يملي المنطق أن الطريقة الأكثر موثوقية لمنع وقوع حادث إلكتروني تتمثل في منع البرامج الضارة من اختراق البنية التحتية للشركات. لذلك، عند وضع إستراتيجية لأمن المعلومات، عادة ما يركز الخبراء على أكثر الخطوط المتجهة للهجوم وضوحًا – مثل من خلال البريد الإلكتروني. تبدأ معظم الهجمات بالفعل ببريد إلكتروني، ولكن لا تنسَ أن مجرمي الإنترنت يستخدمون العديد من طرق توصيل البرمجيات الخبيثة الأخرى في أكمامهم الرقمية. يتحدث خبراء من فريق كاسبرسكي العالمي للبحوث والتحليل عن الأساليب غير الشائعة المستخدمة لإصابة عدوى البرامج الضارة التي صادفوها أثناء تحليل التهديدات الأخيرة.
الخطأ الكتابي للنطاق لمحاكاة أداة
قرر منشئو البرامج الضارة التي يُطلق عليها البرامج المتقدمة للتجسس على عنوان IPتضمين التعليمات البرمجية الخاصة بهم في أداة ماسح عنوان IP المتقدمة لمسؤولي النظام. لقد أنشأوا موقعين بتصميم النسخة الأصلية نفسه، بالإضافة إلى أسماء النطاقات التي تختلف بحرف واحد فقط. أي أنهم كانوا يعتمدون على الضحية في البحث عن أداة مراقبة للشبكة المحلية وتحميل البرنامج مع باب خلفي من موقع مُزيّف. ومن المثير للاهتمام أن النسخة الخبيثة من برنامج Advanced IP Scanner كانت تحمل توقيعًا بشهادة رقمية قانونية، ويبدو أنها قد سُرقت.
روابط أسفل مقاطع فيديو YouTube
حاول مشغلو أداة OnionPoison فعل شيء مماثل: فقد أنشأوا نسختهم الضارة من متصفح Tor (فقط بدون توقيع رقمي). ولكن لتوزيع متصفحهم المُزيّف، وضعوا رابطًا على قناة YouTube شهيرة حول عدم الكشف عن الهوية عبر الإنترنت أسفل مقطع فيديو يحتوي على تعليمات لتثبيت Tor. تعذر تحديث النسخة المُصابة وتضمين باب خلفي لتنزيل مكتبة ضارة إضافية. ما مكّن، بدوره، المهاجمين من تنفيذ أوامر عشوائية في النظام، بالإضافة إلى الحصول على سجل المتصفح ومعرفات حساب WeChat وQQ.
انتشار البرامج الضارة من خلال السيول
أخفى منشئو CLoader أدوات تثبيت البرامج الضارة لديهم كألعاب مُقرصنة وبرامج مفيدة. تميل هذه الطريقة إلى أن تكون أكثر استهدافًا للمستخدمين في المنزل، ولكن في هذه الأيام – في ظل أن أصبح العمل عن بُعد اعتياديًا الآن ومن ثم عدم وضوح محيط الشركة – قد تشكّل السيول الخبيثة أيضًا تهديدًا لحواسيب العمل. وبدلًا من ذلك، أصيب الضحايا الذين حاولوا تنزيل البرامج المُقرصنة من خلال السيول بالبرمجيات الخبيثة القادرة على العمل كخادم وكيل على الجهاز المُصاب، وتثبيت برمجيات خبيثة إضافية أو منح الوصول عن بُعد غير المُصرّح به إلى النظام.
الحركة الجانبية من خلال الأدوات القانونية
قد تنتشر أحدث الإصدارات من برنامج الفدية BlackBasta عبر شبكة محلية باستخدام تقنيات معينة من Microsoft. بعد إصابة حاسوب واحد، يمكنه بعد ذلك الاتصال بالدليل النشط عن طريق مكتبة LDAP، والحصول على قائمة بالحواسيب الموجودة في الشبكة المحلية، ونسخ البرامج الضارة عليها، وتشغيلها عن بُعد باستخدام نموذج كائن المُكوّن. تترك هذه الطريقة وراءها آثارًا أقل في النظام وتجعل الكشف عنها أكثر صعوبة.
كيف تحافظ على سلامتك
تبين هذه الأمثلة أن البنية التحتية للشركات تحتاج إلى حماية شاملة. بالتأكيد، من المرجح أن يحمي حل [KSMail placeholder] الذي يفحص جميع رسائل البريد الإلكتروني الواردة [/KSMail placeholder] بهدف التصيد الاحتيالي والروابط والمرفقات الضارة من معظم الهجمات. ولكن ضع في اعتبارك أن أي حاسوب مزوّد بإنترنت يجب أن يكون مُجهزًا أيضًا بحماية خاصة من [(KESB placeholder] ضد البرامج الضارة [/KESB placeholder]. ولتفهم ما يجري في شبكة شركتك على نحو أفضل، من الجيد نشر حلول [EDR placeholder] من فئة EDR [/EDR placeholder] أيضًا.
[KESB Banner]