البرمجيات الخبيثة - البرمجيات الخبيثة - الهجمات بأشكال وأحجام مختلفة. بالإضافة إلى ذلك، تطور تطور البرامج الضارة بشكل ملحوظ على مر السنين. يدرك المهاجمون أن محاولة حقن حزمة البرامج الضارة بأكملها في النظام مرة واحدة ليست دائمًا الطريقة الأكثر فعالية.
بمرور الوقت، أصبحت البرامج الضارة معيارية. قد تستخدم بعض متغيرات البرامج الضارة وحدات مختلفة لتغيير كيفية تأثيرها على النظام المستهدف. إذن ما هي البرامج الضارة المعيارية وكيف تعمل؟ دعنا نتعرف على ذلك من خلال المقال التالي!
البرامج الضارة المعيارية - طريقة هجوم خفي جديدة لسرقة البيانات
تمثل البرامج الضارة المعيارية تهديدًا خطيرًا يهاجم النظام في مراحل مختلفة. وبدلاً من الهجوم المباشر، تتخذ وحدة البرامج الضارة نهجًا ثانويًا.
يقوم بذلك عن طريق تثبيت المكونات الأساسية فقط أولاً. وبعد ذلك، بدلاً من إثارة الضجة وتنبيه المستخدمين بوجودها، تستهدف الوحدة الأولى النظام والأمن السيبراني؛ ما هي الأجزاء المسؤولة في المقام الأول، وما نوع طريقة الحماية التي يتم تطبيقها، وأين يمكن للبرامج الضارة العثور على نقاط الضعف، وما هي عمليات الاستغلال التي تتمتع بأعلى فرصة للنجاح، وما إلى ذلك.
بعد اكتشاف البيئة المحلية بنجاح، يمكن لوحدة البرمجيات الخبيثة في المرحلة الأولى التواصل مع خادم القيادة والتحكم (C2) الخاص بها. يمكن لـ C2 بعد ذلك الاستجابة عن طريق إرسال المزيد من التعليمات إلى جانب وحدات البرامج الضارة الإضافية للاستفادة من البيئة المحددة التي تعمل فيها البرامج الضارة.
تعد البرامج الضارة المعيارية أكثر فائدة من البرامج الضارة التي تجمع جميع الوظائف في حمولة واحدة، على وجه التحديد:
البرمجيات الخبيثة المعيارية ليست تهديدًا جديدًا. يستخدم مطورو البرامج الضارة بشكل فعال برامج البرامج الضارة المعيارية لفترة طويلة. الفرق هو أن الباحثين الأمنيين يواجهون المزيد من وحدات البرامج الضارة في مجموعة متنوعة من المواقف. اكتشف الباحثون أيضًا شبكة الروبوتات Necurs الضخمة (المعروفة بتوزيع متغيرات Dridex وLocky Ransomware ) التي تنشر وحدات البرامج الضارة.
هناك بعض الأمثلة المثيرة للاهتمام لوحدات البرامج الضارة. وهنا عدد قليل منهم.
VPNFilter هو إصدار حديث من البرامج الضارة التي تهاجم أجهزة التوجيه وأجهزة إنترنت الأشياء (IoT) . تعمل هذه البرامج الضارة على ثلاث مراحل.
تتصل البرامج الضارة في المرحلة الأولى بخادم الأوامر والتحكم لتنزيل وحدة المرحلة الثانية. تقوم وحدة المرحلة الثانية بجمع البيانات وتنفيذ الأوامر ويمكنها التدخل في إدارة الجهاز (بما في ذلك القدرة على "تجميد" جهاز التوجيه أو جهاز إنترنت الأشياء أو NAS). يمكن للمرحلة الثانية أيضًا تنزيل وحدات المرحلة الثالثة، والتي تعمل كمكونات إضافية للمرحلة الثانية. تشتمل الوحدة المكونة من ثلاث مراحل على حزمة الكشف عن حركة مرور SCADA، ووحدة العدوى، ووحدة تسمح للبرامج الضارة من المرحلة الثانية بالاتصال باستخدام شبكة Tor .
يمكنك التعرف على المزيد حول VPNFilter من خلال المقال التالي: كيفية اكتشاف البرامج الضارة VPNFilter قبل أن تدمر جهاز التوجيه.
اكتشف باحثو الأمن في Palo Alto Networks برنامج T9000 الضار (غير المرتبط بـ Terminator أو Skynet).
T9000 هي أداة لجمع المعلومات والبيانات. وبمجرد تثبيته، يتيح T9000 للمهاجمين "التقاط البيانات المشفرة، والتقاط لقطات شاشة لتطبيقات معينة، واستهداف مستخدمي Skype على وجه التحديد "، بالإضافة إلى ملفات منتجات Microsoft Office. يأتي جهاز T9000 مزودًا بوحدات مختلفة مصممة لتفادي 24 منتجًا أمنيًا مختلفًا، وتغيير عملية التثبيت الخاصة به حتى تظل غير مكتشفة.
DanaBot عبارة عن حصان طروادة مصرفي متعدد المراحل يحتوي على مكونات إضافية مختلفة يستخدمها المهاجمون لتوسيع وظائفه. على سبيل المثال، في مايو 2018، تم اكتشاف DanaBot في سلسلة من الهجمات على البنوك الأسترالية. في ذلك الوقت، اكتشف الباحثون مجموعة من المكونات الإضافية للكشف عن العدوى، ومكون إضافي للعرض عن بعد لـ VNC، ومكوّن إضافي لجمع البيانات، ومكوّن إضافي لـ Tor يسمح بالاتصال الآمن.
"DanaBot عبارة عن حصان طروادة مصرفي، مما يعني أنه بالضرورة مستهدف جغرافيًا إلى حد ما،" وفقًا لمدونة Proofpoint DanaBot. "على الرغم من الاحتياطات العديدة المطبقة كما رأينا في الحملة الأمريكية، لا يزال من السهل رؤية النمو النشط والتوسع الجغرافي وتطور البرمجيات الخبيثة. والضرر آخذ في التزايد. تحتوي البرمجيات الخبيثة نفسها على العديد من ميزات مكافحة التحليل، بالإضافة إلى وحدات سرقة المعلومات والتحكم عن بعد التي يتم تحديثها بانتظام، مما يزيد من تهديدها للأهداف.
تجمع المقالة بين ثلاثة أنواع مختلفة من وحدات البرامج الضارة في قسم واحد لأن الباحثين الأمنيين المذهلين في Proofpoint اكتشفوا الثلاثة جميعًا في نفس الوقت. تتشابه متغيرات وحدة البرامج الضارة هذه ولكن لها استخدامات مختلفة. علاوة على ذلك، تعد CobInt جزءًا من حملة Cobalt Group، وهي منظمة إجرامية لها علاقات بقائمة طويلة من مجرمي الإنترنت في القطاع المصرفي والمالي.
تم إنشاء Marap وAdvisorsBot لاستهداف النظام المستهدف بأكمله للدفاع ورسم خريطة للشبكة، ثم تحديد ما إذا كان يجب على البرامج الضارة تنزيل الحمولة بالكامل. إذا كان النظام المستهدف يلبي الحاجة (على سبيل المثال، لديه قيمة)، فإن البرامج الضارة تستمر في المرحلة الثانية من الهجوم.
مثل إصدارات البرامج الضارة الأخرى، تتبع Marap وAdvisorsBot وCobInt عملية من ثلاث خطوات. عادةً ما تكون المرحلة الأولى عبارة عن بريد إلكتروني يحتوي على مرفق مصاب ببرامج ضارة لغرض الاستغلال الأولي. إذا تم الاستغلال، تطلب البرامج الضارة على الفور المرحلة الثانية. تتضمن المرحلة الثانية وحدة استطلاع لتقييم الإجراءات الأمنية ومشهد الشبكة للنظام المستهدف. إذا قالت البرامج الضارة أن كل شيء على ما يرام، فستقوم المرحلة النهائية بتنزيل الوحدة الثالثة، بما في ذلك الحمولة الرئيسية.
Mayhem هو إصدار أقدم قليلاً من وحدة البرامج الضارة. ظهر لأول مرة في عام 2014. ومع ذلك، لا يزال Mayhem مثالاً على البرامج الضارة المعيارية الرائعة. تستهدف البرامج الضارة، التي اكتشفها باحثون أمنيون في Yandex، خوادم الويب Linux وUnix. يتم تثبيته من خلال برنامج نصي PHP ضار.
بمجرد التثبيت، يمكن للبرنامج النصي استدعاء العديد من المكونات الإضافية التي تحدد الاستخدام الأمثل للبرامج الضارة.
تشتمل المكونات الإضافية على أداة اختراق كلمات المرور القوية التي تستهدف حسابات FTP و WordPress وJoomla ، وزاحف الويب للبحث عن الخوادم الضعيفة الأخرى، واستغلال Heartbleed OpenSLL.
يعد الإصدار الأخير من وحدة البرامج الضارة في مقالة اليوم أحد أكثر الإصدارات اكتمالاً. وهذا أيضًا أحد أكثر الأمور إثارة للقلق، وذلك لعدة أسباب.
أولاً، DiamondFox عبارة عن شبكة روبوتات معيارية يتم بيعها في العديد من المنتديات السرية. يمكن لمجرمي الإنترنت المحتملين شراء حزمة شبكة الروبوتات المعيارية DiamondFox للوصول إلى مجموعة من إمكانيات الهجوم المتقدمة. يتم تحديث هذه الأداة بانتظام، وكما هو الحال مع جميع الخدمات الأخرى عبر الإنترنت، فهي تتمتع بدعم مخصص للعملاء. (حتى أنه يحتوي على سجل تغيير!)
السبب الثاني، أن شبكة الروبوتات المعيارية DiamondFox تأتي مع مجموعة من المكونات الإضافية. يتم تشغيل وإيقاف هذه الميزات عبر لوحة التحكم، كما يليق بتطبيق المنزل الذكي. تتضمن المكونات الإضافية أدوات تجسس مناسبة، وأدوات سرقة بيانات الاعتماد، وأدوات DDoS، وبرامج تسجيل المفاتيح ، والبريد العشوائي، وحتى ماسح ذاكرة الوصول العشوائي.
كيفية منع هجوم البرامج الضارة المعيارية؟
في الوقت الحالي، لا توجد أداة محددة يمكنها حماية المستخدمين من متغير وحدة البرامج الضارة. بالإضافة إلى ذلك، فإن بعض متغيرات وحدات البرامج الضارة لها نطاق جغرافي محدود. على سبيل المثال، توجد Marap وAdvisorsBot وCobInt بشكل أساسي في روسيا وبلدان رابطة الدول المستقلة.
وقد أظهر باحثو Proofpoint أنه على الرغم من القيود الجغرافية الحالية، إذا رأى مجرمون آخرون منظمة إجرامية راسخة تستخدم برامج ضارة معيارية، فمن المؤكد أنهم سوف يحذون حذوهم. .
يعد الوعي بكيفية وصول وحدات البرامج الضارة إلى نظامك أمرًا مهمًا. استخدمت غالبية الحالات المسجلة مرفقات بريد إلكتروني مصابة ببرامج ضارة ، وغالبًا ما تحتوي على مستندات Microsoft Office تحتوي على نصوص VBA ضارة. يستخدم المهاجمون هذه الطريقة لأنه من السهل إرسال رسائل بريد إلكتروني مصابة بالبرامج الضارة إلى ملايين الأهداف المحتملة. علاوة على ذلك، فإن الاستغلال الأولي صغير جدًا ويمكن إخفاءه بسهولة كملف Office عادي.
كما هو الحال دائمًا، تأكد من تحديث نظامك باستمرار وفكر في الاستثمار في برامج مكافحة الفيروسات عالية الجودة. انه يستحق ذلك!
شاهد المزيد:
هل ترى إشعار تفعيل Windows 10 في الزاوية اليمنى من الشاشة؟ سترشدك هذه المقالة إلى كيفية حذف إشعار طلب حقوق الطبع والنشر على نظام التشغيل Windows 10.
أصدرت Microsoft مؤخرًا آخر تحديث تراكمي لمستخدمي أجهزة الكمبيوتر التي تعمل بنظام Windows 10 والذي يسمى Build 14393.222. يعمل هذا التحديث الذي تم إصداره لنظام التشغيل Windows 10 بشكل أساسي على إصلاح الأخطاء بناءً على تعليقات المستخدمين وتحسين تجربة أداء نظام التشغيل.
هل لديك أجهزة كمبيوتر على شبكتك المحلية تحتاج إلى وصول خارجي؟ يمكن أن يكون استخدام مضيف أساسي كحارس بوابة لشبكتك حلاً جيدًا.
في بعض الأحيان قد تحتاج إلى حذف سجلات الأحداث القديمة مرة واحدة. في هذا الدليل، سيعرض لك موقع Quantrimang.com 3 طرق لحذف كافة سجلات الأحداث بسرعة في Windows 10 Event Viewer.
إذا كنت تفضل استخدام لوحة مفاتيح كلاسيكية قديمة، مثل IBM Model M، والتي لا تتضمن مفتاح Windows فعليًا، فهناك طريقة سهلة لإضافة المزيد، عن طريق استعارة مفتاح لا تستخدمه كثيرًا.
WindowTop هي أداة لديها القدرة على تعتيم جميع نوافذ التطبيقات والبرامج التي تعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows 10. أو يمكنك استخدام واجهة ذات خلفية داكنة على النوافذ.
لقد ذكرنا في العديد من المقالات السابقة أن البقاء مجهول الهوية عبر الإنترنت أمر في غاية الأهمية. يتم تسريب المعلومات الخاصة كل عام، مما يجعل الأمان عبر الإنترنت ضروريًا بشكل متزايد. وهذا أيضًا هو السبب وراء ضرورة استخدام عناوين IP الافتراضية. فيما يلي، سنتعرف على طرق إنشاء عناوين IP وهمية!
شريط اللغة في نظام التشغيل Windows 8 عبارة عن شريط أدوات لغة مصغر مصمم للعرض تلقائيًا على شاشة سطح المكتب. ومع ذلك، يرغب العديد من الأشخاص في إخفاء شريط اللغة هذا على شريط المهام.
يعد تعظيم سرعة الإنترنت أمرًا ضروريًا لتحسين اتصال الشبكة لديك. يمكنك الحصول على تجربة ترفيه وعمل مثالية باستخدام أجهزة الكمبيوتر وأجهزة التلفزيون المجهزة للإنترنت ووحدات التحكم في الألعاب وما إلى ذلك.
يعد الاتصال اللاسلكي أمرًا ضروريًا اليوم، ولهذا السبب، يعد الأمان اللاسلكي ضروريًا لضمان السلامة في شبكتك الداخلية.
