أخبار عاجلة

تقرير مكافي الجديد يستعرض 30 عاما من التطورات التي شهدتها تقنيات المراوغة والتحايل

تقرير مكافي الجديد يستعرض 30 عاما من التطورات التي شهدتها تقنيات المراوغة والتحايل
تقرير مكافي الجديد يستعرض 30 عاما من التطورات التي شهدتها تقنيات المراوغة والتحايل

كشفت مكافي اليوم عن تقريرها الجديد تحت عنوان McAfee Labs Threats Report: June 2017 والذي يقدم دراسة واسعة بشأن أسلوب وطريقة عمل برمجية Fareit الخبيثة التي تقوم بجمع بيانات تسجيل الدخول الأمنية، كما يستعرض ثلاثين عامًا من التطورات التي شهدتها تقنيات المراوغة والتحايل التي يتم استخدامها من قبل صانعي البرمجيات الخبيثة، بالإضافة إلى كشف التقرير عن أساليب إخفاء المعلومات التي تُستخدم كتقنيات متطورة للمراوغة.

ويلقي التقرير الضوء أيضًا على الهجمات الخبيثة التي تم الإبلاغ عنها ضمن كافة القطاعات ويكشف عن اتجاهات النمو التي تشهدها البرمجيات الضارة وبرمجيات الفدية الخبيثة وبرمجيات الأجهزة الجوالة الخبيثة وغيرها من التهديدات الأمنية خلال الربع الأول من 2017.

وقال فينسنت ويفر، نائب رئيس مكافي لابس: “هناك المئات، إن لم يكن الآلاف، من تقنيات التحايل والمراوغة التي يستخدمها قراصنة الإنترنت وصانعو البرمجيات الخبيثة ويمكنهم شراؤها بسهولة عن طريق الإنترنت المظلم أو الدارك نت، ويقومون باستخدامها ضد أدوات الحماية وكل من آلية الأمان (صندوق الرمل) وعمليات التحليل الأمنية. ويوضح لنا التقرير الخاص بهذا الربع من العام كيف تتطور تقنيات التحايل وتتحول من مجرد محاولات لإخفاء بعض التهديدات البسيطة التي يتم تنفيذها على نطاق ضيق، إلى إخفاء التهديدات المعقدة التي تستهدف بيئات العمل المؤسسية لفترات زمنية طويلة، بالإضافة إلى تحويل هذه التقنيات إلى نماذج جديدة كليًا مثل تقنيات التحايل التي تستهدف آليات الحماية القائمة على التعلم الآلي”.

30 عامًا من تقنيات التحايل التي تنشر البرمجيات الخبيثة

بدأ مطورو البرمجيات الخبيثة بتجربة مختلف طرق التهرب والتحايل على المنتجات الأمنية في بداية الثمانينات، وعندها استطاعت إحدى البرمجيات الخبيثة إخفاء نفسها عن طريق تشفير رمزها الخاص بشكل جزئي، مما جعل محتوى هذه البرمجية غير قابل للقراءة من قبل المحللين المتخصصين بأمن المعلومات. ويجمع مصطلح “تقنيات التحايل” كافة الأساليب المستخدمة من قبل البرمجيات الخبيثة لتجنب عمليات الكشف والتحليل الأمنية وقد صنفت مكافي تقنيات التحايل هذه إلى ثلاث فئات أساسية وهي:

تقنيات التحايل ضد أدوات الحماية: وهي التي يتم استخدامها لتجنب محركات الكشف عن البرمجيات الضارة، والجدران النارية وبرمجيات احتواء التطبيقات أو غيرها من أدوات حماية بيئات العمل.

تقنيات التحايل ضد “صندوق الرمل”: والتي تستخدم للكشف عن عمليات التحليل التلقائي وتجنب المحركات التي تشير إلى سلوك البرمجيات الضارة، كما يمكن لهذه التقنيات معرفة ما إذا كانت تُراقب ضمن صندوق الرمل من خلال الكشف عن أية مفاتيح تسجيل أو ملفات أو أية عمليات متعلقة بالبيئات الافتراضية.

تقنيات التحايل ضد التحليل الأمني: وهي تستخدم للكشف عن المحللين الأمنيين وخداعهم، مثل الكشف عن أدوات الرصد والتحليل كبرامج Process Explorer أوWireshark وبعض حيل الرصد الأمني وتحليل الحزم أو أدوات التشويش، وذلك بهدف تجنب الهندسة العكسية.

كما استعرض تقرير مكافي حزيران/يونيو 2017 بعض أقوى تقنيات التحايل والمراوغة والانطلاقة الواسعة التي تشهدها عمليات بيع هذه التقنيات على شبكة الإنترنت المظلم، وكيف استطاعت مجموعة واسعة من البرمجيات الخبيثة المتطورة الاستفادة من تقنيات التحايل والمراوغة، وما يمكن توقعه من تطورات في المستقبل من قبيل ظهور تقنيات التحايل القائمة على الذكاء الآلي أو تلك التي تعتمد على الأجهزة.

خفي ولا يمكن رؤيته: تهديد أمني يتم زرعه على طريقة الرسائل المخفية ستيغانوغرافي

ستيغانوغرافي أو Steganography هو فن أو علم إخفاء الرسائل السرية، وفي العالم الرقمي هو عملية إخفاء الرسائل في الصور أو المسارات الصوتية أو مقاطع الفيديو أو حتى الملفات النصية. وفي كثير من الأحيان، يتم استخدام هذا الفن رقميًا من قبل صانعي البرمجيات الخبيثة لتجنب اكتشافها من قبل أنظمة الحماية وقد كان أول استخدام معروف لعلم ستيغانوغرافي في البرمجية الخبيثة Duqu في عام 2011.

عند استخدام صورة رقمية، يتم إدراج المعلومات السرية المطلوبة من خلال خوارزمية تضمين محددة ومن ثم يتم نقل الصورة إلى النظام المستهدف، وهناك يتم استخراج المعلومات السرية والتحكم بها من خلال البرمجية الخبيثة. وغالبًا من يكون من الصعب الكشف عن هذه الصورة المعدلة عن طريق العين البشرية أو حتى باستخدام تقنيات الحماية الأمنية. وتعتبر مكافي طريقة ستيغانوغرافي الشبكية كأحدث تقنيات المراوغة والتحايل حيث يتم استخدامها ضمن حزمة بروتوكولات الإنترنت لإخفاء البيانات، ويشهد هذا الأسلوب انتشارًا واسعًا وذلك أن المهاجمين بإمكانهم إرسال كمية غير محددة من المعلومات ونشرها بكامل الشبكة من خلال استخدام هذه التقنية.

Fareit: برمجية سرقة بيانات الدخول الأسوأ سمعة

ظهرت برمجية Fareit الخبيثة لأول مرة في عام 2011 ومنذ ذلك الحين شهدت تطورات كبيرة ضمن سياقات متعددة بما في ذلك ناقلات الهجوم الجديدة والهندسة الداخلية المحسنة وطرق جديدة للتحايل والتهرب من عمليات التحليل والاكتشاف. وهناك إجماع متزايد على أن برمجية Fareit التي تستهدف بيانات الدخول هي الآن البرمجية الخبيثة الأسوًا سمعة ومن المرجح أنها استُخدمت ضمن عملية الاختراق المتطورة التي استهدفت اللجنة الوطنية الديمقراطية قبل الانتخابات الرئاسية الأمريكية التي جرت عام 2016.

ويتم نشر برمجية Fareit من خلال آليات عديدة مثل رسائل البريد الإلكتروني للتصيّد الاحتيالي أو إصابة نظام أسماء النطاقات أو عن طريق برمجية exploit kits التي تستهدف خوادم الويب. ويمكن للضحية أن تستلم بريد سبام غير مرغوب به يحتوي على ملف وورد أو ملف جافا سكريبت أو حتى ملف أرشيفي مرفق، وبمجرد أن تقوم الضحية بفتح المرفق، تصيب برمجية Fareit النظام وتقوم بإرسال كافة البيانات الاعتمادية المسروقة إلى الخادم المتحكم بها ومن ثم تقوم بتحميل برامج ضارة إضافية إلى الجهاز المستهدف.

وقد تم اعتبار عملية اختراق اللجنة الوطنية الديمقراطية في 2016 كجزء من حملة البرمجيات الخبيثة التي عرفت باسم Grizzly Steppe، وقد كشفت مكافي عن برمجيةFareit ضمن قائمة مؤشرات الهجوم التي تم نشرها في التقرير الخاص بهجمات Grizzly Steppe في . ويُعتقد أن برمجية Fareit قد خُصصت للهجوم على اللجنة الوطنية الديمقراطية وتم إطلاقها عن طريق ملفات وورد خبيثة تم نشرها خلال حملة واسعة من البريد الإلكتروني المزعج.

وتشير المعلومات حول هذا الهجوم إلى وجود عناوين خاصة بخادم التحكم بالبرمجية الخبيثة Fareit لم يتم ملاحظتها في حالات أخرى من الهجمات التي نُفذت عن طريق هذه البرمجية، ومن المرجح أن تكون تقنيات أخرى قد استُخدمت جنبًا إلى جنب مع برمجية Fareit في هجوم اللجنة الوطنية الديمقراطية بهدف سرقة حسابات البريد الإلكتروني أو بروتوكول نقل الملفات أو البيانات الاعتمادية الهامة. كما تشتبه مكافي بقيام برمجية Fareit أيضًا بتحميل تهديدات متطورة أخرى مثل Onion Duke أو Vawtrak على أنظمة الضحايا لتنفيذ المزيد من الهجمات.

وأضاف ويفر بالقول: “مع تزايد اعتماد المستخدمين والشركات وحتى الحكومات على الأنظمة والأجهزة التي تحميها كلمات المرور فقط، فإن البيانات الاعتمادية الهامة ستبقى عرضة للسرقة وهدفًا مناسبًا لمجرمي الإنترنت. وتتوقع مكافي أن تشهد تقنيات سرقة كلمات المرور تطورات ملحوظة إلى أن يتم التحول إلى أدوات التحقق ذات المستويين وتطبيقها ضمن كافة الأنظمة المستخدمة. وتقدم لنا حملة البرمجيات الخبيثة Grizzly Steppe صورة واضحة عن الطرق الجديدة والمستقبلية التي سنواجهها”.

التهديدات الأمنية خلال الربع الأول من عام 2017

سجلت شبكة مكافي الخاصة بمعلومات التهديدات العالمية خلال الربع الأول من 2017 تحولات كبيرة في معدلات نمو التهديدات الإلكترونية والهجمات على شبكة الإنترنت ضمن العديد من القطاعات على النحو التالي:

تهديدات جديدة: في الربع الأول من عام 2017، كان هناك 244 تهديد جديد كل دقيقة أي أكثر من 4 تهديدات في الثانية الواحدة.

حوادث أمنية: أحصت مكافي 301 تهديد أمني تم الكشف عنه بشكل علني في الربع الأول، بزيادة قدرها 53% عمّا سُجل من حوادث في الربع الأخير من عام 2016، وقد شكلت قطاعات الصحة والتعليم والقطاع العام أكثر من 50 بالمئة من مجموع هذه التهديدات.

البرمجيات الخبيثة: شهدت البرمجيات الخبيثة الجديدة ازديادًا ملحوظًا في الربع الأول حتى وصلت إلى 32 مليون برمجية، وقد ازداد العدد الإجمالي للبرمجيات الخبيثة بنسبة 22% خلال الأرباع الأربعة الأخيرة لتصل إلى 670 مليون برمجية معروفة. وقد ازداد متوسط أعداد البرمجيات الخبيثة ربعيًا خلال السنوات الأربع الماضية.

برمجيات الأجهزة الجوالة الخبيثة: تضاعفت أعداد البرمجيات الجوالة الخبيثة في آسيا خلال الربع الأول، وقد ساهم ذلك في زيادة معدلات العدوى العالمية بنسبة 57%. وقد ارتفع العدد الكلي لبرمجيات الأجهزة الجوالة الخبيثة بنسبة 79% خلال الأرباع الأربعة الأخيرة لتصل إلى 16.7 مليون برمجية. وكانت برمجية Android/SMSreg المساهم الأكبر في هذا النمو، وهي عبارة عن برمجية غير مرغوب بها من المرجح أنها انطلقت من الهند.

برمجيات نظام التشغيل Mac الخبيثة: شهدت برمجيات نظام Mac الخبيثة ازديادًا واضحًا خلال الأرباع الثلاثة الماضية وقد ساهم في هذا الازدياد انتشار برمجيات الإعلانات بشكل كبير. وعلى الرغم من أن أعداد هذه البرمجيات ماتزال منخفضة مقارنة بنظيراتها ضمن نظام التشغيل ، إلا أنها شهدت ارتفاعًا ملحوظًا بنسبة 53% خلال الربع الأول.

برمجيات انتزاع الفدية الخبيثة: شهدت أعداد هذه البرمجيات ازديادًا ملحوظًا خلال الربع الأول أيضًا ويرجع ذلك بشكل أساسي إلى هجمات الفدية Congur التي استهدفت الأجهزة العاملة بنظام أندرويد. وقد ارتفع العدد الإجمالي لهذه البرمجيات بنسبة 59% خلال الأرباع الأربعة الماضية ليصل إلى 9.6 مليون برمجية معروفة.

رسائل البوت نت المزعجة: أُلقي القبض على المدبر الرئيسي لبرمجية البوت نت Kelihos في إسبانيا في شهر أبريل الماضي، وكانت هذه البرمجية لسنوات عديدة مسؤولة عن ملايين الرسائل المزعجة التي حملت البرمجيات المصرفية الخبيثة وبرمجيات طلب الفدية. وقد أقرت وزارة العدل الأمريكية بالتعاون الدولي ضد هذه البرمجية بين الولايات المتحدة وسلطات أجنبية أخرى ومع الشركة الأمنية Shadow Server Foundation ومع عدة شركات تصنيع ضمن القطاع.

المصدر: البوابة العربية

اشترك فى النشرة البريدية لتحصل على اهم الاخبار بمجرد نشرها

تابعنا على مواقع التواصل الاجتماعى

التالى إنستغرام تخطط لتحسين سلوك المستخدمين!

ما رأيكم بالشكل الجديد للموقع؟

الإستفتاءات السابقة

إعلانات مدفوعة