أنواع التسلل من البرمجيات الخبيثة

بعض هجمات البرامج الضارة صارخة للغاية ولا يمكنك تفويتها حقيقة أنك تعرضت للضحية. تقوم برامج Ransomware بإغلاق كل الوصول إلى جهاز الكمبيوتر الخاص بك حتى تدفع مقابل إلغاء قفله. يقوم مختطفو الوسائط الاجتماعية بنشر تحديثات حالة غريبة على صفحات الوسائط الاجتماعية الخاصة بك ، مما يؤدي إلى إصابة أي شخص ينقر فوق روابطه المسمومة. تلحق برامج Adware سطح المكتب بإعلانات منبثقة حتى في حالة عدم وجود مستعرض مفتوح. نعم ، هذه كلها مزعجة للغاية ، ولكن بما أنك تعرف أن هناك مشكلة فيمكنك العمل على إيجاد حل مكافحة الفيروسات.

يمكن أن تكون الإصابة بالبرامج الضارة غير المرئية تمامًا أكثر خطورة. إذا كانت "مكافحة الفيروسات" لا "تراها" ولم تلاحظ أي سلوكيات غير مرغوب فيها ، فإن البرامج الضارة مجانية لتتبع أنشطتك المصرفية عبر الإنترنت أو استخدام قدرتك الحاسوبية للأغراض الشائنة. كيف تبقى غير مرئية؟ فيما يلي أربع طرق يمكن أن تخفيها البرامج الضارة عنك ، وتليها بعض الأفكار لرؤية ما لا يمكن رؤيته.

نظام التشغيل التخريب

نحن نعتبر أنه من المسلم به أنه يمكن لـ Windows Explorer سرد جميع الصور والمستندات والملفات الأخرى الخاصة بنا ، ولكن هناك الكثير وراء الكواليس لتحقيق ذلك. يتصل برنامج التشغيل بالقرص الصلب الفعلي للحصول على وحدات البايت والبايت ، ويقوم نظام الملفات بترجمة هذه البتات والبايت في ملفات ومجلدات لنظام التشغيل. عندما يحتاج البرنامج إلى الحصول على قائمة بالملفات أو المجلدات ، فإنه يستعلم نظام التشغيل. في الحقيقة ، سيكون أي برنامج مجانيًا للاستعلام عن نظام الملفات مباشرةً ، أو حتى التواصل مباشرة مع الجهاز ، ولكن من السهل جدًا الاتصال على نظام التشغيل.

تتيح تقنية Rootkit لأي برنامج ضار محو نفسه من العرض بفعالية عن طريق اعتراض تلك المكالمات إلى نظام التشغيل. عندما يسأل برنامج ما عن قائمة بالملفات في موقع معين ، يقوم برنامج rootkit بتمرير هذا الطلب إلى Windows ، ثم يحذف كل مرجع إلى ملفاته الخاصة قبل إرجاع القائمة. لن يتمكن برنامج مكافحة الفيروسات الذي يعتمد بشكل صارم على Windows للحصول على معلومات حول الملفات الموجودة ، من رؤية الجذور الخفية. تطبيق بعض الجذور الخفية خداع مماثلة لإخفاء إعدادات التسجيل الخاصة بهم.

لا ملف البرامج الضارة

يقوم برنامج مكافحة الفيروسات النموذجي بفحص جميع الملفات الموجودة على القرص ، والتحقق للتأكد من عدم وجود أي منها ضارًا ، وكذلك بفحص كل ملف قبل السماح بتنفيذه. ولكن ماذا لو لم يكن هناك ملف؟ منذ عشر سنوات ، ألحقت دودة الهلاك الخراب على الشبكات في جميع أنحاء العالم. تم نشره مباشرة في الذاكرة ، وذلك باستخدام هجوم تجاوز سعة المخزن المؤقت لتنفيذ تعليمات برمجية عشوائية ، ولم يكتب أي ملف على القرص.

في الآونة الأخيرة ، أبلغ باحثو كاسبرسكي عن إصابة في جافا بدون ملفات تهاجم زوار المواقع الإخبارية الروسية. نشر من خلال لافتة الإعلانات ، واستغلال رمز حقن مباشرة في عملية جافا الأساسية. إذا نجحت في إيقاف تشغيل "التحكم في حساب المستخدم" ، فسوف تتصل بخادم الأوامر والتحكم الخاص به للحصول على إرشادات حول ما يجب القيام به بعد ذلك. فكر في الأمر كزميل في سرقة بنك يزحف عبر قنوات التهوية ويوقف تشغيل نظام الأمان لبقية أفراد الطاقم. وفقًا لكاسبيرسكي ، أحد الإجراءات الشائعة في هذه المرحلة هو تثبيت Lurk Trojan.

البرامج الضارة الموجودة في الذاكرة يمكن تطهيرها ببساطة عن طريق إعادة تشغيل الكمبيوتر. هذا ، في جزء منه ، هو كيف تمكنوا من إسقاط Slammer مرة أخرى في اليوم. ولكن إذا كنت لا تعرف أن هناك مشكلة ، فلن تعلم أنك بحاجة إلى إعادة التشغيل.

العودة الموجه البرمجة

شارك جميع المتسابقين النهائيين الثلاثة في مسابقة أبحاث الأمان لجائزة BlueHat من Microsoft في التعامل مع Return Oriented Programming أو ROP. يعد الهجوم الذي يستخدم ROP أمرًا خبيثًا ، لأنه لا يقوم بتثبيت التعليمات البرمجية القابلة للتنفيذ ، وليس على هذا النحو. بدلاً من ذلك ، فإنه يجد التعليمات التي يريدها في البرامج الأخرى ، حتى أجزاء من نظام التشغيل.

على وجه التحديد ، يبحث هجوم ROP عن كتل التعليمات البرمجية (التي يطلق عليها الخبراء "الأدوات") والتي تؤدي بعض الوظائف المفيدة وتنتهي بتعليمات RET (إرجاع). عندما تضغط وحدة المعالجة المركزية على هذه التعليمات ، فإنها تعيد التحكم في عملية الاستدعاء ، وفي هذه الحالة ، البرمجيات الخبيثة ROP ، التي تطلق الكود التالي المُشفّر ، من برنامج آخر. هذه القائمة الكبيرة لعناوين الأدوات هي مجرد بيانات ، لذلك فإن اكتشاف البرامج الضارة التي تستند إلى ROP أمر صعب.

فرانكنشتاين الخبيثة

في مؤتمر Usenix WOOT (ورشة عمل حول التقنيات الهجومية) في العام الماضي ، قدم زوج من الباحثين من جامعة تكساس في دالاس فكرة شبيهة بالبرمجة الموجهة نحو العودة. في ورقة بعنوان "Frankenstein: Stitching Malware from Benign Binaries" ، وصفوا تقنية لإنشاء برامج ضارة يصعب اكتشافها من خلال تجميع أجزاء من التعليمات البرمجية من البرامج المعروفة والموثوقة.

"من خلال تكوين الثنائي الجديد بالكامل خارج تسلسلات البايت المشتركة بين الثنائيات المصنفة حميدة" ، تشرح الورقة ، "المسوخ الناتج أقل احتمالًا لمطابقة التوقيعات التي تتضمن كلاً من القائمة البيضاء والقائمة السوداء للميزات الثنائية." هذه التقنية أكثر مرونة من ROP ، لأنها يمكن أن تتضمن أي جزء من الكود ، وليس فقط قطعة تنتهي بتعليمات RET الأكثر أهمية.

كيف ترى الخفي

الشيء الجيد هو أنه يمكنك الحصول على مساعدة للكشف عن هذه البرامج الضارة الخبيثة. على سبيل المثال ، يمكن لبرامج مكافحة الفيروسات اكتشاف الجذور الخفية بعدة طرق. تتضمن إحدى الطرق البطيئة ولكن البسيطة إجراء تدقيق لجميع الملفات على القرص وفقًا لما أورده Windows ، وأخذ تدقيقًا آخر عن طريق الاستعلام عن نظام الملفات مباشرةً ، والبحث عن التناقضات. ونظرًا لأن برامج rootkits تقوم بتخريب Windows على وجه التحديد ، فلن يتم خداع برنامج مكافحة فيروسات يعمل في نظام التشغيل بخلاف نظام التشغيل Windows.

سوف يستسلم تهديد الذاكرة فقط بدون ملف لحماية مكافحة الفيروسات التي تتعقب العمليات النشطة أو تمنع ناقل الهجوم الخاص به. قد يحظر برنامج الأمان الخاص بك الوصول إلى موقع الويب المصاب الذي يخدم هذا التهديد ، أو يمنع تقنية الحقن الخاصة به.

قد يخدع أسلوب فرانكشتاين مكافحة فيروسات قائمة على التوقيع بدقة ، ولكن أدوات الأمان الحديثة تتجاوز التوقيعات. إذا كانت البرامج الضارة المرقعة تؤدي شيئًا ضارًا ، فمن المحتمل أن يجدها ماسح ضوئي قائم على السلوك. ولأنه لم يسبق له مثيل في أي مكان من قبل ، فإن نظامًا مثل Norton File Insight من Symantec يأخذ في الاعتبار انتشاره ، سيشير إليه على أنه حالة شاذة خطيرة.

أما بالنسبة للتخفيف من هجمات البرمجة الموجهة نحو العودة ، فهذا أمر صعب ، ولكن تم تخصيص الكثير من القدرة العقلية لحلها. القوة الاقتصادية أيضًا - منحت Microsoft ربع مليون دولار لكبار الباحثين الذين يعملون على هذه المشكلة. أيضًا ، نظرًا لأنهم يعتمدون بشدة على وجود برامج صالحة معينة ، فمن المرجح أن تستخدم هجمات ROP ضد أهداف محددة ، وليس في حملة برمجيات خبيثة واسعة النطاق. ربما يكون الكمبيوتر المنزلي الخاص بك آمنًا ؛ الكمبيوتر المكتبي الخاص بك ، وليس ذلك بكثير.