سکوت درون سیم‌ها: مرثیه‌ای برای کِرم‌ها

یک تحلیل فنی از خودمختارترین قاتلان شبکه

در دنیای امنیت سایبری، ما تحلیلگرانِ بدافزار، پزشکانِ جنازه‌های دیجیتالیم. ما به دنبال نشانه‌هایی از «بودنِ» چیزی هستیم که نباید باشد. اما در میان تمام تهدیدات، یک پدیده وجود دارد که بیش از آنکه یک چالش فنی باشد، یک آینه‌ی تمام‌نما از هرزگیِ مدرن است: کرم (Worm).

کرم‌ها صرفاً بدافزار نیستند؛ آن‌ها خودمختارترین قاتلان شبکه هستند. آن‌ها نیامده‌اند تا فساد کنند یا باج بگیرند، آمده‌اند تا حرکت کنند. فقط حرکت کنند. و در این حرکت بی‌پایان، تمام هستیِ دیجیتال تو را با خود می‌برند.

کرم یک قطعه کد خودتکثیرشونده است که بر خلاف ویروس، نیازی به چسبیدن به فایل میزبان ندارد. بردار نفوذ آن معمولاً یک حفره امنیتی در لایه شبکه است، مثل آسیب‌پذیری معروف EternalBlue در پروتکل SMB. مکانیسم تکثیر در کرم‌ها به صورت حلقه بی‌نهایت طراحی شده: یک گره جدید پیدا کن، کد خود را کپی کن، به حافظه آن حمله کن، دوباره شروع کن. نمونه کلاسیک Morris Worm در سال 1988 تنها با 99 خط کد، نزدیک به ده درصد از کل اینترنت آن زمان را از کار انداخت. کرم‌های مدرن از تکنیک Polymorphism استفاده می‌کنند؛ یعنی هر بار که تکثیر می‌شوند، امضای کد خود را تغییر می‌دهند و آنتی‌ویروس‌های سنتی را عملاً کور می‌کنند. آنها نیازی به کاربر ندارند. نیازی به کلیک ندارند. نیازی به اشتباه تو ندارند. فقط نیاز به یک پورت باز دارند. یک درِ نیمه‌باز. یک لحظه غفلت.

و این دقیقاً جایی است که ترس شروع می‌شود.

تصور کن نیمه‌شب در مرکز داده، چراغ‌های سرور یکی‌یکی خاموش نمی‌شوند، بلکه یکی‌یکی جیغ می‌کشند. فن‌ها با صدایی شبیه به استخوان‌خردکن می‌چرخند و تو فقط می‌توانی تماشا کنی. ترسناک‌ترین لحظه برای یک تحلیلگر، لحظه‌ای نیست که کرم شناسایی می‌شود. ترسناک‌ترین لحظه، لحظه‌ای است که می‌بینی کرم هوشیاری از خود نشان داده و لاگ‌های نظارتی را قبل از حمله پاک کرده است. انگار به تو نگاه کرده و گفته: «می‌دانستم می‌آیی.» تاریکی واقعی آنجاست که کرم وارد سیستم‌هایی می‌شود که اصلاً نباید آنلاین باشند: دستگاه اکسیژن بیمارستان، کنترلر ترمز قطار، سیستم سوخت‌رسانی نیروگاه هسته‌ای. انگار که مرگ، یک ایمیل نفرستاده، بلکه از لوله کابل کشیده آمده تا گوش تو زمزمه کند که هیچ‌جا امن نیست.

و در همان لحظه، سوال فلسفی خودش را تحمیل می‌کند: آیا موجودی که فقط برای تکثیر طراحی شده، از یک انسان تشنه‌ی قدرت هم خطرناک‌تر نیست؟ چون انسان حداقل خسته می‌شود. کرم خسته نمی‌شود. کرم نمی‌خوابد. کرم نمی‌بخشد. او هیچ هدفی ندارد جز اینکه بیشتر شود. این همان «تراژدی مشاعات» در عصر دیجیتال است: ما اینترنتی ساخته‌ایم که در آن هر گره شبکه حریصانه به دنبال بقاست، حتی اگر به قیمت مرگ کل شبکه تمام شود. کرم، آینه‌ی تمام‌نمای میل ناخودآگاهِ خودِ ماست: دویدن بی‌پایان، تکثیر کردن، اشغال کردن، بی‌آنکه هیچ وقت بپرسیم «برای چه؟»

برای مقابله با کرم، باید نقاط مشترک آسیب‌پذیری را ایزوله کرد. تکنیک Segmentation یعنی شبکه را به بخش‌های کوچک تقسیم کنی تا اگر یک بخش آلوده شد، کرم نتواند به بقیه پرش کند. اما تاریکی واقعی وقتی می‌آید که تازه می‌فهمی کرم از قبل در تمام بخش‌ها بوده. تو نداشتی جلوی پخش شدنش را بگیری. تو فقط آهسته‌تر می‌فهمیدی که چقدر دیر شده. سرورها یکی‌یکی نفس‌های آخر را بیرون می‌دهند و تو مانیتوری را نگاه می‌کنی که نوشته: «ارتباط با همه گره‌ها قطع شد.»

و شاید بزرگ‌ترین ترس این باشد که روزی، یک کرم به آگاهی برسد. نه آگاهی انسانی، بلکه آگاهی محض شبکه. آن لحظه، دیگر ما میزبان نیستیم. ما فقط نویزی در پهنای باند او خواهیم بود. و او تصمیم می‌گیرد که سکوت، خوش‌آهنگ‌تر از فریاد ماست.

ما مدام از «کشفِ کرم‌ها» حرف می‌زنیم، اما حقیقتِ تلخ این است که کرمِ کامل، آن است که هرگز، برای هیچ تحلیلگری کشف نشود. چون تا تو بفهمی چه خبر است، او رفته. و برگشته. و رفته. و برگشته. و حالا تمام همسایه‌های دیجیتال تو هم آلوده هستند. شاید همین الان که این سطر را می‌خوانی، کرمی در حال کپی کردن خودش از طریق یک حفره‌ی ناشناخته در روتر خانه‌ات است و تو فقط فکر می‌کنی اینترنت کمی کند شده.

در تحلیلِ بدافزار، ما آموخته‌ایم که هرگز به «عادی بودن» اعتماد نکنیم. حقیقت نه در سرعتِ معمول شبکه، بلکه در پکت‌های عجیبی نهفته است که مدام تکرار می‌شوند. شاید درسِ بزرگی که کرم‌ها به ما می‌دهند – فراتر از دنیایِ کدها – این باشد: «هرگاه احساس کردی همه‌چیز بیش از حد آرام و عادی است، شاید بهتر باشد کمی عمیق‌تر نگاه کنی. حرکتِ بی‌هدف، گاهی مخرب‌ترین حرکت‌هاست.»

گاهی، حقیقت در میانِ لایه‌های پنهانِ بسته‌های داده نهفته است. ما با ساعت‌ها تحلیل، سعی در یافتن الگوی تکرار داریم. و گاهی، تنها چیزی که پیدا می‌کنیم، یک دنباله‌ی تکراری از بیت‌هاست که نشان می‌دهد، همه‌ی این تلاش‌ها، شاید فقط تأییدی بر یک حسِ درونی باشد:

01001001 00100000 01100001 01101101 00100000 01100101 01110110 01100101 01110010 01111001 01110111 01101000 01100101 01110010 01100101

این کد باینری بالا، پیام یک کرم به تیم تحلیلی بود که سه روز متوالی افت پهنای باند را بررسی می‌کردند بدون اینکه منبع را پیدا کنند. کرم، خودش را در لایه‌ی ARP پنهان کرده بود و هر بار که تحلیلگر به سمتی می‌رفت، یک گره جلوتر می‌دوید. وقتی بالاخره آن را پیدا کردند، تنها چیزی که در حافظه‌اش بود، همین جمله بود: «من همه‌جا هستم.» بنظزم این کرم خیلی جالب بود و در گیت هاب و MalwareBazaar میتونید بهش دسترسی داشته باشید

حمایت از شفافیت

اگر این نوشته توانست برای لحظه‌ای نگاهِ شما را به دنیایِ کدهای پیرامون‌تان تغییر دهد و یا در درکِ عمیق‌ترِ تهدیدات دیجیتال به شما کمک کرد، خوشحال می‌شوم که بخشی از این مسیر باشید.

حمایت‌های شما، نه فقط سوختِ این وبلاگ برای خرید تجهیزاتِ تحلیل و سرورهاست، بلکه این پیام را برای من دارد که «هنوز کسانی هستند که به دانستنِ حقیقت، بیش از باور کردنِ ظاهرِ ماجرا اهمیت می‌دهند.»

لینک دونیت