هناك وجهان لكل شيء

كيفية اكتشاف ومنع المهاجمين من استخدام هذه التقنيات المختلفة

يعد التشويش أسلوبًا مهمًا لحماية البرامج التي تحمل أيضًا مخاطر، خاصة عند استخدامها من قبل مؤلفي البرامج الضارة. وفي هذا المقال نتناول التشويش وآثاره والرد عليه.

ما هو التشويش؟

التشويش هو أسلوب جعل المعلومات صعبة القراءة عمدًا، خاصة في تشفير الكمبيوتر. إحدى حالات الاستخدام المهمة هي تشويش البيانات، حيث يتم جعل البيانات الحساسة غير قابلة للتعرف عليها لحمايتها من الوصول غير المصرح به. يتم استخدام طرق مختلفة لهذا الغرض.

على سبيل المثال، غالبًا ما يتم عرض الأرقام الأربعة الأخيرة فقط من رقم بطاقة الائتمان، بينما يتم استبدال الأرقام المتبقية بـ X أو العلامات النجمية. في المقابل، يتضمن التشفير تحويل البيانات إلى نموذج غير قابل للقراءة ولا يمكن فك تشفيره إلا باستخدام مفتاح خاص.

التشويش في الكود

عندما يتم حجب كود الكمبيوتر، يتم استخدام لغة معقدة ومنطق زائد عن الحاجة لجعل الكود صعب الفهم. الغاية؟ لخداع كل من القراء البشريين والبرامج مثل برامج فك التشفير. للقيام بذلك، يتم تشفير أجزاء من التعليمات البرمجية، أو إزالة البيانات التعريفية، أو استبدال الأسماء ذات المعنى بأسماء لا معنى لها. يعد إدخال كود غير مستخدم أو لا معنى له أيضًا ممارسة شائعة لإخفاء الكود الفعلي.

يمكن لما يسمى بـ obfuscator أتمتة هذه العمليات وتعديل كود المصدر بحيث يظل يعمل ولكن يصعب فهمه.

تتضمن طرق التشويش الأخرى ضغط البرنامج بأكمله، مما يجعل التعليمات البرمجية غير قابلة للقراءة، وتغيير تدفق التحكم لإنشاء منطق غير منظم يصعب الحفاظ عليه.

يعد إدخال رمز وهمي لا يؤثر على المنطق أو نتيجة البرنامج أمرًا شائعًا أيضًا.

غالبًا ما يتم الجمع بين العديد من التقنيات لتحقيق تأثير متعدد الطبقات وزيادة الأمان.

على الجانب الآخر

ولسوء الحظ، فإن التشويش لا يمثل حماية فحسب، بل يمثل أيضًا تحديًا. لا يتم استخدام التشويش من قبل مطوري البرامج الشرعيين فحسب، بل أيضًا من قِبل مؤلفي البرامج الضارة. الهدف من التشويش هو إخفاء هوية المهاجمين السيبرانيين، وتقليل مخاطر اكتشافهم، وإخفاء البرامج الضارة عن طريق تغيير التوقيع العام وبصمة الإصبع للشفرة الضارة – حتى لو كانت الحمولة تمثل تهديدًا معروفًا. التوقيع عبارة عن تجزئة، وهو تمثيل أبجدي رقمي فريد لعنصر ضار. غالبًا ما تتم تجزئة التوقيعات، ولكنها قد تكون أيضًا تمثيلاً قصيرًا آخر لرمز فريد داخل عنصر ضار.

وبدلاً من محاولة إنشاء توقيع جديد عن طريق تعديل البرامج الضارة نفسها، يركز التشويش على آليات النشر لخداع حلول مكافحة الفيروسات التي تعتمد على التوقيعات. قارن ذلك باستخدام التعلم الآلي، والتحليل التنبؤي، والذكاء الاصطناعي لتحسين الدفاعات.

يمكن أن يكون التشويش، أو تمويه التعليمات البرمجية، “جيدًا” و”سيئًا”. في حالة التشويش “السيئ”، يجمع المتسللون بين تقنيات مختلفة لإخفاء البرامج الضارة وإنشاء طبقات متعددة من التخفي. إحدى هذه التقنيات هي الحزم. هذه هي حزم البرامج التي تعمل على ضغط البرامج الضارة لإخفاء وجودها وجعل التعليمات البرمجية الأصلية غير قابلة للقراءة. ثم هناك متخصصو التشفير الذين يقومون بتشفير البرامج الضارة أو أجزاء من البرامج لتقييد الوصول إلى التعليمات البرمجية التي يمكن أن تنبه برامج مكافحة الفيروسات.

طريقة أخرى هي إدخال التعليمات البرمجية الميتة. يتضمن ذلك إدخال تعليمات برمجية غير مفيدة في البرامج الضارة لإخفاء مظهر البرنامج. يمكن للمهاجمين أيضًا استخدام تعديل الأوامر، والذي يتضمن تغيير رموز الأوامر في البرامج الضارة. يؤدي هذا إلى تغيير مظهر التعليمات البرمجية، ولكن ليس سلوكها.

إن التشويش في التعليمات البرمجية، كما رأينا، هو مجرد خطوة أولى لأنه بغض النظر عن مقدار العمل الذي يبذله المتسلل في تشويش التعليمات البرمجية لتجاوز EDR، يجب أن تتواصل البرامج الضارة داخل الشبكة ومع العالم الخارجي لتكون “ناجحة”. وهذا يعني أن الاتصالات يجب أن تكون غامضة أيضًا. وعلى النقيض من الماضي، عندما كان يتم فحص الشبكات بسرعة، وتجري محاولات فورية لاستخراج البيانات في نطاق تيرابايت مرة واحدة، يتواصل المهاجمون اليوم بهدوء أكبر حتى لا تضرب أجهزة الاستشعار والمفاتيح الخاصة بأدوات المراقبة.

على سبيل المثال، يتم الآن اتباع هدف الحصول على عناوين IP عبر المسح بشكل أبطأ للبقاء تحت الرادار. الاستطلاع، الذي تحاول فيه الجهات الفاعلة في مجال التهديد جمع البيانات حول ضحاياها المستهدفين، على سبيل المثال عبر بنية شبكتها، أصبح أيضًا أبطأ وأكثر غموضًا.

إحدى طرق التشويش الشائعة هي Exclusive OR (XOR). تقوم هذه الطريقة بإخفاء البيانات بحيث لا يمكن قراءتها إلا من قبل الأشخاص الذين يربطون الكود بـ 0x55 XOR. ROT13 هي خدعة أخرى يتم فيها استبدال الحروف برمز.

انفجارات من الماضي:

• أحد الأمثلة المعروفة على التشويش هو هجوم SolarWinds في عام 2020. استخدم المتسللون التشويش لتجاوز الدفاعات وإخفاء هجماتهم.
• مثال آخر مثير للاهتمام هو PowerShell، وهي إحدى أدوات Microsoft Windows التي يستغلها المهاجمون. تعمل البرامج الضارة التي تستخدم PowerShell على حجب أنشطتها من خلال تقنيات مثل تشفير السلسلة وتشويش الأوامر وتنفيذ التعليمات البرمجية الديناميكية والمزيد.
• مثال آخر هو هجوم XLS.HTML. هنا، استخدم المتسللون تقنيات تشويش معقدة لإخفاء أنشطتهم الضارة. لقد قاموا بتغيير طرق التشفير الخاصة بهم عشر مرات على الأقل خلال عام لتجنب اكتشافهم. تضمنت تكتيكاتهم نصًا عاديًا، وترميز الهروب، وترميز Base64، وحتى كود مورس.
• وفي تهديد آخر، استغل المهاجمون نقاط الضعف في ThinkPHP لتنفيذ تعليمات برمجية عن بعد على الخوادم. لقد قاموا بتثبيت غلاف ويب مخفي يسمى “Dama” والذي سمح بالوصول الدائم ومزيد من الهجمات.

لماذا لا ينبغي عليك الاعتماد على التوقيعات وحدها

إن الاكتشاف المعتمد على التوقيع يشبه الصديق القديم، فهو يمكن الاعتماد عليه عندما يتعلق الأمر بالتهديدات المعروفة. ولكن عندما يتعلق الأمر بتهديدات جديدة وغير معروفة، فقد يكون الأمر في بعض الأحيان في الظلام. فيما يلي بعض الأسباب التي تجعلك لا تعتمد فقط على التوقيعات:

1. مؤلفو البرامج الضارة هم أساتذة حقيقيون في لعبة الغميضة. يستخدمون تقنيات مختلفة لإخفاء برامجهم الضارة. حتى التغييرات الصغيرة في الكود يمكن أن تتسبب في فشل الكشف عن التوقيع.
2. مع البرامج الضارة متعددة الأشكال، تتصرف البرامج الضارة مثل الحرباء. يقوم بتغيير هيكله باستمرار لتجنب اكتشافه. في كل مرة يتم تنفيذها، يبدو الرمز مختلفًا.
3. التوقيعات الثابتة؟ ليست فرصة! تعتبر البرامج الضارة المتحولة أكثر صعوبة. فهو يتكيف أثناء التنفيذ ويغير الكود الخاص به ديناميكيًا، مما يجعل من المستحيل تقريبًا التقاط التوقيعات الثابتة.
4. كما أن ثغرات يوم الصفر تتصرف مثل “الطفل الجديد على الساحة”: فهي جديدة وغير معروفة، وليس لدى الأنظمة القائمة على التوقيع أي فرصة للتعرف عليها.
5. بالإضافة إلى ذلك، عندما يُرجع الحل القائم على التوقيع عددًا كبيرًا جدًا من النتائج الإيجابية الخاطئة، فإنه يصبح غير فعال. يؤثر عدد كبير جدًا من التنبيهات الكاذبة في الأعمال اليومية على فريق الأمان الخاص بك ويهدر موارد قيمة.

باختصار، يعد اكتشاف التوقيع، على سبيل المثال، في EDR، أداة مفيدة، ولكنه ليس كافيًا في حد ذاته لدرء جميع التهديدات. من الضروري وجود استراتيجية أمنية أكثر شمولاً تتضمن أيضًا التحليل السلوكي والتعلم الآلي والتقنيات الحديثة الأخرى.

لماذا تعد أدوات NDR مهمة جدًا؟

تشبه حلول IDS القائمة على الحالات الشاذة المحققين الذين يراقبون السلوك الطبيعي للنظام ويطلقون الإنذار عندما يكتشفون نشاطًا غير عادي. لكن أدوات اكتشاف الشبكة والاستجابة لها (NDR). بل اذهب إلى أبعد من ذلك: فهي تتكيف باستمرار لتظل متقدمة بخطوة على مشهد التهديدات السيبرانية المتغيرة وتوفر مستوى أعلى بكثير من الأمان من الأساليب التقليدية القائمة على التوقيع من خلال تحليلها وتكاملها المتقدمين. إنهم قادرون على اكتشاف التهديدات المعروفة وغير المعروفة والدفاع ضدها.

وإليك كيف يفعلون ذلك:

• التحليل السلوكي: أدوات NDR مراقبة حركة مرور الشبكة وتحليل السلوك. يكتشفون أنماطًا غير عادية يمكن أن تشير إلى اتصالات القيادة والتحكم (C&C)، مثل عمليات نقل البيانات غير المنتظمة.
• مراقبة البروتوكول: يقومون بفحص طلبات HTTP وحركة مرور DNS والبروتوكولات الأخرى للكشف عن السلوك أو الاتصالات المشبوهة التي قد تكون مرتبطة بالبرامج الضارة المبهمة.
• تحليل البيانات الوصفية: تقوم أدوات NDR بتحليل البيانات التعريفية للكشف عن الأنماط غير العادية التي تشير إلى نشاط مشبوه. تساعد نماذج التعلم الآلي في تحديد تقنيات التشويش النموذجية التي تظهر من خلال السلوك المشبوه في حركة مرور الشبكة.
• مراقبة الاتصالات على المدى الطويل: نظرًا لأن تشويش الاتصالات أصبح الآن أمرًا بالغ الأهمية بالنسبة للمتسللين، حيث أنهم يتبنون تقنيات أبطأ وأكثر تخفيًا لتجنب الكشف وجمع البيانات داخل الشبكات وخارجها، فمن المفيد أن ينظر NDR أيضًا إلى فترات زمنية أطول، على سبيل المثال 3 أيام، بالإضافة إلى قدرته على إجراء عمليات تشغيل مجمعة، على سبيل المثال، في غضون دقائق، من أجل الحصول على قيم مقارنة ومراقبة واكتشاف المخالفات، وقد يؤدي التنبيه في الوقت الفعلي إلى عدد كبير من التنبيهات إذا تم اكتشاف فحص باستخدام اختبار الاتصال كل دقيقة أو نحو ذلك. ولكن هل كل ping هجوم؟ بالتاكيد لا!
• ميتري ATT&CK وZEEK: توفر هذه البروتوكولات رؤى قيمة حول التهديدات التي تستخدم التشويش. يؤدي تكاملها مع أدوات NDR إلى تحسين قدرات اكتشاف التهديدات بشكل كبير.
• مشاركة بيانات التهديد: تقوم أدوات NDR بمشاركة بيانات التهديد مع حلول أمنية أخرى. يتيح ذلك اكتشافًا أسرع لتقنيات التشويش المعروفة والسلوك المشبوه. يتيح لهم التكامل مع أدوات EDR ربط الأنشطة المشبوهة على نقاط النهاية بحركة مرور الشبكة، مما يؤدي إلى تحسين تحليل الأمان بشكل كبير.

للمزيد عن لماذا يعد NDR أداة أمنية مهمة وكيف يكتشف حتى التهديدات الأكثر تقدمًا وأشكال التشويش المعقدة، قم بتنزيل المستند التقني الخاص بنا حول الكشف عن التهديدات المستمرة المتقدمة (APT).

لمعرفة كيفية عمل NDR في شبكة شركتك، وعلى وجه التحديد كيف تكتشف التهديدات المستمرة المتقدمة (APTs) وتستجيب لها، شاهد فيديو الكشف عن التهديدات المتقدمة المتقدمة (APT) المسجل لدينا.