شناخت و پاک سازی ویروس Viper

[mehraboOon]

شناخت و پاک سازی ویروس Viper

مقدمه

آغاز دومین حمله بزرگ سایبری سازمان یافته به تأسیسات زیربنایی کشورمان در قالب ویروس هوشمند اینترنتی “Viper“، آثار و پیامدهای بسیار مخربی را در بیشتر سازمان های دولتی ایران بر جای گذاشته و منجر به از دست رفتن اطلاعات بسیار زیادی گردیده است.

ویروس Viper که توسط دولت متخاصم اسرائیل، در ابتدا به منظور کاهش تولیدات نفتی، طراحی و به پیکره سیستم های وزارت نفت منتقل و سپس در سراسر شبکه دولتی ایران منتشر شده است، قادر به پاک کردن برگشت ناپذیر تمامی اطلاعات از سرورها بوده و بازیابی اطلاعات را تحت هر شرایطی، غیر ممکن می نماید. در ضمن، به علت ناشناخته بودن آن، تاکنون هیچ یک از شرکت های امنیتی موفق به شناسایی و تجزیه و تحلیل کدهای آن نشده اند.

به نظر می رسد که هدف اصلی این ویروس، نفوذ در همه سیستم های موجود در شبکه، به منظور پاک نمودن تمام اطلاعات موجود بر روی هارد دیسک های آن ها می باشد.

لازم به ذکر است که این تهدید، دومین حمله بزرگ سایبری در طی دو سال اخیر است که منجر به خسارات جبران ناپذیری به اطلاعات و سیستم های تأسیسات زیربنایی کشورمان گردیده است. نخستین حمله توسط دولت متخاصم اسرائیل، با ورود کرم اینترنتی Stuxnet به نیروگاه هسته ای بوشهر در سال ۱۳۸۹ با هدف تأخیر در راه اندازی ژنراتور برق هسته ای بوشهر، آغاز گردید که توانست تعداد بسیار زیادی از سانتریفیوژها را از چرخه تولید خارج نماید.

سایر نام ها

این ویروس، به نام های زیر شناخته می شود:

Viper , Wiper

بهتر است یادآوری شود که ویروس Viper هیچ ارتباطی با ویروس Wipe که از تهدیدات امنیتی سال گذشته به شمار می رود، نداشته و اشتباهاتی که در این خصوص مطرح می شود، به دلیل نداشتن دانش و تخصص فنی و همچنین شباهت نزدیک اسمی آن ها به یکدیگر است.

سیستم های آسیب پذیر

Microsoft Windows Server 2003 SP2 , Windows XP on 32-bit Platforms

پراکنش جغرافیایی

Viper فقط برای حمله سایبری به جمهوری اسلامی ایران، طراحی و منتشر شده است. هدف اصلی این نرم افزار مخرب، تأسیسات زیربنایی ایران می باشد که با توجه به شواهدی که از حمله و نفوذ آن به وزارتخانه ها و سازمان های مهم کشورمان موجود است، این فرضیه قوت بیشتری می گیرد.

لازم به ذکر است که تاکنون به جز ایران، هیچ گزارشی از فعالیت های مخرب این ویروس در سایر کشورها گزارش نشده است.

تاریخچه کشف

اوایل اردیبهشت ماه سال جاری (۱۳۹۱)، نخستین بار ویروس Viper در سیستم های وزارت نفت و شرکت های تابعه آن گزارش گردید و منجر به ایجاد مرکز بحران در این وزارتخانه برای مقابله با آسیب های آن و همچنین آمادگی برای حملات مشابه بعدی شد. بر این اساس و به منظور کنترل این حمله سایبری، دسترسی به اینترنت برای کارکنان وزارتخانه نفت و کارکنان شرکت ملی نفت، شرکت های پتروشیمی، پالایشگاه و توزیع قطع گردید. همچنین، خدمات اینترنت در خارگ، بهرگان، سیری، لاوان، قشم و کیش نیز مسدود شد.

اگر چه این ویروس، مدتی قبل وارد سیستم های وزارت نفت گردید ولی به علت عدم تخصص و دانش کافی متخصصان امنیت اطلاعات این وزارتخانه، اقدام مناسبی برای مقابله با آن صورت نگرفت که در نهایت، به چنان مرحله بحرانی و حساسی رسید که حتی چند روز، منجر به قطع کامل تمامی ارتباطات و خدمات رسانی در سطح وزارتخانه نفت و شرکت های تابعه آن گردید. بلافاصله بعد از چند روز، این ویروس در سایر وزارتخانه ها و سازمان های مهم کشورمان نیز کشف گردید.

اگرچه هنوز در مورد زمان آغاز به کار Viper اتفاق نظر وجود ندارد ولی بنابر اظهارات و شواهد موجود، این ویروس از یک ماه پیش، در سیستم های وزارت نفت موجود بوده و در طول این مدت، بدون شناسایی شدن به کار خود ادامه داده است که البته این مطلب، از طریق بررسی تاریخ نشانه های دیجیتالی این ویروس، به خوبی قابل استناد و درک خواهد بود.

نامگذاری

Viper در اصلاح لغوی به معنای ” آدم خائن و بد نهاد ” می باشد که از همین نام نیز برای نفوذ در رایانه ها استفاده می کند.

طراحی و سازماندهی

این ویروس، به چندین زبان مختلف از جمله C، C++ و سایر زبان های شیء گرا نوشته شده است. Viper، چنان در نفوذ به سیستم ها، حتی با عبور از فایروال های قدرتمند و با تنظیمات صحیح و پیچیده همچون ISA ماهر است که به طور یقین، متخصصانی با پشتوانه فنی قوی و دارای انواع تخصص ها، آن را ایجاد کرده و هدایت می کنند.

با توجه به شناسایی کاملی که این ویروس انجام می دهد، پیچیدگی کد، خطرناک بودن حمله آن، نفوذ به مراکز خاص و همچنین منابع و هزینه های مورد نیاز برای انجام این حمله به همراه ریسک بالایی که پروژه در پی داشته است، تنها دولت ملی می تواند توانایی های آن را داشته باشد.

در شرایط فعلی، محتمل ترین سناریو در مورد این ویروس، سرویس جاسوسی سایبری دولت متخاصم ....... می باشد چرا که از مدت ها قبل، وعده حمله به ایران در فروردین ماه امسال را داده بود که اکنون با حمله سایبری و هدف قرار دادن تأسیسات زیربنایی کشورمان، به این وعده خویش، جامه عمل پوشانده است. هر چند که این موضوع، تاکنون به تأیید مقامات ........ نرسیده است ولی اکثر کارشناسان، معتقد به این قضیه هستند.

عملکرد

با توجه به ناشناخته بودن نحوه نفوذ این ویروس، حتی با عبور از ISA، هنوز مشخص نیست که این ویروس از چه آسیب پذیری ها و حفره هایی در ویندوز بهره می برد.

با توجه به تجربیات اینجانب، احتمالاً این ویروس پس از نفوذ به شبکه، با سوء استفاده از یک آسیب پذیری ویندوز، می تواند حق دسترسی Admin به سایر pc ها را برای خود ایجاد کرده، سپس با استفاده از آسیب پذیری های دیگری،کنترل شبکه را در دست گرفته و با انتشار خود در تمام سیستم ها، اقدام به از بین بردن همه اطلاعات هارد دیسک ها می کند.

آنگاه پس از موفقیت آمیز بودن این عمل، ارتباط سیستم ها در شبکه قطع شده، هیچ سیگنالی به مانیتورها ارسال نگردیده و صفحه نمایشگر، مشکی می شود. پس از راه اندازی دوباره سیستم نیز، فقط تا مرحله بارگذاری بایوس پیش رفته و ویندوز بارگذاری نمی گردد. در بعضی از موارد نیز، صدای بوق ممتد از سیستم به گوش می رسد که بیانگر آسیب های سخت افزاری به آن می باشد. همه این ها، از عجایب ویروس Viper است.

به احتمال بسیار زیاد، Viper از یک آسیب پذیری منحصر به فرد دیگر نیز برای دور زدن فایروال ها و اتمام فرآیندهای امنیتی سیستم، استفاده می کند. هر چند که، برای به دست آوردن اطلاعات بیشتر در این خصوص، باید کد ویروس مورد بررسی و تحلیل عمیق قرار گیرد.

تغییرات در سیستم

هنوز از فایل ها و سرویس هایی که توسط این ویروس در سیستم آلوده ایجاد می شود، اطلاعاتی در دست نیست و همچنین مشخص نیست که چه تغییراتی در Registry ویندوز به وجود می آید اما همانطور که اشاره گردید، تمامی فایل ها از روی هارد دیسک حذف گردیده و چنانچه فایلی نیز باقی بماند از هر نوع فرمت نوشتاری همچون .doc , .docx , pdf , .xls , … و حتی فرمت های تصویری، پس از باز شدن فایل مربوطه، تمامی اطلاعات آن به یکباره پاک می گردد. اگرچه ممکن است هیچ تغییری در حجم فایل ها ایجاد نگردد و در ظاهر، فایل ها دارای محتویات باشند، اما در اصل، فاقد هر گونه اطلاعاتی بوده و اطلاعات آن ها نیز غیر قابل بازیابی می باشد.

در ضمن، هنوز مدارکی در دست نیست که این ویروس، اطلاعاتی را از طریق HTTP به آدرس های مشخصی که سرورهای آن هستند، ارسال می نماید یا خیر.

با این تفاسیر، حذف تمامی فایل ها، حتی فایل های سیستمی سیستم عامل، از مهمترین مشخصه های این ویروس محسوب می شود.

انتشار

Viper علاوه بر اینترنت، با کپی کردن خودش در درایوهای USB یا فایل های به اشتراک گذاشته شده در شبکه های رایانه ای، منتشر می شود.

جلوگیری

شرکت های امنیتی به دلیل نشناختن این ویروس و عدم مواجهه با آن، تاکنون هیچ تحقیق یا گزارشی را به شرکت مایکروسافت ارایه نکرده اند و بنابراین، به روز رسانی و یا اصلاحیه ای نیز برای از بین بردن آسیب پذیری های مورد استفاده این ویروس، عرضه نشده است. هم اکنون، هیچ یک از آنتی ویروس ها نیز قادر به شناسایی و پاک سازی این ویروس نیستند.

با این وجود، انجام فعالیت های زیر توسط همه مدیران و کاربران سیستم می تواند باعث جلوگیری و یا کاهش خطر این ویروس شود:

• غیر فعال کردن ویژگی AutoRun یا AutoPlay سیستم برای جلوگیری از اجرای خودکار فایل های قابل اجرا در درایوهای قابل جابجایی.
• · تهیه نسخه های پشتیبان از داده ها و اطلاعات، به صورت مرتب و در فاصله های زمانی کم و مشخص و نگهداری آن ها بر روی یک سیستم دیگر، جدا از شبکه.
• · غیر فعال کردن درایوهای قابل جابجایی و تمامی درایورها (Floppy , CD , DVD) از طریق Setup سیستم و در نظر گرفتن یک رمز عبور قوی برای setup
• اصلاح نقاط آسیب پذیر نرم افزارهای نصب شده در سیستم.
• به روز رسانی سیستم عامل و نصب آخرین وصله های امنیتی بر روی آن.
• · به روز رسانی نرم افزار آنتی ویروس در فاصله های زمانی کوتاه مدت و فعال کردن گزینه automatic updates برای دریافت خودکار آخرین updateها.
• محدود کردن شدید دسترسی به آدرس های اینترنتی، با استفاده از فایروال و Router تا زمان برطرف شدن خطر و رفع تهدید.
• · استفاده از رمز عبور پیچیده که ترکیبی از عدد، حروف بزرگ و کوچک و نمادها می باشد برای کلمه عبور کاربران، به نحوی که این رمزها توسط dictionary attackها به راحتی قابل شناسایی و کشف نبوده و در عین حال، برای کاربران هم به یاد ماندنی باشد.
• · همه ارتباطات ورودی از اینترنت به سرویس های سازمان که نباید در دسترس عموم باشد را با استفاده از فایروال deny کرده و تنها به سرویس هایی اجازه دهید که به مردم خدمات ارائه می دهند.
• هرگز نباید با یوزر administrator به سیستم login کرد. کاربران و برنامه ها هم باید پایین ترین سطح دسترسی لازم را داشته باشند.
• غیرفعال کردن اشتراک گذاری منابع و فایل ها در شبکه، اگر به اشتراک گذاری آن ها نیازی نیست. در صورت نیاز، از ACL ها استفاده کرده و مشخص نمایید که چه افراد یا کامپیوترهایی اجازه دسترسی به آن ها را دارند.
• · غیرفعال کردن و حذف سرویس های غیرضروری فعال در سیستم. اگر هم کد مخربی علیه یکی از سرویس ها پیدا شد، تا زمانیکه patch آن سرویس در سیستم نصب نشده است، آن سرویس را غیر فعال کرده و یا دسترسی به آن را محدود نمایید.
• · سرویس هایی همچون HTTP، FTP، Mail و DNS مهمترین سرویس های یک شبکه متصل به اینترنت هستند. بنابراین، همیشه patchهای این سرویس ها را مهم درنظر گرفته و به روز نگهدارید. همچنین توسط فایروال، دسترسی به آن ها را کنترل نمایید.
• · پیکربندی email سرور در جهت حذف نامه های الکترونیکی که حاوی فایل ضمیمه است. از این فایل ها برای گسترش تهدیداتی همچون .vbs، .bat ، .exe ، .pif و .scr استفاده می شود.
• · کامپیوترهای آلوده را به سرعت برای جلوگیری از گسترش بیشتر آلودگی در شبکه ایزوله کنید و تا زمانیکه از برطرف شدن آلودگی مطمئن نشده اید، آن ها را وارد شبکه نکنید.
• · استفاده نکردن از Bluetooth در شبکه. در صورت نیاز، دید دستگاه را در حالت Hidden تنظیم کنید تا توسط دستگاه های دیگر پیدا نشده و حتماً از رمز عبور نیز برای برقراری ارتباط بین دستگاه ها استفاده کنید.

پیشگیری

پیشگیری از حوادث و کنترل امنیت سیستم نیاز به یک رویکرد چند لایه دارد که از آن با عنوان ” دفاع در عمق ” یاد می شود. این لایه، شامل سیاست ها و رویه ها، آگاهی و آموزش، تقسیم بندی شبکه، کنترل دسترسی ها، اقدامات امنیتی فیزیکی، سیستم های نظارتی همچون فایروال و آنتی ویروس، سیستم های تشخیص نفوذ (IDS)، رمز کاربری و … است.

بهترین روش برای پیشگیری هم معمولاً تجزیه و تحلیل خطر، شناسایی نقاط آسیب پذیر سیستم ها و شبکه، کنترل سیستم ارزیابی امنیتی و همچنین توسعه برنامه های اولویت بندی برای از بین بردن یا به حداقل رساندن ریسک خطر است.

نویسنده: محمد مهدی واعظی نژاد

متخصص امنیت شبکه