جميع البرامج الضارة ضارة ، ولكن في حين يسهل اكتشاف بعض البرامج الشائنة ، يمكن للبعض الآخر تجنب حتى أشكال الحماية المتقدمة.
في عالمنا شديد الاتصال ، غالبًا ما تكون البرامج الضارة هي السلاح المفضل لمجرمي الإنترنت.
تتخذ هذه البرامج الضارة أشكالًا متعددة ، كل منها يحمل مستوى التهديد الأمني الخاص به. يستخدم المتسللون هذه الأدوات المدمرة لاعتراض الأجهزة ، وخرق البيانات ، وإلحاق الفوضى المالية ، وحتى الشركات بأكملها.
البرامج الضارة هي برامج سيئة تحتاج إلى التخلص منها في أسرع وقت ممكن ، لكن بعض البرامج الضارة تختبئ بشكل أفضل من غيرها. سبب هذا الأمر له علاقة كبيرة بنوع البرنامج الذي تحاول العثور عليه.
1. الجذور الخفية
الجذور الخفية هي برامج خبيثة تم إنشاؤها للتسلل إلى نظام مستهدف والاستيلاء سرًا على التحكم غير المصرح به ، كل ذلك أثناء التهرب من الاكتشاف.
إنهم يزحفون خلسة إلى الطبقات الداخلية لنظام التشغيل ، مثل النواة أو قطاع التمهيد. يمكنهم تعديل أو اعتراض مكالمات النظام والملفات والعمليات وبرامج التشغيل والمكونات الأخرى لتجنب الكشف والإزالة بواسطة برامج مكافحة الفيروسات. يمكنهم أيضًا التسلل عبر الأبواب المخفية أو سرقة بياناتك أو وضع المزيد من أنفسهم على جهاز الكمبيوتر الخاص بك.
دودة Stuxnet سيئة السمعة ، واحدة من أكثر هجمات البرمجيات الخبيثة شهرة في كل العصور، هو مثال صارخ على قدرات التخفي للجذور الخفية. واجه برنامج إيران النووي اضطرابًا شديدًا في أواخر العقد الأول من القرن الحادي والعشرين بسبب هذه البرمجيات الخبيثة المعقدة التي هاجمت على وجه التحديد منشآت تخصيب اليورانيوم. كان مكون الجذور الخفية في Stuxnet مفيدًا في عملياته السرية ، مما سمح للدودة باختراق أنظمة التحكم الصناعية دون إطلاق أي إنذارات.
يطرح اكتشاف الجذور الخفية تحديات فريدة بسبب طبيعتها المراوغة. كما ذكرنا سابقًا ، يمكن لبعض برامج الجذور الخفية تعطيل برنامج مكافحة الفيروسات أو العبث به ، مما يجعله غير فعال أو حتى يجعله ضدك. يمكن لبعض الجذور الخفية أن تنجو من إعادة تشغيل النظام أو تنسيق محرك الأقراص الثابتة عن طريق إصابة قطاع التمهيد أو BIOS.
قم دائمًا بتثبيت أحدث تحديثات الأمان لنظامك وبرامجك للحفاظ على نظامك في مأمن من الجذور الخفية التي تستغل نقاط الضعف المعروفة. علاوة على ذلك ، تجنب فتح المرفقات أو الروابط المشبوهة من مصادر غير معروفة واستخدم جدار حماية وشبكة VPN لتأمين اتصال الشبكة.
2. تعدد الأشكال
تعد البرامج الضارة متعددة الأشكال نوعًا من البرامج الضارة يمكن أن يغير هيكل الكود الخاص به ليبدو مختلفًا مع كل إصدار ، مع الحفاظ على الغرض الضار منه.
من خلال تعديل التعليمات البرمجية أو استخدام التشفير ، تحاول البرامج الضارة متعددة الأشكال التهرب من الإجراءات الأمنية والبقاء مخفية لأطول فترة ممكنة.
يعد التعامل مع البرامج الضارة متعددة الأشكال أمرًا صعبًا على المتخصصين في مجال الأمن لأنه يغير رمزه باستمرار ، مما يؤدي إلى إنشاء إصدارات فريدة لا تعد ولا تحصى. كل إصدار له هيكل مختلف ، مما يجعل من الصعب على طرق الكشف التقليدية مواكبة ذلك. يؤدي هذا إلى إرباك برنامج مكافحة الفيروسات ، الذي يحتاج إلى تحديثات منتظمة لتحديد الأشكال الجديدة من البرامج الضارة بدقة.
يتم أيضًا إنشاء البرامج الضارة متعددة الأشكال باستخدام خوارزميات معقدة تولد اختلافات جديدة في التعليمات البرمجية. تتطلب هذه الخوارزميات موارد حاسوبية كبيرة وقدرة معالجة لتحليل واكتشاف الأنماط. يضيف هذا التعقيد طبقة أخرى من الصعوبة في تحديد البرامج الضارة متعددة الأشكال بشكل فعال.
كما هو الحال مع الأنواع الأخرى من البرامج الضارة ، تتضمن بعض الخطوات الأساسية لمنع الإصابة استخدام برامج مكافحة الفيروسات ذات السمعة الطيبة والحفاظ على تحديثه ، وتجنب فتح المرفقات أو الروابط المشبوهة من مصادر غير معروفة ، وعمل نسخ احتياطية من ملفاتك بانتظام للمساعدة في استعادة نظامك واستعادة بياناتك في حالة الإصابة.
3. البرمجيات الخبيثة بدون ملفات
تعمل البرامج الضارة التي لا تحتوي على ملفات دون ترك الملفات التقليدية أو الملفات التنفيذية ، مما يجعل الاكتشاف القائم على التوقيع أقل فعالية. بدون أنماط أو توقيعات يمكن تحديدها ، تكافح حلول مكافحة الفيروسات التقليدية للكشف عن هذا النوع من البرامج الضارة.
تستفيد البرامج الضارة الخالية من الملفات من أدوات وعمليات النظام الحالية لتنفيذ أنشطتها. إنها تستفيد من المكونات المشروعة مثل PowerShell أو WMI (Windows Management Instrumentation) لإطلاق حمولتها وتجنب الشك لأنها تعمل ضمن حدود العمليات المصرح بها.
ونظرًا لأنه يتواجد ولا يترك أي أثر في ذاكرة النظام وعلى القرص ، فإن تحديد وجود برامج ضارة لا تحتوي على ملفات وتحليلها يعد أمرًا صعبًا بعد إعادة تشغيل النظام أو إيقاف تشغيله.
بعض الأمثلة على هجمات البرمجيات الخبيثة بدون ملفات هي Code Red Worm ، التي استغلت ثغرة أمنية في IIS الخاص بـ Microsoft عام 2001 ، و USB Thief ، الموجود على أجهزة USB المصابة ويجمع معلومات عن المستهدفين نظام.
لحماية نفسك من البرامج الضارة التي لا تحتوي على ملفات ، يجب أن تكون حذرًا عند استخدام برامج محمولة أو أجهزة USB من مصادر غير معروفة والالتزام بنصائح الأمان الأخرى التي أشرنا إليها سابقًا.
4. التشفير
تتمثل إحدى طرق تأمين البيانات من التعرض غير المرغوب فيه أو التداخل في استخدام التشفير. ومع ذلك ، يمكن للجهات الخبيثة أيضًا استخدام التشفير لتجنب الاكتشاف والتحليل.
يمكن أن تتجنب البرامج الضارة الكشف عن طريق استخدام التشفير بطريقتين: تشفير حمولة البرامج الضارة وحركة مرور البرامج الضارة.
يعني تشفير حمولة البرامج الضارة أن شفرة البرامج الضارة مشفرة قبل تسليمها إلى النظام الهدف. يمكن أن يمنع هذا برنامج مكافحة الفيروسات من فحص الملف وتحديد أنه ضار.
من ناحية أخرى ، يعني تشفير حركة مرور البرامج الضارة أن البرامج الضارة تستخدم التشفير للتواصل مع خادم القيادة والتحكم (C&C) أو الأجهزة المصابة الأخرى. يمكن أن يمنع هذا أدوات أمان الشبكة من مراقبة وحظر حركة المرور وتحديد مصدرها ووجهتها.
لحسن الحظ ، لا يزال بإمكان أدوات الأمان استخدام طرق مختلفة للعثور على البرامج الضارة المشفرة وإيقافها ، مثل التحليل السلوكي ، التحليل الإرشادي ، تحليل التوقيع ، وضع الحماية ، كشف الشذوذ في الشبكة ، أدوات فك التشفير ، أو العكس هندسة.
5. التهديدات المستمرة المتقدمة
هجمات التهديد المستمر المتقدمة غالبًا ما تستخدم مزيجًا من الهندسة الاجتماعية ، والتطفل على الشبكة ، واستغلال يوم الصفر ، والبرامج الضارة المصممة خصيصًا للتسلل والعمل باستمرار داخل بيئة مستهدفة.
بينما يمكن أن تكون البرامج الضارة أحد مكونات هجوم APT ، إلا أنها ليست الخاصية المحددة الوحيدة. APTs هي حملات شاملة تتضمن نواقل هجوم متعددة وقد تتضمن أنواعًا مختلفة من البرامج الضارة والتكتيكات والتقنيات الأخرى.
مهاجمو APT لديهم دوافع عالية ومصممون على الحفاظ على وجود طويل الأمد داخل شبكة أو نظام مستهدف. ينشرون آليات ثبات متطورة ، مثل الأبواب الخلفية ، والجذور الخفية ، والبنية التحتية المخفية للقيادة والتحكم ، لضمان الوصول المستمر وتجنب الكشف.
كما يتحلى هؤلاء المهاجمون بالصبر والحذر ويخططون لعملياتهم وينفذونها بعناية على مدى فترة طويلة. يؤدون الإجراءات ببطء وبشكل خفي ، مما يقلل من التأثير على النظام المستهدف ويقلل من فرص اكتشافه.
قد تتضمن هجمات APT تهديدات داخلية ، حيث يستغل المهاجمون امتيازات الوصول المشروعة أو يضرون المطلعين للحصول على وصول غير مصرح به. وهذا يجعل التمييز بين نشاط المستخدم العادي والإجراءات الضارة أمرًا صعبًا.
ابق محميًا واستخدم برامج مكافحة البرامج الضارة
حافظ على سرية تلك الأسرار. ابق متقدمًا على مجرمي الإنترنت وامنع البرامج الضارة قبل أن تصبح مشكلة يجب عليك البحث عنها والتخلص منها.
وتذكر هذه القاعدة الذهبية: عندما يبدو شيء رائعًا ، فمن المحتمل أن يكون عملية احتيال! إنه مجرد طعم يستدرجك إلى المتاعب.
