ما هي البرامج الضارة الموقعة بالرمز وكيفية تجنبها؟

يعد توقيع التعليمات البرمجية طريقة لاستخدام التوقيع الرقمي القائم على الشهادة لأحد البرامج حتى يتمكن نظام التشغيل والمستخدمون من تحديد مدى سلامته. يمكن للبرنامج الصحيح فقط استخدام التوقيع الرقمي المقابل له.

يمكن للمستخدمين تنزيل البرامج وتثبيتها بأمان، كما يستطيع المطورون حماية سمعة منتجاتهم من خلال توقيع التعليمات البرمجية. ومع ذلك، يستخدم المتسللون وموزعو البرامج الضارة هذا النظام بالضبط للحصول على تعليمات برمجية ضارة من خلال مجموعات مكافحة الفيروسات وبرامج الأمان الأخرى . إذن ما هي البرامج الضارة الموقعة بالرمز وكيف تعمل؟

• قم بإزالة البرامج الضارة (البرامج الضارة) تمامًا على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 10
• أخطر 10 أنواع من البرامج الضارة للحسابات المصرفية
• تعرف على البرامج الضارة متعددة الأشكال ومتعددة الأشكال

ما هي البرامج الضارة الموقعة بالرمز؟

عندما يتم توقيع البرنامج رقميًا، فهذا يعني أنه يحتوي على توقيع رقمي رسمي. يصدر المرجع المصدق شهادة للبرنامج لتحديد ما إذا كان البرنامج قانونيًا وآمنًا للاستخدام.

لن يضطر المستخدمون إلى القلق لأن نظام التشغيل سيتحقق من الشهادة ويتحقق من التوقيع الرقمي. على سبيل المثال، يستخدم Windows سلسلة شهادات تحتوي على كافة الشهادات الضرورية للتأكد من شرعية البرنامج.

تحتوي سلسلة الشهادات على كافة الشهادات اللازمة لاعتماد الكيان المحدد بواسطة الشهادة النهائية. في الواقع، تتكون من شهادة طرفية، وشهادة CA متوسطة، وشهادة CA جذر موثوق بها من قبل جميع الأطراف في السلسلة. تحتوي كل شهادة CA متوسطة في السلسلة على شهادة صادرة عن CA بمستوى أعلى منها. يصدر المرجع المصدق الجذر شهادات لنفسه.

بمجرد تشغيل النظام، يمكنك الوثوق بالبرنامج ونظام توقيع التعليمات البرمجية وCA. البرامج الضارة هي برامج ضارة وغير موثوق بها ولا يمكنها الوصول إلى المرجع المصدق أو توقيع التعليمات البرمجية.

يقوم المتسللون بسرقة الشهادات من هيئة الشهادات

يعرف برنامج مكافحة الفيروسات أن البرامج الضارة ضارة لأنها تؤثر سلبًا على نظامك. فهو يطلق تحذيرات، ويبلغ المستخدمون عن مشكلات، ويمكن لبرنامج مكافحة الفيروسات إنشاء توقيعات برامج ضارة لحماية أجهزة الكمبيوتر الأخرى التي تستخدم نفس محرك مكافحة الفيروسات.

ومع ذلك، إذا تمكن منشئو البرامج الضارة من توقيع البرامج الضارة باستخدام التوقيعات الرقمية الرسمية، فلن تتم العملية المذكورة أعلاه. وبدلاً من ذلك، يمكن للبرامج الضارة التي تحتوي على أكواد برمجية أن تدخل النظام عبر المسار الرسمي لأن برنامج مكافحة الفيروسات ونظام التشغيل لديك لا يكتشفان أي شيء خطير.

وفقًا لأبحاث Trend Micro، يركز سوق البرامج الضارة بالكامل على دعم تطوير وتوزيع البرامج الضارة الموقعة بالرمز. يتمتع مشغلو البرامج الضارة بإمكانية الوصول إلى الشهادات الصالحة المستخدمة لتوقيع التعليمات البرمجية الضارة. يوضح الجدول أدناه مقدار البرامج الضارة التي تستخدم التوقيع الرمزي للتهرب من برامج مكافحة الفيروسات منذ أبريل 2018.

وتُظهر أبحاث Trend Micro أيضًا أن حوالي 66% من البرامج الضارة تحتوي على توقيعات رقمية. بالإضافة إلى ذلك، هناك بعض الأنواع المحددة من البرامج الضارة التي تحتوي على إصدارات متعددة من التوقيعات الرقمية مثل أحصنة طروادة وبرامج القطارات وبرامج الفدية .

من أين تأتي الشهادة الرقمية لتوقيع الرمز؟

لدى موزعي البرامج الضارة ومطوريها طريقتان لإنشاء برامج ضارة موقعة بالرمز. إنهم يسرقون الشهادات من المرجع المصدق عن طريق الاستحواذ أو انتحال شخصية منظمة شرعية بشكل مباشر وطلب شهادة من المرجع المصدق.

كما ترون، CA ليس المكان الوحيد الذي يستهدفه المتسللون. يمكن للموزعين الذين لديهم حق الوصول إلى الشهادات الشرعية بيع شهادات موثوقة وموقعة رقميًا لمطوري البرامج الضارة وموزعيها.

اكتشف فريق بحث أمني من جامعة ماساريك في جمهورية التشيك ومركز ماريلاند للأمن السيبراني أربع منظمات تبيع شهادات Microsoft Authenticode لمشترين مجهولين. بمجرد حصول مطور البرامج الضارة على شهادة Microsoft Authenticode، يمكنه التوقيع على أي برامج ضارة محتملة من خلال توقيع التعليمات البرمجية والحماية المستندة إلى الشهادة.

في بعض الحالات الأخرى، بدلاً من سرقة الشهادات، سيتسلل المتسللون إلى خادم إنشاء البرنامج. عندما يتم إصدار إصدار برنامج جديد، سيكون له شهادة شرعية، ويستفيد المتسللون من هذه العملية لإضافة تعليمات برمجية ضارة.

مثال على البرامج الضارة الموقعة بالرمز

إذًا، كيف تبدو البرامج الضارة الموقعة بالرمز؟ فيما يلي ثلاثة أمثلة لهذا النوع من البرامج الضارة.

• برنامج Stuxnet الخبيث : دمرت هذه البرمجيات الخبيثة البرنامج النووي الإيراني باستخدام شهادتين مسروقتين وأربع نقاط ضعف يوم الصفر. تمت سرقة هذه الشهادات من شركتين JMicron وRealtek. استخدم Stuxnet شهادات مسروقة لتجنب متطلبات التقديم الجديدة لنظام التشغيل Windows والتي تتطلب التحقق من كافة برامج التشغيل.
• اختراق خادم Asus: بين يونيو ونوفمبر 2018، اخترق المتسللون خادم Asus الذي تستخدمه الشركات لدفع تحديثات البرامج للمستخدمين. تظهر الأبحاث في Kaspersky Lab أن حوالي 500 ألف جهاز يعمل بنظام Windows قد تلقى هذا التحديث الضار قبل أن يتم اكتشافه. وبدون سرقة الشهادات، يقوم هؤلاء المتسللون بتوقيع شهادات Asus الرقمية الشرعية لبرامجهم الضارة قبل أن يقوم خادم البرنامج بتوزيع تحديثات النظام.
• برمجيات Flame الخبيثة: نسخة من البرامج الضارة لوحدة Flame تستهدف دول الشرق الأوسط، باستخدام شهادات موقعة بشكل احتيالي لتجنب اكتشافها. استخدم مطورو Flame خوارزمية تشفير ضعيفة لتزييف الشهادات الرقمية لتوقيع التعليمات البرمجية، مما يجعلها تبدو كما لو أن Microsoft قد وقعت عليها. على عكس Stuxnet، الذي كان من المفترض أن يكون مدمرًا، فإن Flame هو أداة تجسس، تبحث عن ملفات PDF وملفات AutoCAD والملفات النصية وأنواع أخرى من المستندات الصناعية المهمة.

كيف تتجنب البرامج الضارة الموقعة بالرمز؟

يستخدم هذا النوع من البرامج الضارة توقيع التعليمات البرمجية لتجنب اكتشافها بواسطة برامج وأنظمة مكافحة الفيروسات، لذا فإن الحماية من البرامج الضارة التي تحمل توقيع التعليمات البرمجية أمر صعب للغاية. يعد تحديث برامج وأنظمة مكافحة الفيروسات أمرًا ضروريًا دائمًا، وتجنب النقر على الروابط غير المعروفة وتحقق بعناية من مصدر الرابط قبل متابعته. راجع المقالة مخاطر البرامج الضارة وكيفية تجنبها .