البرامج الضارة – تعرف على الأدوات الأكثر خطورة لمجرمي الانترنت

368 مشاهدة
11 دقائق

تسعى جهات التهديد في الأمن السيبراني لاستغلال نقاط الضعف للوصول إلى النظام ومن ثم تنفيذ أهدافهم الخبيثة. في كثير من الأحيان، يتضمن ذلك نشر البرامج الضارة (Malware ) أو نصوصاً برمجية أو وسائل أخرى لاستغلال الأنظمة. يستكشف هذا المقال عدداً من تلك البرامج التي يسنخدمها مجرمو الانترنت. إن ما سيُعرض هنا ليس خلاصة شاملة للبرامج الضارة والهجمات ذات الصلة. لكنه مجرد وصف للأنواع الرئيسة منها لمساعدة القراء على امتلاك فهم جيد لكيفية تخطيط الهجمات وتنفيذها حتى يتمكنوا من الدفاع ضدها بشكل مناسب.

البرامج الضارة Malware

البرامج الضارة Malware هي اختصار لكلمتي برنامج malicious و ضار software. إنها برامج مصممة للتسلل إلى أنظمة الكمبيوتر والوصول إليها بشكل غير مصرح به لإحداث ضرر أو تعطيل للخدمات. يستخدم المهاجمون البرامج الضارة لاختراق الأنظمة وتنفيذ أهداف مثل :

  • تسجيل نقرات المفاتيح التي يقوم بها المستخدم لالتقاط كلمات المرور والمعلومات الحساسة الأخرى
  • استخدام برامج التجسس لجمع معلومات حساسة لإعادة بيعها.
  • تنفيذ هجمات التصيد الاحتيالي.
  • إطلاق هجمات برامج الفدية لإجبار المستخدمين على دفع فدية لمنع فقدان بياناتهم أو تدميرها.
  • إدارة هجمات رفض الخدمة لتعطيل العمليات التجارية.
  • إعادة توجيه حركة المرور على الانترنت إلى مواقع الويب الضارة أو الخاطئة التي يديرها المهاجمون.

ونستعرض فيما يلي الأنواع التالية من البرامج الضارة:

  • الفيروسات
  • حصان طروادة Trojan
  • الديدان Worms
  • شبكات البوتات
  • فيروس الفدية
  • الجذور الخفية/ روتكيت  (RootKit)

الفيروسات – أكثر البرامج الضارة شهرة

الفيروس هو برنامج أو جزء من التعليمات البرمجية يصيب برنامج لتنفيذ وظيفته الضارة. تستخدم الفيروسات برامج أخرى كوسيلة لتوصيل حمولتها (payload) أو إعادة إنتاج نفسها. الحمولة هي جزء الفيروس الذي ينفذ النشاط الضار. تتنوع تلك الأنشطة بين حذف البيانات أو تصفيتها أو تشفيرها أو تعديل الملفات أو إرسال رسائل غير مرغوب فيها. فيما يلي بعض الأنواع الشائعة من الفيروسات:

  • فيروس ماكرو (Macro virus): تحتوي العديد من التطبيقات على ميزات ماكرو تسمح للمستخدم بإنشاء واستخدام البرامج النصية التي تعمل على أتمتة وظائف التطبيق. يعد Microsoft Word وExcel من التطبيقات الشائعة التي تتمتع بقدرات ماكرو. كل ماكرو هو عبارة عن برنامج نصي يتم تنفيذه لتنفيذ مهمة ما، ومن الممكن كتابة وحدات ماكرو تؤدي مهام ضارة. يمكن لوحدات الماكرو أيضاً تكرار نفسها وإصابة الملفات الأخرى التي يستخدمها التطبيق.
  • فيروس الضغط (Compression virus): يستخدم هذا المصطلح لتحديد الفيروس المضمن داخل ملف مضغوط. عندما يقوم المستخدم بفك ضغط الملف للوصول إلى محتوياته، يقوم الفيروس بتنفيذ مهمته الضارة.
  • الفيروس الشبح ( Stealth virus ): يخفي هذا الفيروس وجوده والأشياء السيئة التي يفعلها بالملف أو النظام المصاب. من الصعب اكتشاف فيروسات التخفي، بحكم تصميمها.
  • الفيروس متعدد الأشكال (Polymorphic virus) يشبه الفيروس الشبح، حيث يخفي الفيروس متعدد الأشكال نفسه لتجنب اكتشافه. وينفذ ذلك عن طريق تغيير نفسه (تغيير الكود فعلياً) في كل مرة يتم تشغيله. ولذلك، فإن برامج مكافحة الفيروسات المصممة للبحث عن برامج أو ملفات معينة لن تتمكن من العثور على الفيروس. إنه لا يبدو بنفس الشكل أبداً.
  • فيروس الإقلاع (Boot sector): هو عبارة عن تعليمات برمجية ضارة يتم إدخالها في حيز الإقلاع على القرص. عند التثبيت، يقوم الفيروس إما بنقل البيانات من منطقة الإقلاع أو الكتابة فوقها بمعلومات جديدة. عند إعادة تشغيل النظام، يتم تنفيذ التعليمات البرمجية الضارة.
  • •  الفيروسات متعددة الوظائف (Multipartite virus) تسمى الفيروسات التي تصيب -على التوازي- كلاً من حيز الإقلاع وملفات أخرى في النظام بالفيروسات متعددة الوظائف.

أحصنة طروادة والديدان وشبكات البوتات

تتشابه الأنواع الأخرى من البرامج الضارة مع الفيروسات ولكنها تتميز بخصائص و وظائف مختلفة. وفيما يلي أهمها:

  • حصان طروادة (Trojan ): هو برنامج ضار يخدع المستخدم لتشغيله لأنه يبدو برنامجاً آمناً. في بعض الأحيان يتضمن حصان طروادة البرنامج الفعلي الذي ينوي المستخدم تشغيله. لذلك يبدو أن البرنامج يعمل بشكل صحيح بينما يشغل أيضاً -في الخلفية- التعليمات البرمجية الضارة.
  • الدودة (Worm ): تشبه الفيروس ولكنها، على عكسه، قادرة على تكرار نفسها. وكذلك فإن الدودة يمكن أن تعمل بمفردها ولا تتطلب برنامجاً مضيفاً لإحداث الضرر أو تكرار نفسها. عادةً ما تدخل الديدان إلى النظام من خلال ثغرة أمنية معروفة. وبمجرد وصولها، يمكنها فحص الشبكة بحثاً عن أجهزة كمبيوتر أخرى بها ثغرات أمنية لتنتشر إليها. قد لا تحاول بعض هذه الديدان إجراء أية تغييرات على النظام. ولكن تتمثل مهمتهم ببساطة في الانتشار إلى أنظمة أخرى والتسبب في توقف الخدمات عن طريق زيادة حركة تدفق البيانات على الشبكة.
  • البوتات (Botnet ): شبكة البوتات هي مجموعة من الأنظمة المصابة التي تعمل معاً لتنفيذ هجوم. غالباً ما يتم التحكم في البوتات عن بعد بواسطة مجرمي الانترنت لتنفيذ هجمات رفض الخدمة الموزعة (DDOS) أو الهجمات التي تهدف إلى سرقة البيانات أو إرسال الرسائل المزعجة. يتم التحكم عن بعد بتلك البوتات خلال شكل من أشكال نظام القيادة والتحكم C&c. يمكّن ذلك المهاجمين من التحكم بتلك الشبكات كمجموعة. في بعض الأحيان يتم استخدام البوتات لإنشاء شبكات من أجهزة الكمبيوتر “الزومبي”. وبالتالي يتم التحكم فيها عن بعد لإجراء أي نوع من العمليات تقريباً.

البرامج الضارة – فيروس الفدية

تعد برامج الفدية (Ransomware) نوعاً خبيثاً من البرامج الضارة التي تجبر ضحيتها على الاختيار بين دفع فدية أو فقدان الأصول القيمة. يتم تسليم برامج الفدية للضحية عبر أي من الآليات التالية -مثلاً- : رسائل البريد الإلكتروني التصيدية، أو حيل الهندسة الاجتماعية، أو من خلال استغلال نقاط الضعف المعروفة في أنظمة التشغيل أو البرامج الأخرى. بمجرد أن يصيب برنامج الفدية النظام، فإنه عادةً ما يشفر الملفات. و من ثم يبلغ المستخدم بأنه ما لم يتم دفع الفدية، غالباً باستخدام العملات الرقمية كالبيتكوين أو غيرها ، ستظل البيانات مشفرة وبالتالي سيفقدها مالكها للأبد.

تتضمن الأشكال المختلفة لهجوم برامج الفدية التهديد بالكشف عن معلومات حساسة. أو كشف مواد إباحية (والتي ربما حفظها الضحية على نظامه أو وضعها المهاجم هناك ليبتزه). لكن جميع برامج الفدية تضع المؤسسة أمام معضلة: دفع الفدية وإلا سيحدث شيء أسوأ (ضياع المعلومات) وتعطل الأعمال.

لا يعني دفع الفدية دائماً أن المستخدم أو المؤسسة ستستعيد أصولها. فمن ينفذ هذه الهجمات هم مجرد مجرمين. ومع ذلك، في بعض الأحيان عندما يتم دفع الفدية، يفي مجرمو الانترنت بوعدهم بتوفير مفاتيح فك التشفير أو مساعدة الضحية على التعافي من الهجوم. وذلك لأن أولئك المجرمين يريدون أن يكونوا قادرين على مواصلة عملياتهم مستقبلاً وذلك سيكون أكثر ترجيحاً إذا تم إيهام الضحايا المستقبليين أن المجرمين سيفعلون ما وعدوا به إذا تم دفع الفدية. في الواقع، ازداد مجرمو الانترنت تنظيماً لدرجة أنه لدى بعض المنظمات الإجرامية السيبرانية مراكز اتصال (Call Center) تساعد ضحاياها على سداد المدفوعات وفك تشفير بياناتهم.

الاستجابة لحوادث فيروس الفدية

تضع برامج الفدية المؤسسة في موقف صعب. سيتعين عليها أن تفاضل بين خيارين سيئين للغاية: دفع الفدية أو خسارة الأصول المعلوماتية. إن روبودين ينصح دائماً بعدم دفع الفدية. ستغذي الأموال المدفوعة نشاطات المجرمين و تساعدهم على تنفيذ هجمات أكثر تطوراً و تركيزاً. لكن، كما هو الحال مع جميع الحوادث الأمنية، يجب أن يتم التخطيط والتدريب بشكل مسبق للرد على هجمات برامج الفدية.

إن الوقت المناسب لاتخاذ قرار بشأن كيفية الاستجابة لهجوم فيروس الفدية ليس أثناء حدوثه، لأن ضغط الموقف يمكن أن يؤثر على قرار حتى أروع قادة أمن المعلومات وأكثرهم حكمة. يجب على المؤسسات أن تخطط مسبقاً لمثل هذه الأزمات من خلال فهم قيمة أصول المعلومات المختلفة و قانونية قرار دفع الفدية و كذلك مقدار الفدية التي قد تكون المؤسسة على استعداد لدفعها في حالة وقوع هجوم . يجب أن يتضمن تخطيط الاستجابة للحوادث المتعلقة ببرامج الفدية أيضاً وجود خطة BCP/DR جيدة ومختبرة لمساعدة المؤسسة على استعادة البيانات المفقودة والتعافي من الهجوم.

الجذور الخفية / الروتكيت Rootkits 

روتكيت هي أدوات تمكن وتحافظ على وصول مميز إلى نظام التشغيل. تحتاج تلك الأدوات لطريقة يتم بها إيصالها إلى الهدف. ولذلك، يتم دمج برنامج rootkit مع نوع آخر من برامج الاستغلال من أجل تثبيت الـ rootkit. وبمجرد التثبيت، يمكن أن يخفي برنامج rootkit نفسه ليصعب عملية اكتشافه. قد يصبح من الصعب أو من المستحيل اكتشاف الروتكيت ، خاصة عندما تكون موجودة داخل النواة Kernel. في بعض الأحيان، لا يمكن إزالتها إلا عن طريق إعادة تثبيت نظام التشغيل أو حتى استبدال الأجهزة في الحالات التي يكون فيها برنامج rootkit قد تسبب في تلف الأجهزة الإلكترونية.

هناك العديد من أنواع الجذور الخفية rootkit ، ولكن معظمها يقع ضمن فئتين: وضع النواة kernel أو وضع المستخدم. تشير هذه الأوضاع إلى أوضاع (Mode) نظام التشغيل.

تعمل الجذور الخفية في وضع Kernel عن طريق إضافة تعليمات برمجية أو استبدال أجزاء من نظام التشغيل الأساسي. يتم تعديل ذلك النظام باستخدام ميزات نظام التشغيل المعدلة، مثل برامج تشغيل أجهزة Windows أو الـ (LKMs) لنظام التشغيل لينكس Linux. ونظراً لأن هذه الأنواع من برامج rootkit تعدل نظام التشغيل الأساسي، فإنها يمكن أن تلحق أضراراً جسيمة بتشغيل النظام. و لأن الروتكيت تعمل بمستوى أعلى مستوى أمن نظام التشغيل، فيمكنها تخريب عناصر التحكم الأمنية والاختباءدون اكتشافها.

أما مجموعات الجذور الخفية في وضع المستخدم User-mode rootkits فتعدل التطبيقات مثل مكتبات النظام أو تعمل على استبدالها وذلك بدلاً من تعديل النواة (Kernel ) . على سبيل المثال، قد يتلاعب هذا النوع من برنامج rootkit بمكتبة الارتباط الديناميكي (DLL) ليجبر التطبيق على استدعاء وظائف غير مصرح بها يرغب فيها المهاجم.

كلمة أخيرة

تأتي البرامج الضارة بأشكال وأحجام وأغراض عديدة تتراوح بين الفيروسات وبرامج التجسس والبوتات. ولا يمكن لمقال واحد أن يختزل تعقيدات و نشاطات هذه البرامج. ولكن يمكنكم البقاء على إطلاع عبر متابعة ما ينشر على روبودين لامتلاك المعرفة المطلوبة حول الحماية من البرامج الضارة وكذلك كل ما يتعلق بالأمن السيبراني.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أمن نقطة النهاية
عناصر أمن المعلومات-مثلث السرية والسلامة والتوافر
شهادة CISSP
شهادة CISSP – ماذا تعرف عنها؟ وهل تناسبك؟
الهاكر الأخلاقي المُعتَمد
الهاكر الأخلاقي المُعتَمد CEH – بطل من هذا الزمان “الرقمي”
الفريق الأزرق- فريق لكرة القدم
الفريق الأزرق – حماية الحصن من مجرمي الانترنت
اختبار اختراق الفريق الأحمر
اختبار اختراق الفريق الأحمر – هل أنت مستعد لهذه التجربة؟
هجمات الهندسة الاجتماعية-قناع وجه
هجمات الهندسة الاجتماعية – التلاعب بالبشر و استغلال المعلومات
مصطلحات الأمن السيبراني
مصطلحات الأمن السيبراني – الجزء الأول
إخفاء المعلومات
إخفاء المعلومات الحساسة – رحلة إلى عالم سري