نگراني از همه‌گيرشدن مخربهايStuxnet

ashkin.kh · #1 08-01-2010

نگراني از همه‌گيرشدن مخربهاي Stuxnet

همه روزه سرپرستان امنيت فناوري اطلاعات (اكثر شركتهاي ارائه دهنده راهكارهاي آنتي‌ويروس) مي‌بايست با خطرات بي حد و حصر كه منتشر شده مقابله كنند. اما آخرين تهديد مخرب Stuxnet مي‌باشد كه با استفاده از نقص موجود در پوسته (Shell) ويندوز مايكروسافت، جامعه امنيت اطلاعاتي را با تحليل‌ها و تفاسير گوناگون به همهمه انداخت.
مخرب استاكسنت (Stuxnet malware) بصورت ماهرانه‌اي از نقص ساده موجود در پوسته ويندوز بهره‌برداري مي‌كند. اين مالوير تغييريافته يك فايل ميانبر (shortcut) -يا از نظر فني، يك فايل با پسوند .LNK- مي‌باشد كه از درايوهاي قابل جابجايي برپايه USB مانند درايوهاي قلمي، درايوهاي فلش (كول ديسك)، هاردهاي خارجي قابل حمل و... به عنوان رسانه جهت تكثير و انتشار آلودگي در سيستم‌هاي هدف استفاده مي‌كنند. نقص ذاتي در پوسته ويندوز مايكروسافت به اين فايلهاي ميانبر بدخواه اجازه مي‌دهد تا تنها با مشاهده محتويات درايو فلش USB در مرورگر ويندوز آلودگي منتقل گردد. بدترين قسمت اينكه حتي با متوقف كردن ويژگي اجراي خودكار (Autorun) سيستم و مسدود كردن درايوهاي USB ويندوز هم، نمي‌توان جلوي اين مخرب سخت‌كوش و سمج را گرفت. به عبارت ديگر اگر شما يك درايو فلش آلوده را وارد يك سيستم عاري از ويروس نماييد، و درايو فلش را باز كنيد تا محتويات آن را ببينيد، كار تمام است، مالوير به صورت اتوماتيك در سيستم شما اجرا شده و كامپيوتر را آلوده مي‌كند. اگر فايلهايي با پسوند .LNK در درايوهاي USB شما در حال ايجاد مي‌باشند، يعني اينكه شما توسط مخرب استاكسنت مورد حمله قرار گرفته‌ايد.
اما مسئله به همين نیز جا ختم نمي‌شود. تجزيه و تحليل اوليه نشان داد كه مخرب از آسيب‌پذيري ويندوز استفاده مي‌كند، اما بررسي‌هاي عميق‌تر مشكلات بيشتري را آشكار ساخت. اين مالوير، از يك راهكار دفاعي براي مقابله با فرايند شناسايي و پاكسازي توسط آنتي‌ويروس‌ها برخوردار بوده است. اين راهكار دفاعي يك امضاي ديجيتالي قانوني از شركت نيمه‌هادي‌هاي RealTek، به عنوان يك شركت معتبر توليد كننده قطعات سخت‌افزاري بود.
شيوع اين ويروس مخرب در بالاترين سطح در كشورهاي هندوستان، اندونزي وايران مي‌باشد. نتيجه اين آمار، اين تفكر را كه مالوير در هند طراحي شده را بالا مي‌برد .

آقاي سنجاي كتكار، مدير ارشد فني (CTO)شركت تكنولوژي‌هيل كوييك‌هيل مي‌گويد: «من نمي‌توانم در مورد منشاء اين بدافزار نظري دهم، زيرا نياز به بررسي كامل و سراسري و دلايل قابل استناد دارد. لابراتورهاي تحقيقاتي Quick Heal در حال كار براي رسيدن به يك راهكار ممكن ، مي‌باشند. اما مي‌خواهم يك چيزي بگويم : بخش پيشگيري همواره بهتر از رها كردن كار به دست پاول، هشت‌پاي معروف است.پژوهشگران بايد بر روي واقعيت‌ها و يافته‌ها كار كنند.»
مايكروسافت گفته كه فايلهاي ميانبر (.LNK) به طور نادرستي تجزيه (parse) مي‌شوند و اين به كدهاي مخرب اجازه مي‌دهد تا با يك نيرگ خاصي به صورت آيكن يك فايل ميانبر نمايش داده شود. همچنين مايكروسافت بروزرساني مشورتي خود را كه شامل يك راهكار خودكار "Fix it" مي‌باشد، عرضه كرده است كه خطر اين نقص و باگ را از طريق غيرفعال كردن نمايش آيكن‌هاي ميانبر كاهش مي‌دهد و اين مي‌تواند از تلاش مخربها براي بهره‌برداري از اين آسيب‌پذيري جلوگيري كند.
كاربران كوييك‌هيل كه نسخه‌ي آنتي‌ويروس آنها تا تاريخ 19 جولاي 2010 آپديت مي‌باشد نيازي نيست كه نگران اين مالوير باشند، چون كوييك‌هيل از رايانه‌ي آنها به صورت خودكار در برابر اين نوع مخرب محافظت مي‌كند. كارشناسان امنيتي تكنولوژي‌هاي كوييك‌هيل به كاربران توصيه مي‌كنند كه همواره آنتي‌ويروس خود را بروز و آپديت نگه داشته و زماني كه مي‌خواهند از درايوهاي فلش استفاده كنند مراقب باشند. توصيه مي‌شود كه از اتصال درايوهاي USB به سيستم‌هايي كه با نرم‌افزار آنتي‌ويروس آپديت شده محافظت نمي‌شوند جداً خودداري شود.