البرامج الضارة المملة يتسلل بواسطة الحماية من الفيروسات

يُعد إجراء تحليل ديناميكي لبرامج غير معروفة في بيئة يتم التحكم فيها - أو "وضع الحماية" - أداة قوية يستخدمها محترفو الأمان في التخلص من البرامج الضارة. ومع ذلك ، فإن الأشرار هم من الحكمة في هذه التقنية وقد تم تقديم حيل جديدة للخروج من الصندوق الرمل وإلى نظامك.

وقال كريستوفر كروجيل ، المؤسس المشارك وكبير علماء شركة الأمن LastLine: "التحليل الديناميكي هو الطريق الصحيح ، والكثير من الناس يفعلون ذلك". "لكن في الحقيقة ، هذا مجرد خدش السطح." ركز النموذج القديم لحلول AV على قوائم البرامج الضارة المعروفة ، وحذر من أي شيء يطابق تلك القائمة. المشكلة هي أن هذه الطريقة لا يمكن أن تحمي من استغلال يوم الصفر أو الاختلافات التي لا حصر لها على البرامج الضارة الموجودة.

أدخل صندوق الحماية ، الذي ينفذ برنامجًا غير معروف في بيئة يتم التحكم فيها ، مثل الجهاز الظاهري ، ويشاهد لمعرفة ما إذا كان يتصرف مثل البرامج الضارة. من خلال أتمتة العملية ، تمكنت شركات AV من توفير حماية في الوقت الحقيقي ضد التهديدات التي لم يسبق لها مثيل من قبل.

كسر رمل

مما لا يثير الدهشة ، أن الأشرار قد أدخلوا أدوات جديدة لخداع صناديق الرمل لتجاهل البرامج الضارة وتركها. استشهد Kruegel بطريقتين بدأت بهما البرامج الضارة في القيام بذلك: الأولى هي استخدام المشغلات البيئية ، حيث يتحقق البرنامج الضار بمهارة لمعرفة ما إذا كان يعمل في بيئة رملية. تقوم البرامج الضارة في بعض الأحيان بالتحقق من اسم القرص الثابت أو اسم المستخدم أو تثبيت برامج معينة أو بعض المعايير الأخرى.

الطريقة الثانية والأكثر تطوراً التي وصفها كروغل هي البرمجيات الخبيثة التي تخمد صندوق الرمل بالفعل. في هذا السيناريو ، لا تحتاج البرامج الضارة إلى تشغيل أي اختبارات ، ولكن بدلاً من ذلك تقوم بإجراء حسابات غير مجدية حتى يتم إرضاء صندوق الحماية. بمجرد انتهاء صلاحية الصندوق الرمل ، يقوم بتمرير البرامج الضارة إلى الكمبيوتر الفعلي. وقال كروجيل: "يتم تنفيذ البرامج الضارة على المضيف الحقيقي ، وتقوم بحلتها ، ثم تقوم بأشياء سيئة". "إنه تهديد كبير لأي نظام يستخدم تحليلًا ديناميكيًا."

بالفعل في البرية

لقد وجدت المتغيرات في تقنيات كسر رمل الطرق بالفعل في الهجمات البارزة. وفقًا لـ Kruegel ، فإن الهجوم على أنظمة الكمبيوتر في كوريا الجنوبية الأسبوع الماضي كان لديه نظام بسيط للغاية لتجنب الاكتشاف. في هذه الحالة ، قال Kruegel أن البرامج الضارة لن تعمل إلا في تاريخ ووقت معين. "إذا حصل الصندوق الرمل في اليوم التالي ، أو في اليوم السابق ، فلن يفعل أي شيء" ، أوضح.

رأى Kruegel تقنية مشابهة في هجوم أرامكو ، حيث أسقطت البرمجيات الخبيثة آلاف محطات الكمبيوتر في شركة نفط شرق أوسطية. وقال كروغل: "لقد كانوا يقومون بالتحقق من أن عناوين IP كانت جزءًا من تلك المنطقة ، وإذا لم يكن صندوق الحماية الخاص بك موجودًا في هذه المنطقة ، فلن يتم تنفيذه".

من بين البرامج الضارة التي لاحظها LastLine ، أخبر كروغل SecurityWatch أنهم وجدوا أن خمسة بالمائة على الأقل يستخدمون بالفعل رمز المماطلة.

سباق الأسلحة AV

لقد كان الأمان الرقمي دائمًا يتعلق بالتصعيد من خلال اتخاذ تدابير مضادة لمواجهة الهجمات المضادة الجديدة صعودًا إلى الأبد. لا يختلف Evading sandboxes ، لأن شركة Kruegel LastLine قد سعت بالفعل إلى التحقيق في البرامج الضارة المحتملة بشكل أعمق باستخدام محاكي الشفرات وعدم السماح مطلقًا للبرامج الضارة المحتملة بتنفيذ نفسها مباشرة.

وقال كروغيل أنهم يحاولون أيضًا "دفع" البرامج الضارة المحتملة إلى سلوك سيئ ، وذلك بمحاولة كسر حلقات التوقف المحتملة.

لسوء الحظ ، فإن منتجي البرامج الضارة مبتكرين إلى ما لا نهاية ، وفي حين أن 5 في المائة فقط قد بدأوا العمل على التغلب على صناديق الحماية ، فمن المؤكد أن هناك آخرين لا نعرفهم. وقال كروجيل "عندما يأتي البائعون بحلول جديدة ، يتكيف المهاجمون ، ولا تختلف مشكلة صندوق الحماية".

والخبر السار هو أنه في حين أن الشد والجذب التكنولوجيين قد لا ينتهيان في أي وقت قريب ، فإن الآخرين يستهدفون الأساليب التي يستخدمها منتجو البرامج الضارة لكسب المال. ربما سيضرب هذا الأشرار حيث لا تستطيع حتى البرمجة الأكثر ذكاء حمايتهم: محافظهم.