x
email
الاشتراك في النشرة البريدية

نوصلك من خلال نشرة اسبوعية بكل جديد متعلق بالهواتف النقالة وقطاع الاتصالات والتكنولوجيا



    اخر الأخبار

متوفر باللغة
English

نسخة معدلة من البرمجية الخبيثة SynAck تستخدم أسلوب Doppelgänging المعقد لتجنّب النظم الأمنية

نشر 2018-05-20 - 09:04 بتوقيت جرينتش



موبايلك - اكتشف باحثون في شركة كاسبرسكي لاب نسخة معدلة من برمجية SynAck Trojan الخبيثة لطلب الفدية تتسم بأنها تستخدم أسلوب Doppelgänging لتجاوز أنظمة الحماية الأمنية من الفيروسات عن طريق "الاختباء" في عمليات مشروعة، وهي المرة الأولى التي يُشاهد فيها هذا الأسلوب من طلب الفدية على أرض الواقع. وتقوم الجهة الكامنة وراء تطوير SynAck بتنفيذ حيل أخرى لتجنب الكشف؛ إذ تعمل على تشتيت جميع شيفراتها البرمجية والانسحاب إذا كانت هناك دلائل تشير إلى أنه سوف يتم إطلاقها من خلال الآلية الأمنية المعروفة باسم "صندوق الرمل"، أو الملعب البرمجي، والخاصة بالتشغيل الآمن للبرامج، وذلك قبل تجميع العينات البرمجية.

وكانت برمجية SynAck اكتشفت في خريف العام 2017، ولوحظ في شهر ديسمبر تركيزها على استهداف المستخدمين الناطقين بالإنجليزية مع شنّ هجمات القوة الغاشمة عبر ما يُعرف بـ"بروتوكول سطح المكتب البعيد"، يليها التنزيل التثبيت اليدوي للبرمجية الخبيثة. ويُطبّق البديل الجديد الذي كشف عنه باحثو كاسبرسكي لاب منهجاً أكثر تعقيداً، وذلك باستخدام أسلوب Doppelgänging لتفادي الكشف.

وينطوي هذا الأسلوب الذي تمّ الإبلاغ عنه في ديسمبر الماضي، على إدخال شيفرة برمجية من دون ملف باستغلال ميزة وظيفية في النظام "ويندوز" وعملية تنفيذ غير موثقة في مُلقمّ العمليات بالنظام. ويمكن للمهاجمين أن يمرّروا الإجراءات الخبيثة بعد إظهارها كعمليات غير ضارة أو شرعية، حتى وإن كانوا يستخدمون شيفرة خبيثة معروفة، وذلك عبر التلاعب في كيفية تعامل "ويندوز" مع المعاملات الخاصة بالملفات. لا يترك أسلوب Doppelgänging أي أثر خلفه يدلّ عليه، ما يصعّب اكتشاف هذا النوع من الاختراق. وهذه هي المرة الأولى التي تتم فيها ملاحظة استخدام هذا الأسلوب في عمليات حقيقية لطلب الفدية.

وتشتمل السمات الأخرى الجديرة بالملاحظة في هذا النوع الجديد من برمجية SynAck على ما يلي:

•يعمل التروجان على تشتيت شيفرته التنفيذية قبل التجميع، بدلاً من حزمها مثل معظم البرمجيات الأخرى الخاصة بطلب الفدية، ما يجعل من الصعب على الباحثين إجراء هندسة عكسية وتحليل الشيفرة الخبيثة.

•يحجب الروابط المؤدية إلى وظيفة "واجهة برمجة التطبيقات" الضرورية، ويخزن جداول الهاش في سلاسل مختلفة عن السلاسل الفعلية.

•عند التثبيت، يقوم التروجان بمراجعة الملف الدليلي Directory الذي يبدأ منه ملفه التنفيذي، وإذا ما وجد أية محاولة لإطلاقه من غير الملف الدليلي إياه، مثل وضع الحماية التلقائي المحتمل لآلية "صندوق الرمل"، فإنه ينسحب خارجاً.

•كذلك تخرج البرمجية الخبيثة منسحبة دون تنفيذ إذا كان جهاز الحاسوب الضحية يعمل بلوحة مفاتيح مضبوطة بلغة سيريلية.

•وتقوم برمجية SynAck الخبيثة، قبل تشفير الملفات على جهاز ضحية، بالتحقق من جداول الهاش لجميع العمليات والخدمات قيد التشغيل، مقارنة بقائمة التشفير الثابتة الخاصة بها، فإذا وجدت مطابقة، فإنها تحاول إنهاء العملية. وتشمل العمليات المحجوبة بهذه الطريقة الأجهزة الافتراضية والتطبيقات المكتبية وترجمات النصوص البرمجية وتطبيقات قواعد البيانات وأنظمة النسخ الاحتياطي وتطبيقات الألعاب وغيرها، ربما لتسهيل ضبط الملفات القيّمة التي يمكن أن تكون مرتبطة بالعمليات الجارية.

ويعتقد الباحثون أن الهجمات التي تستخدم هذا النوع الجديد من SynAck موجّهة بدرجة كبيرة، فحتى الآن، لاحظوا عددًا محدودًا من الهجمات في الولايات المتحدة والكويت وألمانيا وإيران، بطلبات فدية قدرها 3,000 دولار.

واعتبر أنتون إيڤانوڤ كبير محلّلي البرمجيات الخبيثة لدى كاسبرسكي لاب، أن السباق بين المهاجمين والمدافعين في الفضاء الإلكتروني "سباق بلا نهاية"، مشيراً إلى أن قدرة أسلوب عملية Doppelgänging على إيصال البرمجيات الخبيثة خلف خطوط الحماية ومن خلال أحدث الإجراءات الأمنية دون الكشف عنها، "تمثل تهديداً كبيراً استطاع المهاجمون، بصورة متوقعة، استغلاله بسرعة كبيرة"، وقال: "يوضّح بحثنا كيف استخدمت البرمجية المغمورة نسبياً SynAck هذا الأسلوب لتحسين القدرة على التخفي والإصابة في هجمات طلب الفدية، ولحسن الحظ، تم تنفيذ منطق الكشف عن هذا الأسلوب قبل أن ينتشر في الواقع انتشاراً واسعاً".

وبوسع حلول كاسبرسكي لاب الكشف عن هذه النسخة من SynAck بالأسماء التالية:

•Trojan-Ransom.Win32.Agent.abwa

•Trojan-Ransom.Win32.Agent.abwb

•PDM:Trojan.Win32.Generic

وتوصي الشركة باتخاذ الإجراءات التالية للحفاظ على أمن المستخدمين والأجهزة من هجمات طلب الفدية:

•الحرص على النسخ الاحتياطي للبيانات بانتظام.

•استخدام حل أمني موثوق به مُمكّن بتقنيات كشف السلوك ويستطيع صدّ الإجراءات الخبيثة.

•الحفاظ دائماً على تحديث البرمجيات والتطبيقات على جميع الأجهزة.

•توعية الموظفين وفرق تقنية المعلومات في الشركات، والحفاظ على البيانات الحساسة منفصلة مع تقييد الوصول إليها، واستخدام حل أمان متخصص، مثل Kaspersky Endpoint Security for Business.

•عند الوقوع ضحية لهجمة أدّت إلى تشفير الملفات، فما على المستخدم سوى اللجوء إلى جهاز نظيف للتحقق من موقع No More Ransom، عساه يعثر على أداة لفك التشفير يمكن أن تساعد في استعادة الملفات المشفرة.





   مقالات ذات صله


تقارير ومتابعات

كل يوم، يستخدم ملايين الأشخاص حول العالم تويتر لمعرفة ما يحدث الآن. ومع ذلك، هناك العديد من العوائق التي تحول


تقارير ومتابعات

نجحت تقنيات كاسبرسكي لاب المضادة لهجمات التصيد في منع أكثر من 107 ملايين محاولة لزيارة صفحات يُشتبه في قيامها


تقارير ومتابعات

يبحث المستهلكون المتميزون اليوم عن منتجات وخدمات رائدة تقدّم لهم تجارب ممتعة ومتميزة وتلبي متطلّباتهم على

   التعليقات

comments powered by Disqus
أخبار تقارير ومتابعات
جديد الأخبار

    أخبار تقارير ومتابعات


أعلنت Netmarble Corporation، إحدى أسرع شركات ألعاب الأجهزة الذكية نمواً على مستوى العالم، اليوم عن إطلاق التحديث الجديد للعبتها حرب البقاءLineage 2: الذي يضم " أكاديمية التحالف"،








    جديد الهواتف


تابعنا من خلال

الموقع متوفر بلغة أخرى
عربي | English



© موقع موبايلك 2018 جميع الحقوق محفوظة
© موقع موبايلك 2018 جميع الحقوق محفوظة
Powered By DevelopWay