بات نت(BotNet) چیست و چگونه در دام آنها نیافتیم؟
28 اکتبر 2016Advanced Persistent Threat | APT
28 نوامبر 2016اکثر مردم زمانی که نام فایلهای اجرایی را میشنوند، در ذهنشان تنها پسوند .exe شکل میگیرد. این در حالی است که در سیستمعامل ویندوز پسوندهای دیگری نیز وجود دارد که باید هنگام اجرای آنها دقت زیادی داشته باشید. چرا که این پسوندها با قابلیت اجراییشان میتوانند، باعث صدمه زدن به کامپیوتر شما شوند.
در این مقاله پسوندهای بالقوه خطرناکی که شاید اغلبشان را بسیاری از افراد نشناسند، معرفی میکنیم.
خوب بد نیست با این سوال شروع کنیم که:
چرا من باید پسوندهای بالقوه خطرناک ویندوز را بشناسم؟
سوال خوبی است. وقتی این پسوندها را بشناسید، زمانی که فایلی به ایمیل شما ارسال شد، میدانید که آیا باید آنرا اجرا کنید یا نه. یا زمانی که در اینترنت مشغول گشت و گذار هستید و میخواهید فایلی را دانلود کنید، آگاهانهتر تصمیم میگیرید. به عنوان مثال آیا میدانید محافظ صفحهنمایشی(Screen Saver) که از اینترنت دانلود میکنید میتواند تمامی اطلاعات شما را پاک کند؟
زمانی که با یکی از این پسوندها روبرو میشوید باید تمام دقت خود را برای محافظت از سیستمتان بکنید. با آنتیویروس قوی و بهروز آن فایل را اسکن نموده و همچنین از وبسایتهایی مانند VirusTotal برای اسکن اینکه این فایلها آلوده به بدافزار نباشند استفاده کنید.
بدیهی است که شما همیشه باید آنتیویروس خود را فعال و بهروز نگه دارید، و این آنتیویروس میتواند از شما در مقابل بسیاری از ویروسها محافظت کند، اما به طور قطع دانستن انواع پسوندها در جلوگیری از اتفاقات ناگوار کمک زیادی خواهد نمود.
چرا پسوند یک فایل میتواند باعث تهدید شود؟
این پسوندها به دلیل اینکه میتوانند حاوی یک کد یا دستورات مخرب باشند در دسته خطرناک قرار میگیرند. مثلا پسوند exe بالقوه خطرناک است، زیرا با اجرا شدن میتواند تقریبا هرکاری روی سیستم شما انجام دهد. ولی فایلهای صوتی، تصویری مانند عکسهای JPG و یا موسیقیهای MP3 به دلیل اینکه نمیتوانند حاوی کدهای مخرب باشند، خطرناک نیستند.(چندین مورد سواستفاده از این پسوندها نیز گزارش شده، که بیشتر به برنامهی بازکننده این فایلها مربوط بوده. اما این موارد بسیار نادر هستند.)
هدفی که در این مقاله دنبال میکنم این است که شما با پسوندهایی که میتوانند حاوی کدهای مخرب باشند، آشنا شوید. توضیحات و مقدمه کافیست، بریم سراغ اصل ماجرا و پسوندهای بالقوه خطرناک:
برنامهها:
EXE. یک فایل اجرایی، بیشتر برنامههای تحت ویندوز با این پسوند ارائه میشوند.
PIF. یک فایل حاوی اطلاعات مربوط به برنامههای تحت سیستمعامل قدیمی MS-DOS. اگرچه فایلهای PIF نباید حاوی کدهای اجرایی باشند، اما در صورتی که کد اجرایی نیز داشته باشند، ویندوز مشابه فایل EXE با آنها برخورد میکند.
Application. یک نصب کننده برنامه که توسط تکنولوژی ClickOnce مایکروسافت تولید شده است.
GADGET. حاوی یک ابزارک صفحه نمایش که توسط مایکروسافت در زمان ویندوز ویستا معرفی شد.
MSI. یک فایل نصبکننده. این پسوند برای نصب برنامهها استفاده میشود.
MSP. یک وصله برای برنامههای نصب شده توسط فایلهای MSI
COM. پسوند اصلی فایلهای اجرایی تحت MS-DOS
SCR. پسوند مربوط به فایلهای محافظ صفحه نمایش(Screen Saver) این فایلها میتوانند حاوی کدهای مخرب باشند.
HTA. یک برنامه HTMLی. HTML زبان اصلی صفحات وب است.ولی این پسوند به جای باز شدن در مرورگر، به صورت مستقل باز میشود.
CPL. یک فایل کنترل پنلی. تمامی مواردی که در کنترل پنل ویندوز میبینید، فایلهای CPL هستند.
MSC. یک کنسول برای ابزارهای مایکروسافتی، گروپ پالیسی و برنامه مدیریت دیسک از نمونههای این پسوند هستند.
JAR. این فایلها حاوی کدهای اجرایی نوشته شده با زبان برنامهنویسی جاوا هستند. اگر JAVA Runtime روی سیستم شما نصب باشد، فایلهایی با این پسوند اجرا خواهد شد.
اسکریپتها
BAT. یک فایل حاوی تعدادی دستور، که در صورتی که بر روی آن کلیک کنید اجرا خواهند شد. این پسوند زمان سیستمعامل MS-DOS خیلی شایع بود.
CMD. یک فایل مشابه فایلهای BAT. این پسوند همزمان با ورود ویندوز NT معرفی شد.
VB. و VBS. حاوی VBScript. که در صورت کلیک شدن به اجرا کدهای نوشته شده با زبان ویژوال بیسیک خواهد نمود.
VBE. یک فایل VBScript کد شده. رفتاری شبیه به فایلهای بالا، اما به دلیل کد شدن، نمیتوان با خواندن سورس کد متوجه شد که چه کاری انجام میدهند.
JS. یک فایل جاوااسکریپت، معمولا این پسوند در صفحات وب استفاده میشوند و اگر درون مرورگر اجرا شوند خطر بسیار کمتری دارند. اما ویندوز نیز این فایلها را به طور مستقل میتواند اجرا کند.
JSE. یک جاوااسکریپت کد شده.
WS. و WSF. یک اسکریپت ویندوزی.
PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2. اسکریپتهای پاورشل ویندوز(PoweShell). که تمامی فرامین درون فایل را به ترتیب اجرا میکند.
MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML. اسکریپتهای اجرایی Monad. Monad بعدا به PowerShell تغییر نام یافت.
میانبرها
SCF. یک فایل حاوی دستوراتی برای ویندوز اکسپلورر(Windows Explorer). که میتواند فرامین خطرناک را از طریق ویندوز اکسپلورر اجرا کند.
LNK. لینک به یک برنامه بر روی کامپیوتر شما. یک LNK میتواند حاوی دستورات خط فرمانی باشد که اقدام به کارهای خرابکارانهای، مثلا پاک نمودن فایلهای شما کند.
INF. یک فایل متنی که توسط AutoRun استفاده میشود. در صورت اجرا شدن میتواند یک فایل مخرب را فراخوانی نماید.
سایر
REG. یک فایل مربوط به ریجستری ویندوز. یک فایل REG میتواند مقادیری را به ریجستری(قلب ویندوز شما) اضافه و یا کم کند، مقادیری را عوض کند و یا حتی باعث اجرای کدهای مخرب شود.
ماکروها
DOC, .XLS, .PPT. فایلهای مربوط به مایکروسافت آفیس که میتوانند آلوده به ماکروهای خطرناک باشند.
DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM. پسوندهای جدیدی که با ورود آفیس ۲۰۰۷ معرفی شدند. M انتهای این پسوندها نشانگر حاوی ماکرو بودن این فایلهاست. به عنوان مثال DOCX حاوی ماکرو نیست ولی DOCM حاوی ماکرو میباشد.(ماکرو قطعه کد کوچکی که میتواند حاوی دستوراتی باشد که برای خرابکاری نوشته شده باشند.)
سعی کردم که لیستی کامل ارائه کنم، ولی توجه داشته باشید که فقط پسوندهای موجود در این مقاله بالقوه خطرناک نیستند. پسوندهای دیگری نیز وجود دارد که اگرچه جزو پسوندهای اجرایی نیستند ولی میتوانند حاوی کدهایی باشند که به سیستم شما آسیب بزنند. به عنوان مثال فایلهای PDF.
اما لیست بالا حاوی پسوندهایی است که عملا نمیتوانید آنها را ایمن کنید. این پسوندها ساخته شدهاند برای اینکه تعدادی دستور و فرمان را اجرا کنند.
ضمنا این نکته را هم بدانید که اگرچه دانستن این پسوندها کمک زیادی به امنیت شما میکند ولی صرفا دانستن آنها کافی نیست. یک آسیبپذیری در سیستمعامل ویندوز به مهاجمین سایبری اجازهی اجرای فایلهای اجرایی را با پسوندهای دیگری میدهد.