مضاد فيروسات Schrödinger: هل الحماية ميتة أم حية؟

كيف تُعطل أداة البحث Defendnot برنامج Microsoft Defender عن طريق تسجيل برنامج مكافحة فيروسات مزيف، ولماذا لا ينبغي عليك دائمًا الوثوق بما يقوله نظام التشغيل الخاص بك.

تتبع العديد من الشركات اليوم سياسة إحضار الأجهزة الشخصية (BYOD)، التي تسمح للموظفين باستخدام أجهزتهم الخاصة لأغراض العمل. وتنتشر هذه الممارسة بشكل خاص في المؤسسات التي تتبنى العمل عن بعد. وتجلب سياسة إحضار الأجهزة الشخصية (BYOD) العديد من المزايا الواضحة، تطبيقها يتسبب في مخاطر جديدة للشركات فيما يتعلق بالأمن الإلكتروني.

لحماية الأنظمة من التهديدات، تتطلب أقسام أمان المعلومات في الغالب تثبيت برنامج أمان على جميع الأجهزة المستخدمة لأغراض العمل. وفي الوقت نفسه، قد يرى بعض الموظفين – خاصة الفنيين المهرة – برامج مكافحة الفيروسات كعائق أكثر من كونها أدوات مساعدة.

ليس هذا هو الموقف الأكثر منطقية بالتأكيد، لكن إقناعهم بغير ذلك قد يكون صعبًا. وتكمن المشكلة الرئيسية في أن الموظفين الذين يعتقدون أنهم يعرفون أفضل قد يجدون طريقة لخداع النظام. واليوم، سنحقق في إحدى هذه الطرق: أداة بحث جديدة تُعرف باسم Defendnot، والتي تُعطل Microsoft Defender على أجهزة Windows عن طريق تسجيل برنامج مكافحة فيروسات مزيف.

كيف مهدات no-defender المجال لتعطيل برنامج Microsoft Defender عبر برامج مكافحة الفيروسات الوهمية

لفهم كيفية تعطيل Defendnot لبرنامج Microsoft Defender، نحتاج إلى إعادة عقارب الساعة إلى الوراء لمدة عام. بالعودة إلى ذلك الوقت، قام باحث يحمل الاسم المستعار es3n1n على منصة X بإنشاء ونشر الإصدار الأول من الأداة على GitHub. وكانت الأداة، التي أطلق عليها اسم no-defender، مكلفة بتعطيل برنامج مكافحة الفيروسات المدمج Windows Defender.

لإنجاز هذه المهمة، استغل es3n1n نقطة ضعف في واجهة برمجة تطبيقات Windows Security Center (WSC). ومن خلالها يخبر برنامج مكافحة الفيروسات النظام بأنه مثبت وجاهز لبدء حماية الجهاز في الوقت الحقيقي. وعند تلقي هذه الرسالة، يُعطل نظام Windows تلقائيًا برنامج Microsoft Defender لتجنب التعارضات بين حلول الأمان المختلفة التي تعمل جميعها على الجهاز نفسه.

باستخدام رمز حل أمان موجود، ابتكر الباحث برنامج مكافحة فيروسات مزيفًا خاصًا به تم تسجيله في النظام واجتاز جميع فحوصات Windows. وبمجرد تعطيل Microsoft Defender، تم ترك الجهاز بدون حماية – لأن أداة no-defender لم تقدم أي حماية خاصة بها.

سرعان ما اجتذب مشروع no-defender متابعة على GitHub، حيث نال أكثر من ألفي نجمة. ومع ذلك، قدمت شركة تطوير برامج مكافحة الفيروسات التي أُعيد استخدام تعليماتها البرمجية شكوى لانتهاك قانون الألفية للملكية الرقمية (DMCA). لذلك تم إجبار es3n1n على إزالة التعليمات البرمجية للمشروع من GitHub، ولم يتبق سوى صفحة وصف.

كيف تفوقت أداة Defendnot على no-defender

لكن القصة لا تنتهي عند هذا الحد. بعد مرور عام تقريبًا، دفع المبرمج النيوزيلندي MrBruh المستخدم es3n1n إلى تطوير إصدار من أداة no-defender لا تعتمد على تعليمات برمجية خاصة بجهة خارجية. وبدافع التحدي وقلة النوم، كتب es3n1n أداة جديدة في أربعة أيام فقط، والتي أُطلق عليها اسم Defendnot.

في صميم Defendnot، كانت هناك مكتبة ربط ديناميكي (DLL) وهمية تتظاهر بأنها برنامج مكافحة فيروسات شرعي. ولتجاوز جميع فحوصات واجهة برمجة تطبيقات WSC – بما في ذلك “Protected Process Light (PPL)”، والتوقيعات الرقمية، وآليات أخرى – تحقن أداة Defendnot مكتبة DLL الخاصة بها في Taskmgr.exe، وهو برنامج موثوق به وتم توقيعه من Microsoft أصلاً. وبعد ذلك، تسجل الأداة برنامج مكافحة الفيروسات المزيف، مما يؤدي إلى مطالبة Microsoft Defender بإيقاف تشغيله على الفور وترك الجهاز بدون حماية نشطة.

علاوة على ذلك، تسمح أداة Defendnot للمستخدم بتعيين أي اسم لبرنامج “مكافحة الفيروسات”. وعلى غرار سابقه، حقق هذا المشروع نجاحًا كبيرًا على GitHub، حيث حصل على 2100 نجمة وقت كتابة هذا التقرير ولتثبيت Defendnot، يجب أن يمتلك المستخدم حقوق المسؤول (التي يمتلكها الموظفون على الأرجح على أجهزتهم الشخصية).

كيفية حماية البنية التحتية للشركة من سوء استخدام أجهزة الموظفين الشخصية

يُصنف كل من Defendnot وno-defender كمشروعين بحثيين، وقد أظهرت كلتا الأداتين كيف يمكن التلاعب بآليات النظام الموثوقة لتعطيل وظائف الحماية. الاستنتاج واضح: لا يمكنك دائمًا الوثوق بما يقوله نظام Windows.

لذلك، حتى لا تعرض البنية التحتية الرقمية لشركتك للخطر، نوصي بتعزيز سياسة إحضار الأجهزة الشخصية عن طريق عدد من تدابير الأمان الإضافية:

  • حيثما أمكن، اجعل إلزامياً على مالكي أجهزة سياسة “إحضار الأجهزة الشخصية” تثبيت حماية موثوقة خاصة بالشركة يديرها فريق أمان المعلومات في الشركة.
  • إذا لم يكن ذلك ممكنًا، فلا تعتبر أجهزة سياسة “إحضار الأجهزة الشخصية” موثوقة لمجرد تثبيت برنامج مكافحة فيروسات، وتقييد وصولها إلى أنظمة الشركة.
  • تحكم بصرامة في أذونات الوصول للتأكد من توافقها مع مسؤوليات الوظيفة للموظفين.
  • انتبه بشكل خاص لنشاط جهاز سياسة “إحضار الأجهزة الشخصية” في أنظمة الشركة، وانشر حل XDR لرصد الانحرافات السلوكية.
  • درب الموظفين على أساسيات الأمن الإلكتروني حتى يفهموا كيفية عمل برامج مكافحة الفيروسات، ولماذا لا ينبغي عليهم محاولة تعطيلها. للمساعدة في هذا، توفر Kaspersky Automated Security Awareness Platform كل ما تحتاجه وأكثر.
النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

  • جميع الدول الاخرى