البرامج الضارة أو الخبيثة Malware هي اختصار لعبارة “‘malicious software” ، وتعني أي برنامج يقوم بأنشطة ضارة. وهي تأتي في مجموعة واسعة من الأشكال و الأنواع. على سبيل المثال ، الفيروسات ، أحصنة طروادة ، وبرامج التجسس ، وبرامج البوتات ، وبرامج الفدية ، وما إلى ذلك.
تستخدم هذه البرامج الضارة لتنفيذ العديد من الهجمات الإلكترونية على الانترنت كجرائم الاحتيال و التسلل. على سبيل المثال ، يمكن لأحصنة طروادة تقديم وصول مستتر إلى شبكة هامة للسماح للمهاجمين بسرقة المعلومات السرية. أما فيروس برامج الفدية
فيمكنه تشفير البيانات الموجودة على جهاز الكمبيوتر الخاص بالمستخدم. وبالتالي جعلها غير متاحة للوصول إليها إلا بعد فك تشفير البيانات بعد أن يدفع المستخدم مبلغاً من المال كفدية. بينما تعد البرامج الضارة عبر شبكة الـ Botnet مسؤولة عن العديد من هجمات رفض الخدمة الموزعة (DDoS) بالإضافة إلى أنشطة البريد العشوائي والتصيد الاحتيالي. غالباً ما تتسلل البرامج الضارة إلى البنية التحتية للشركات من خلال البريد الإلكتروني، إلا أن تلك ليست الطريقة الوحيدة للإصابة.
مع ذلك، يفترض أن أول خطوة لمنع وقوع حوادث أمنية إلكترونية هي منع البرامج الضارة من اختراق البنية التحتية للشركات. لذلك وعند تطوير استراتيجية وسياسة الحماية فغالباً ما يركز الخبراء على طرق وأساليب الهجوم الأكثر وضوحاً مثل البريد الإلكتروني.
تبدأ معظم الهجمات من خلال البريد الإلكتروني. ولكن لا تنسى أن مجرمي الانترنت لديهم العديد من الطرق لتوصيل البرامج الضارة الأخرى إلى هدفها. وهذه الطرق مستخدمة على نطاق واسع في الهجمات المختلفة. في هذا المقال سنتعرف على بعض الأساليب الغير شائعة والمستخدمة لإصابة ونشر البرامج الضارة والتي صادفها خبراء الحماية أثناء تحليل التهديدات الأخيرة.
انتحال أدوات شرعية:
قرر مبتكرو إحدى البرامج الضارة التي يطلق عليها اسم AdvancedIPSpyware تضمين التعليمات البرمجية الخاصة بهم في أداة فحص العناوين الشبكة للأجهزة ضمن الشبكة Advanced IP Scanner. تستخدم تلك الأداة من قبل مسؤولي النظام والشبكات.
لقد أنشؤوا موقعين على شبكة الانترنت بنفس التصميم تماماً مثل الموقع الأصلي. و يضاف لذلك أسماء الدومينات المزيفة التي اختلفت بحرف واحد فقط عن تلك الحقيقية.
كانوا يعتمدون على الضحية الذي يبحث عن أداة مراقبة الشبكة المحلية ويقوم بتنزيل البرنامج الذي يحوي على كود خبيث من الموقع المزيف. من المثير للاهتمام أيضاً أن الإصدار الخبيث من Advanced IP Scanner قد تم توقيعه بشهادة رقمية شرعية والتي يبدو أنها شهادة مسروقة.
البرامج الضارة -استغلال اليوتيوب:
حاول مشغلو OnionPoison فعل شيء مشابه. أنشؤوا نسختهم الخبيثة من متصفح Tor (بدون توقيع رقمي). و لتوزيع ونشر متصفحهم المزيف وضعوا رابط التحميل على قناة يوتيوب شهيرة تنشر مقاطع عن كيفية عدم الكشف عن الهوية الحقيقية والتخفي عبر الإنترنت. رابط التحميل المخادع كان أسفل مقطع فيديو يحوي على إرشادات لتثبيت المتصفح Tor.
بعد تنصيب النسخة المصابة لا يمكن تحديثها كما أنها كانت تحوي على باب خلفي Backdoor لتنزيل مكتبة ضارة إضافية. مكّن ذلك المهاجمين من تنفيذ تعليماتهم الخبيثة على النظام الهدف، بالإضافة للحصول على سجل المتصفح ومعرفات حسابات WeChat.
استغلال التورنت Torrent:
أخفى منفذو الحملة الخبيثة CLoader أدوات تثبيت البرامج الضارة الخاصة بهم في ألعاب مقرصنة وبرامج مفيدة أخرى. تركز هذه هذه الطريقة على اسنهداف المستخدمين المنزليين بشكل أكبر. ولكن مع انتشار العمل عن بعد في يومنا الحالي فقد تشكل هذه الهجمات خطر على شبكات وأنظمة الشركات.
بمجرد أن يقوم الضحية بتنزيل برامج مقرصنة من خلال التورنت ستتم إصابة جهازه برامج ضارة قادرة على العمل كسيرفر بروكسي يقوم باعتراض طلباته وخداعه لتثبيت برامج ضارة إضافية أو منح وصول غير مصرح به عن بُعد إلى النظام المصاب.
الانتشار من خلال أدوات شرعية:
الأسلوب المتبع من أحدث إصدارات BlackBasta ransomware للانتشار عبر شبكة محلية كان باستخدام تقنيات معينة خاصة بأنظمة شركة مايكروسوفت. بعد إصابة جهاز كمبيوتر واحد يمكنه الاتصال بـ Active Directory عن طريق مكتبة LDAP والحصول على قائمة بأجهزة الكمبيوتر الموجودة الشبكة المحلية. بعدها يبدأ عملية نسخ البرامج الخبيثة وتشغيلها عن بُعد باستخدام طريقة تترك وراءها القليل من الآثار في النظام وتجعل عملية اكتشاف ذلك البرنامج الضار أمراً أكثر صعوبة
كيف تحافظ على سلامتك من البرامج الضارة:
توضح الأمثلة السابقة أن البنية التحتية للشركات تحتاج إلى حماية شاملة ضد التهديدات والهجمات الرقمية المحتملة. و من المؤكد أن بعض الحلول الأمنية التي تفحص جميع رسائل البريد الإلكتروني الواردة بحثاً عن رسائل التصيد الاحتيالي والروابط والمرفقات الضارة لها دور فعال في الحماية ضد مثل هذا النوع من الهجمات. ولكن لا يعتبر ذلك كافياً.
وبالتالي، يجب أن تتم الحماية على مستوى الأفراد والشركات بطريقة الدفاع في العمق Defense-in-depth .و يشمل ذلك على استخدام أكثر من طبقة حماية أو برنامج للحماية مثل مضاد فيروسات من الجيل الجديد ونظام لمنع الاختراق IPS بالإضافة للحلول الخاصة بحماية البريد الالكتروني.ولكن من المهم أن تدرك أيضاً على أهمية العنصر البشري والذي يعتبر أكبر ثغرة في أي نظام.
وهنا يؤكد روبودين على ضرورة تفعيل برامج التدريب والتوعية الأمنية للموظفين بشكل دائم. وعلى المستوى الشخصي ننصحك بتعلم أساسيات الأمن السيبراني لتتمكن من فهم أسلوب المهاجمين واكتشاف الروابط والصفحات المزورة والأساليب المخادعة الأخرى.
