كيف يحاول مجرمو الإنترنت تجاوز حماية برامج مكافحة الفيروسات
في عالم اليوم، تمثل برامج مكافحة الفيروسات جانبًا مهمًا من جوانب الأمان لنقاط النهاية بما في ذلك أجهزة الكمبيوتر والخوادم، بدءًا من المستخدمين الفرديين إلى المؤسسات الكبيرة. وتوفر برامج مكافحة الفيروسات عامل دفاع رئيسي ضد التهديدات الإلكترونية لكنها ليست معصومة عن ارتكاب أخطاء. وتوجد العديد من الأساليب التي يستخدمها مجرمو الإنترنت لتجاوز برامج مكافحة الفيروسات والتهرب من البرمجيات الضارة.
كيف تعمل برامج مكافحة الفيروسات؟
تهدف برامج مكافحة الفيروسات إلى التعرف على ما إذا كان الملف ضارًا أم لا، وتحتاج إلى فعل بذلك بسرعة لتجنب التأثير على تجربة المستخدم. وتوجد طريقتان مُستخدمتان على نطاق واسع تستخدمهما حلول مكافحة الفيروسات للبحث عن البرامج الضارة وهما الفحص الاستباقي المساعد على الاكتشاف والفحص المستند إلى التوقيع:
- ينفذ الفحص الاستباقي المساعد على الاكتشاف عملية فحص لوظيفة الملف، باستخدام الخوارزميات والأنماط لتحديد ما إذا كان البرنامج يفعل شيئًا مريبًا
- ينفذ الفحص المستند إلى التوقيع عملية فحص لشكل الملف ويبحث عن السلاسل والأنماط التي تتطابق مع عينات البرمجيات الضارة المعروفة
يستطيع منشئو البرمجيات الضارة اختيار التفاعل بطريقتين مع برامج مكافحة الفيروسات - إحداهما على القرص والأخرى في الذاكرة. على القرص، سيكون المثال النموذجي هو ملف بسيط قابل للتنفيذ. ويحصل برنامج مكافحة الفيروسات على المزيد من الوقت لفحص وتحليل أي ملف موجود على القرص. وفي حالة تحميل الملف في الذاكرة، سيكون لدى برنامج مكافحة الفيروسات وقت أقل للتفاعل، ومن المرجح بشكل عام تنفيذ البرمجيات الضارة بنجاح.
قيود برامج مكافحة الفيروسات
بينما تمثل برامج مكافحة الفيروسات الطريقة المستحسنة للحفاظ على أمان الأنظمة، إلا أنها في النهاية لا تجعل الأجهزة غير قابلة للقرصنة. ويستخدم أي برنامج مكافحة فيروسات نموذجي قاعدة بيانات لتواقيع البرمجيات الضارة مكونة من برمجيات ضارة سبق التعرف عليه. وعند اكتشاف عينة جديدة من البرمجيات الضارة، يتم إنشاء توقيع رقمي لها وإضافتها إلى قاعدة البيانات. ويعني هذا وجود فترة ضعف بين نشر البرمجيات الضارة الجديدة وتحديث برامج مكافحة الفيروسات لقواعد بياناتها. وخلال ذلك الوقت، من المحتمل أن تتسبب البرمجيات الضارة في إحداث فوضى. لذلك، بينما توفر برامج مكافحة الفيروسات طبقة إضافية من الأمان، إلا أنها لا تحد من التهديدات تمامًا.
بالإضافة إلى ذلك، يتزايد عدد اللغات المستقلة لنظام التشغيل (OS) التي يمكن استخدامها لكتابة البرمجيات الضارة، وهو ما يعني أن برنامجًا ضارًا واحدًا يتمتع بالقدرة على التأثير على جمهور أوسع. ونظرًا لأن التهديدات الإلكترونية أصبحت أكثر تعقيدًا، يجب أن تتطور برامج مكافحة الفيروسات لمواكبة هذا الأمر. ونظرًا لأن المتسللين يطورون باستمرار أساليبهم لتجاوز برامج مكافحة الفيروسات، وبسبب تعقيد المشهد الأمني في الوقت الحاضر، فإن هذا يمثل تحديًا.
أساليب التهرب من برامج مكافحة الفيروسات
لتحقيق أهدافهم، طور مجرمو الإنترنت مجموعة من أساليب التهرب. وتشمل هذه الأساليب ما يلي:
حزم التعليمات البرمجية وتشفيرهايتم حزم غالبية الفيروسات المتنقلة وفيروسات حصان طروادة وتشفيرها.. ويصمم المتسللون أدوات مساعدة خاصة لإنشاء الحزم والتشفير. وقد تبين أن كل ملفات الإنترنت التي تم معالجتها باستخدام CryptExe وExeref وPolyCrypt وبعض الأدوات المساعدة الأخرى هي ملفات ضارة. ولاكتشاف الفيروسات المتنقلة وفيروسات حصان طروادة الموضوعة في حزم والمشفرة، يتوجب على برنامج مكافحة الفيروسات إما إضافة أساليب جديدة لفك الحزم وفك التشفير أو إضافة تواقيع جديدة لكل عينة للبرنامج الضار.
تبديل التعليمات البرمجيةيحاول مجرمو الإنترنت إخفاء برامجهم الضارة من خلال المزج بين التعليمات البرمجية الخاصة بفيروس حصان طروادة وتعليمات "البريد الإلكتروني العشوائي"، بحيث تأخذ التعليمات البرمجية شكلاً مختلفًا في حين يحتفظ فيروس حصان طروادة بوظائفه الأصلية. في بعض الأحيان يحدث تبديل التعليمات البرمجية في الوقت الحقيقي، في كل أو معظم الحالات التي يتم فيها تنزيل فيروس حصان طروادة من موقع ويب مصاب. وقد استخدم فيروس البريد المتنقل Warezovهذا الأسلوب وتسبب في مشكلات خطيرة للمستخدمين.
أساليب التسلل تستطيع تقنيات الجذور الخفية، التي تستخدمها فيروسات حصان طروادة بوجه عام، مقاطعة وظائف النظام وأن تحل مكانها، لجعل الملف المصاب غير مرئي لنظام التشغيل وبرامج مكافحة الفيروسات. يصل الأمر أحيانًا إلى إخفاء فروع السجلات، حيث يكون فيروس حصان طروادة مسجلاً، وملفات النظام الأخرى.
حظر برامج مكافحة الفيروسات وتحديثات قوعدة بيانات برامج مكافحة الفيروساتستبحث العديد من فيروسات حصان طروادة والفيروسات المتنقلة بشكل نشط عن برامج مكافحة الفيروسات في قائمة التطبيقات النشطة على جهاز الكمبيوتر الضحية.. ثم ستحاول البرمجيات الضارة:
- حظر برامج مكافحة الفيروسات
- إتلاف قواعد بيانات مكافحة الفيروسات
- منع العمل الصحيح لعمليات تحديث برامج مكافحة الفيروسات
لكي يتغلب برنامج مكافحة الفيروسات على البرمجيات الضارة، يجب أن يحمي نفسه عن طريق التحكم في تكامل قواعد بياناته وإخفاء عملياته عن فيروسات حصان طروادة.
إخفاء التعليمات البرمجية على موقع ويب
سرعان ما سيأخذ مطورو برامج مكافحة الفيروسات علمًا بعناوين مواقع الويب التي تحتوي على ملفات فيروسات حصان طروادة، وبالتالي سيتمكن محللو الفيروسات لديهم من دراسة محتوى هذه المواقع وإضافة البرمجيات الضارة الجديدة إلى قواعد بياناتها. لكن، في محاولة للتصدي لعملية الفحص لبرنامج مكافحة الفيروسات، يمكن تعديل صفحة ويب، لذا عند إرسال طلبات من جانب إحدى شركات برامج مكافحة الفيروسات يتم تنزيل ملف لا يحتوي على فيروس حصان طروادة بدلاً من تنزيل فيروس حصان طروادة.
هجمات "الكمية"
في هجوم الكمية، يتم توزيع كميات كبيرة من إصدارات فيروس حصان طروادة الجديدة عبر الإنترنت خلال فترة زمنية قصيرة. ونتيجة لذلك، تتلقى شركات مكافحة الفيروسات أعدادًا هائلة من العينات الجديدة لتحليلها. ويأمل مجرمو الإنترنت أن يتيح الوقت المخصص لتحليل كل عينة فرصة لتعليماتهم البرمجية الضارة لاختراق أجهزة كمبيوتر المستخدمين.
التهديدات الفورية
يتم تحديث برنامج مكافحة الفيروسات لديك بانتظام. ويحدث هذا عادة استجابة لتهديد فوري. ويمثل هذا أحد أساليب التهرب التي تستخدمها البرمجيات الضارة حيث يستغل مجرم الإنترنت ثغرة أمنية في البرامج أو الأجهزة ثم يطلق برمجيات ضارة قبل أن يتمكن برنامج مكافحة الفيروسات من تصحيحها.
البرمجيات الضارة دون ملفات
هذه طريقة أحدث لتشغيل البرمجيات الضارة على جهاز لا يتطلب تخزين أي شيء على الجهاز المستهدف. وتعمل البرمجيات الضارة دون ملفات بالكامل في ذاكرة الجهاز، مما يسمح لها بتجاوز برامج مكافحة الفيروسات. ولا تؤدي زيارة صفحة ويب مصابة إلى توصيل البرمجيات الضارة مباشرة. بل بدلاً من ذلك، تستخدم ثغرة أمنية معروفة سابقًا في برنامج ذي صلة لتوجيه الجهاز لتنزيل البرمجيات الضارة إلى منطقة ذاكرة - ومن هناك، يتم تنفيذها. وما يجعل البرمجيات الضارة بدون ملفات خطيرة للغاية هو أنه بمجرد أن تؤدي البرمجيات الضارة وظيفتها أو تتم إعادة ضبط الجهاز، فإنه يتم مسح الذاكرة ولا يوجد دليل على تثبيت أحد المجرمين لبرمجيات ضارة.
التصيد الاحتيالي
التصيد الاحتيالي هو أحد أكثر الأساليب شيوعًا التي يستخدمها مجرمو الإنترنت لسرقة المعلومات. وفي هجوم التصيد الاحتيالي، يخدع المهاجم الضحايا بالتظاهر بأنه مصدر موثوق أو معروف. وإذا نقر المستخدمون فوق رابط ضار أو قاموا بتنزيل ملف مصاب، فقد يتمكن المهاجمون من الوصول إلى شبكاتهم، ثم سرقة المعلومات الحساسة. وتستطيع برامج مكافحة الفيروسات اكتشاف التهديدات المعروفة فقط ولكنها ليست فعالة بشكل موثوق ضد المتغيرات الجديدة.
الهجمات المستندة إلى المستعرض
لا تستطيع برامج مكافحة الفيروسات الوصول إلى أنظمة التشغيل التي تسمح للهجمات المستندة إلى المستعرض بتجاوزها. وتصيب هذه الهجمات جهازك باستخدام البرامج النصية والتعليمات البرمجية الضارة. ولمنع هذه الهجمات، تتضمن بعض المستعرضات أدوات دفاعية مدمجة بها لكن يجب استخدامها بشكل متسق وصحيح لكي تحقق فعاليتها.
تشفير الحمولة
يوجد أسلوب آخر تتجاوز عن طريقه البرمجيات الضارة برامج الفحص الخاصة بمكافحة الفيروسات ويعرف باسم تشفير الحمولة. ويستخدم مجرمو الإنترنت في الغالب أدوات لفعل ذلك يدويًا، وعند تسليم البرمجيات الضارة وتنشيطها، يتم فك تشفيرها وتبدأ في تحقيق الضرر المصممة من أجله. ويحدث ذلك عادة عن طريق برنامج رأس صغير مُثبت في مقدمة الفيروس المشفر. لا ترى برامج مكافحة الفيروسات أن هذا البرنامج يمثل تهديدًا، ويُنظر إلى الفيروس المشفر باعتباره بيانات. ولذلك عندما يتم تشغيل الرأس (على سبيل المثال، من خلال تضمينه في ملف قابل للتنفيذ موجود)، فإنه سيفك تشفير البرمجيات الضارة إلى منطقة ذاكرة ثم يقفز عداد البرنامج إلى تلك المنطقة وينفذ البرمجيات الضارة.
كيفية الحماية من أساليب التهرب التي تستخدمها البرمجيات الضارة
يجب أن يكون استخدام برامج مكافحة الفيروسات جزءًا أساسيًا من استراتيجيتك العامة للأمن الإلكتروني، لكن، كما توضح هذه المقالة، لا ينبغي أن تعتمد الشركات على هذه البرامج وحدها لتوفير الحماية الإلكترونية. ولضمان تحقيق المستوى الأمثل من الأمان، من الأفضل الاستثمار في نهج متعدد الطبقات للأمن الإلكتروني. وتشمل الأدوات الإضافية التي يمكنك استخدامها لإبعاد مجرمي الإنترنت عن شبكتك ما يلي:
تشفير الجها
ز يضمن تشفير الأجهزة عدم تمكن أي شخص من الوصول إلى البيانات التي تحتوي عليها هذه الأجهزة بدون كلمة المرور أو المفتاح الصحيحين. ,حتى في حالة سرقة الجهاز أو إصابته ببرمجيات ضارة، من الممكن أن يمنع التشفير المناسب الوصول غير المصرح به.
المصادقة متعددة العوامل
تتطلب المصادقة متعددة العوامل من المستخدمين إدخال أكثر من معلومة للوصول إلى الحسابات، مثل رمز حساس تنتهي صلاحيته بمرور وقت معين. ويوفر هذا أمانًا أكبر من مجرد الاعتماد على كلمة المرور وحدها. وهذا مهم بشكل خاص إذا كانت لديك معلومات حساسة أو شخصية مخزنة على الأجهزة أو الحسابات.
برامج إدارة كلمات المرور
تعد كلمات المرور مهمة للحفاظ على أمان الحسابات والشبكات، لكن من الضروري للغاية استخدام كلمات مرور قوية تختلف من حساب إلى آخر. وتتكون كلمة المرور القوية من 15 حرفًا على الأقل (يفضل أن تكون أطول) وتحتوي على مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز. وتستطيع برامج إدارة كلمات المرور مساعدتك في التتبع، حيث تعد بمثابة مخزن آمن لكلمات المرور الفريدة وتحافظ عليها في مأمن من المتسللين.
التدريب على التوعية بالأمن الإلكتروني
مع تزايد الجرائم الإلكترونية، يجب على الشركات تثقيف موظفيها بشأن المخاطر المرتبطة بالهجمات الإلكترونية، بالإضافة إلى كيفية التعامل معها في حالة حدوثها. ومن خلال تثقيف المستخدمين عن مشهد التهديدات الإلكترونية، يمكنك مساعدتهم على التعرف على الأنشطة المشبوهة مثل رسائل البريد الإلكتروني للتصيد الاحتيالي وما إلى ذلك.
اكتشاف نقطة النهاية والاستجابة لها
يراقب حل اكتشاف نقطة النهاية والاستجابة لها (EDR) سلوك الشبكة ونقاط النهاية ويخزن هذه السجلات. ومن الممكن أن توفر تقنيات اكتشاف نقطة النهاية والاستجابة لها (EDR) للموظفي الأمن البيانات التي يحتاجون إليها لفهم طبيعة الهجوم الإلكتروني، وتقديم تنبيهات آلية ومعالجة نقطة النهاية.
لا يستخدم مجرمو الإنترنت عادة تقنية واحدة للتهرب من برامج مكافحة الفيروسات وحدها. بل على العكس من ذلك: يتم تصميم البرمجيات الضارة للتعامل مع المواقف المختلفة لزيادة فرص نجاحها إلى أقصى حد. والخبر السار هو أن مجتمع الأمان يقظ، ويتعلم دائمًا أساليب التهرب من برامج مكافحة الفيروسات وتلك التي تستخدمها البرمجيات الضارة الجديدة للتهرب ويطور طرقًا جديدة للوقاية.
مقالات ذات صلة:
- ما المقصود بأمان نقطة النهاية وكيف يعمل؟
- كيف تخترق البرمجيات الضارة الأنظمة
- الهندسة الاجتماعية
- تصنيفات البرمجيات الضارة
- اختيار حل لمكافحة الفيروسات
منتجات ذات صلة:
كيف يحاول مجرمو الإنترنت تجاوز حماية برامج مكافحة الفيروسات
Kaspersky
