ۰/۰۴ درصد کاهش یافت.

آمارهای کاهشی منتشرشده از سوی مایکروسافت، با دیگر گزارش‌های متعددی که گروه‌های امنیتی منتشر کرده‌اند، هم‌خوانی دارد. به‌عنوان مثال قبلا گفته شده بود که گروه‌های توزیع با‌ج‌افزار دیگر کمتر کاربران نهایی (کاربران خانگی، مصرف‌کننده‌ها و کاربران عادی) را هدف قرار می‌دهند. درواقع آن‌ها به‌مرور به‌سمت کاربران تجاری و شرکت‌های بزرگ تغییر مسیر داده‌اند. حمله به سازمان‌ها، به گروه‌های مجرم سایبری امکان می‌دهد تا باج بیشتری را نسبت به حمله به کاربران عادی دریافت کنند.

آمار امنیت مایکروسافت

باوجود کاهش توزیع باج‌افزارها و آمار شناسایی آن‌ها توسط سیستم‌های امنیتی، چنین نوعی از تهدیدهای امنیتی هنوز ادامه دارند. درواقع باج‌افزار در سال جاری به تهدیدی جدی برای سازمان‌های خدمات مدیریت‌شده‌ی IT، مدارس آمریکایی و دولت‌های محلی این کشور تبدیل شد. به‌علاوه در نقاط دیگر جهان همچون اروپا نیز شاهد خسارت‌های مالی بزرگ به فعالان کسب‌وکار بودیم. البته تعداد کاربران قربانی در حمله‌های باج‌افزار کاهش داشت، اما می‌توان بازدهی حمله‌ها را برای مجرمان سایبری بیشتر دانست.

مایکروسافت در ادامه‌ی گزارش خود می‌گوید که کاهش تعداد باج‌افزارها به‌معنای پایان عمر آن‌ها نیست. ردموندی‌ها نیز مانند همه‌ی فعالان امنیت سایبری اعتقاد دارند مجرمان روز‌به‌روز ابزارهای خود را توسعه می‌دهند و با تکامل آن‌ها، به‌دنبال راه‌های جدید برای نفوذ و خراب‌کاری هستند. درنهایت باوجود کاهش تعداد حمله‌های بدافزار در دو سال گذشته، هیچ‌گاه نمی‌توان پایان عمر آن‌ها را پیش‌بینی کرد.

گروه‌های مجرم سایبری در واکنش به قوی شدن ابزارهای امنیتی،‌ عادت‌های رفتاری و فنی خود را تغییر داده‌اند. آن‌ها همچنین بیشتر به رویکردهایی متمایل شده‌اند که نیاز کمتری به بدافزار دارد. به‌عنوان مثال حمله‌های فیشینگ و DDoS و نفوذ به حساب‌های کاربری در دو سال گذشته افزایش یافته است. مایکروسافت در گزارش خود می‌گوید که تعداد ایمیل‌های حاوی رویکردهای فیشبنگ از ۰/۲ درصد در ژانویه‌ی ۲۰۱۸ به ۰/۶ درصد در اکتبر ۲۰۱۹ رسید. ابعاد میانگین حمله‌های DDoS نیز از ۷۵ گیگابیت‌بر‌ثانیه در ماه مه به ۲۰۰ گیگابیت‌بر‌ثانیه در ماه اکتبر رسید.

آمار امنیت مایکروسافت

مجرمان سایبری عموما از بیرون به سیستم‌های ویندوز و آژور مایکروسافت حمله می‌کنند. منتهی ردموندی‌ها می‌گویند تهدیدهای امنیتی در داخل پایگاه کابران و مشتریان شرکت نیز وجود دارند. آن‌ها در سال جاری میلادی با استفاده از فهرستی شامل سه میلیارد حساب کاربری که ازطریق شرکت‌های متفرقه افشا شده بودند، حساب‌های کاربری مایکروسافت و آژور را اسکن کردند. آزمایش مذکور نشان می‌داد که ۴۴ میلیون کاربر از رمزهای عبور تکراری استفاده می‌کردند که نفوذ به حساب‌های کاربری را با استفاده از فروش Credential Stuffing آسان می‌کرد. در چنین روشی، مجرم سایبری با نفوذ به یک حساب کاربری و حدس رمز عبور حساب‌های دیگر، نفوذ خود را عملی می‌کند.

گزارش امنیتی مایکروسافت برای سال ۲۰۱۹ باوجود اخبار خوبی که برای کاربران عادی دارد، زنگ هشدار را برای کاربران تجاری و سازمانی به صدا در می‌آورد. تهدیدهای امنیتی برای آن‌ها روز‌به‌روز پیشرفته‌تر می‌شود و بازدهی مالی حمله‌های سازمانی،‌ گروه‌های بیشتری را به‌سمت شرکت‌ها سوق می‌دهد. به‌هرحال پیاده‌سازی راهکارهای امنیت سایبری امروز بیش از همیشه باید در اولویت سازمان‌ها قرار بگیرد.

شیوع گسترده باج‌افزار STOP/DJVU در کشور

مرکز ماهر از شیوع گسترده‌ی باج‌‌افزار STOP/Djvu در سطح کشور خبر داد و راهکارهایی برای جلوگیری از آلوده‌شدن رایانه‌های شخصی و کاربران خانگی به این باج‌افزار توصیه کرد.

مرکز ماهر با بررسی حملات باج‌افزاری اخیر، از شیوع گسترده‌ی باج‌افزار STOP/Djvu در سطح کشور خبر داد. این باج‌افزار برای رمزگذاری فایل‌ها از الگوریتم AES-256 استفاده و مبلغی بین ۲۰۰ تا ۶۰۰ دلار (به‌صورت بیت‌کوین) را به‌عنوان باج از قربانی درخواست می‌کند. باج‌افزار STOP اولین‌بار در اواخر سال ۲۰۱۷ مشاهده شد و Djvu نسخه‌ی جدیدتر آن است که ازنظر عملکرد شبیه STOP است و امروزه آن را با نام STOP/Djvu می‌شناسند.

باج‌افزار STOP/Djvu به‌محض اجرا در سیستم قربانی، با سرور کنترل و فرمان (C&C) خود ارتباط برقرار و فایل‌ها را با کلید آنلاین رمزگذاری می‌کند و در‌صورتی‌که به هر دلیل موفق نشود با سرور خود ارتباط برقرار کند، از روش آفلاین برای رمزگذاری فایل‌ها استفاده می‌کند.

تاکنون تعداد محدودی از نسخه‌های آفلاین باج‌افزار STOP/Djvu در شرایط خاص قابل رمزگشایی بوده‌اند؛ اما با توجه به اینکه توسعه‌دهندگان این باج‌افزار در نسخه‌های جدیدتر شیوه‌ی خود را تغییر می‌دهند و از الگوریتم رمزنگاری نامتقارن استفاده می‌کنند، از این به‌بعد، فایل‌های رمزگذاری‌شده ازطریق باج‌افزار STOP/Djvu بدون کلید خصوصی توسعه‌دهنده‌ی باج‌افزار رمزگشایی‌شدنی نخواهند بود.

این باج‌افزار از روش‌های متنوعی مانند پیوست هرزنامه‌ها، کرک‌های آلوده‌ی ویندوز و محصولات آفیس، درایورها و به‌روزرسانی‌های جعلی و سوءاستفاده از پروتکل RDP برای نفوذ و انتشار خود به سیستم قربانی استفاده می‌کند.

طبق اعلام مرکز ماهر، میزان حمله‌ی باج‌افزارهایی همچون STOP/Djvu که شکارش بیشتر کابران خانگی هستند، در یک ماهه‌ی اخیر بیشتر شده است. عمده دلایل آلوده‌شدن رایانه‌ها کلیک روی لینک‌های آلوده، دریافت فایل‌های اجرایی مخرب، کرک‌ها و نرم‌افزارهای فعال‌ساز و ماکروهای آلوده‌ی موجود در فایل‌های محصولات ادوبی و آفیس با پسوندهای pdf ,doc ,ppt و… است. نکاتی که کاربران برای جلوگیری از آلوده‌شدن رایانه‌های شخصی و کاهش آسیب‌های ناشی از حملات باج‌افزاری می‌توانند رعایت کنند، عبارت‌اند از:

  • از اطلاعات ارزشمند خود نسخه‌ی پشتیبان تهیه و آن را به‌صورت آفلاین نگه‌داری کنید؛
  • از بازکردن پیام‌های مشکوک در محیط‌های مختلف ازجمله ایمیل و پیام‌رسان‌ها و شبکه‌های اجتماعی پرهیز کنید؛
  • از دریافت فایل‌های اجرایی از منابع ناشناس به‌ویژه دریافت کرک نرم‌افزارها ازجمله فعال‌سازهای ویندوز و محصولات آفیس خودداری کنید؛
  • از به‌روزبودن سیستم‌عامل و ضدویروس مطمئن شوید. در بسیاری از موارد، ضدویروس‌ها از تشخیص به‌هنگام باج‌افزارها ناتوان هستند. دلیل این موضوع گسترش کاربرد RaaS در بین باج‌افزارهای امروزی است. مفهوم RaaS یا «باج‌افزار به‌عنوان خدمت» زمانی به‌کار برده می‌شود که گروهی بستر حمله، یعنی فایل‌های مخرب و بستر ارتباطی را فراهم می‌کنند و طیف گسترده‌ای از مهاجمان با دانش پایین‌تر، با دراختیارگرفتن انواع فایل‌های جدید و سفارشی‌سازی‌شده که تا آن لحظه هیچ ضدویروسی مشاهده نکرده است، حمله می‌کنند؛
  • همواره به علائم آلودگی باج‌افزار ازقبیل تغییر رمزعبور فایل‌ها، پیغام باج‌خواهی، کاهش محسوس سرعت سیستم‌عامل و… توجه کنید و درصورت مشاهده‌ی موارد مشکوک به آلودگی، قبل از هر اقدامی از خدمات مشاوره‌ای مرکز ماهر در این زمینه استفاده کنید.