برامج ضارة مختبئة في الصور؟ على الأرجح أكثر مما تعتقد

برامج ضارة مختبئة في الصور؟  على الأرجح أكثر مما تعتقد


البرامج الضارة والأمن الرقمي

هناك ما هو أكثر في بعض الصور مما تراه العين – فواجهتها التي تبدو بريئة يمكن أن تخفي تهديدًا شريرًا.

لقد أصبحت برامج الأمن السيبراني قادرة تمامًا على اكتشاف الملفات المشبوهة، ومع تزايد وعي الشركات بالحاجة إلى تعزيز وضعها الأمني ​​من خلال طبقات إضافية من الحماية، أصبحت الحيلة لتجنب الكشف ضرورية.

في جوهر الأمر، أي برنامج للأمن السيبراني قوي بما يكفي لاكتشاف معظم الملفات الضارة. ومن ثم، تبحث الجهات الفاعلة في مجال التهديد باستمرار عن طرق مختلفة لتجنب اكتشافها، ومن بين هذه التقنيات استخدام البرامج الضارة المخفية في الصور أو الصور.

برامج ضارة مختبئة في الصور

قد يبدو الأمر بعيد المنال، لكنه حقيقي تماما. البرامج الضارة الموجودة داخل الصور ذات التنسيقات المختلفة هي نتيجة إخفاء المعلوماتوهي تقنية إخفاء البيانات داخل ملف لتجنب اكتشافها. رصدت أبحاث ESET هذه التقنية التي تستخدمها مجموعة Worok للتجسس الإلكتروني، التي قامت بإخفاء تعليمات برمجية ضارة في ملفات الصور، وأخذت معلومات بكسل محددة منها فقط لاستخراج حمولة لتنفيذها. ضع في اعتبارك أن هذا قد تم على أنظمة مخترقة بالفعل، لأنه كما ذكرنا سابقًا، فإن إخفاء البرامج الضارة داخل الصور يتعلق بتجنب الكشف أكثر من الوصول الأولي.

في أغلب الأحيان، يتم توفير الصور الضارة على مواقع الويب أو وضعها داخل المستندات. قد يتذكر البعض برامج الإعلانات المتسللة: رمز مخفي في لافتات الإعلانات. وحده، لا يمكن تشغيل التعليمات البرمجية الموجودة في الصورة أو تنفيذها أو استخراجها بمفردها أثناء تضمينها. ويجب تسليم قطعة أخرى من البرامج الضارة تتولى استخراج التعليمات البرمجية الضارة وتشغيلها. هنا يختلف مستوى تفاعل المستخدم المطلوب، ويبدو أن مدى احتمالية ملاحظة شخص ما لنشاط ضار يعتمد بشكل أكبر على الكود المتضمن في عملية الاستخراج أكثر من اعتماده على الصورة نفسها.

البت (الأجزاء) الأقل (الأكثر) أهمية

إحدى الطرق الأكثر خداعًا لتضمين تعليمات برمجية ضارة في صورة ما هي استبدال الجزء الأقل أهمية من كل قيمة أحمر-أخضر-أزرق-ألفا (RGBA) لكل بكسل بقطعة صغيرة واحدة من الرسالة. أسلوب آخر هو تضمين شيء ما في قناة ألفا للصورة (تشير إلى عتامة اللون)، وذلك باستخدام جزء غير مهم فقط إلى حد معقول. بهذه الطريقة، تظهر الصورة بشكل أو بآخر مثل الصورة العادية، مما يجعل من الصعب اكتشاف أي اختلاف بالعين المجردة.

ومن الأمثلة على ذلك عندما عرضت شبكات الإعلان المشروعة إعلانات من المحتمل أن تؤدي إلى إرسال لافتة ضارة من خادم مخترق. تم استخراج كود JavaScript من اللافتة، مستغلًا ملف الثغرة الأمنية CVE-2016-0162 في بعض إصدارات Internet Explorer، للحصول على مزيد من المعلومات حول الهدف.

صورتان.  مع كون أحدهما أكثر ضبابية، حيث يخفي التعليمات البرمجية الضارة

قد يبدو أن كلتا الصورتين متماثلتان، لكن إحداهما تحتوي على تعليمات برمجية ضارة في قناة ألفا الخاصة بالبكسلات الخاصة بها. لاحظ كيف أن الصورة الموجودة على اليمين منقطة بشكل غريب.
(المصدر: أبحاث إسيت)

يمكن استخدام الحمولات الضارة المستخرجة من الصور لأغراض مختلفة. في حالة ثغرة Explorer، يتحقق البرنامج النصي المستخرج مما إذا كان يعمل على جهاز مراقب – مثل جهاز محلل البرامج الضارة. إذا لم يكن الأمر كذلك، فسيتم إعادة توجيهه إلى ملف عدة استغلال الصفحة المقصودة. بعد الاستغلال، تم استخدام الحمولة النهائية لتوصيل البرامج الضارة مثل الأبواب الخلفية، وأحصنة طروادة المصرفية، وبرامج التجسس، وسرقة الملفات، وما شابه ذلك.

ثلاث صور زرقاء، وآخرها يخفي بقعًا داكنة بها برامج ضارة
من اليسار إلى اليمين: صورة نظيفة، وصورة تحتوي على محتوى ضار، ونفس الصورة الضارة محسّنة لتسليط الضوء على التعليمات البرمجية الضارة (المصدر: أبحاث ESET)

كما ترون، الفرق بين الصورة النظيفة والخبيثة صغير نوعًا ما. بالنسبة لشخص عادي، قد تبدو الصورة الضارة مختلفة قليلاً، وفي هذه الحالة، يمكن أن يُعزى المظهر الغريب إلى ضعف جودة الصورة ودقتها، ولكن الحقيقة هي أن كل تلك البكسلات الداكنة الموضحة في الصورة على اليمين هي علامة على الكود الخبيث.

لا يوجد سبب للذعر

ربما تتساءل إذن عما إذا كانت الصور التي تراها على وسائل التواصل الاجتماعي تحتوي على تعليمات برمجية خطيرة. ضع في اعتبارك أن الصور التي يتم تحميلها على مواقع التواصل الاجتماعي عادةً ما يتم ضغطها وتعديلها بشكل كبير، لذلك سيكون من الصعب جدًا على جهة التهديد إخفاء التعليمات البرمجية المحفوظة بالكامل والعمل فيها. ربما يكون هذا واضحًا عند مقارنة كيفية ظهور الصورة قبل وبعد تحميلها على Instagram – عادةً ما تكون هناك اختلافات واضحة في الجودة.

والأهم من ذلك، أن إخفاء بكسل RGB وطرق إخفاء المعلومات الأخرى يمكن أن تشكل خطرًا فقط عندما تتم قراءة البيانات المخفية بواسطة برنامج يمكنه استخراج التعليمات البرمجية الضارة وتنفيذها على النظام. غالبًا ما تُستخدم الصور لإخفاء البرامج الضارة التي تم تنزيلها منها القيادة والتحكم (C&C) خوادم لتجنب الكشف عن طريق برامج الأمن السيبراني. في إحدى الحالات، تم استدعاء حصان طروادة زيرو تي، من خلال مستندات Word الموبوءة المرفقة برسائل البريد الإلكتروني، تم تنزيلها على أجهزة الضحايا. ومع ذلك، هذا ليس الجزء الأكثر إثارة للاهتمام. والأمر المثير للاهتمام هو أنه قام أيضًا بتنزيل إصدار مختلف من PlugX RAT (المعروف أيضًا باسم Korplug) – باستخدام تقنية إخفاء المعلومات لاستخراج البرامج الضارة من جهاز كمبيوتر. صورة بريتني سبيرز.

بمعنى آخر، إذا كنت محميًا من أحصنة طروادة مثل ZeroT، فلن تحتاج إلى الاهتمام كثيرًا باستخدامه لإخفاء المعلومات.

وأخيرًا، يعتمد أي كود استغلال يتم استخراجه من الصور على وجود ثغرات أمنية من أجل استغلال ناجح. إذا كانت أنظمتك مصححة بالفعل، فلن تكون هناك فرصة لاستغلال الثغرة؛ ومن ثم، فمن الجيد دائمًا تحديث أنظمة الحماية والتطبيقات وأنظمة التشغيل الخاصة بك على الإنترنت. يمكن تجنب الاستغلال عن طريق مجموعات الاستغلال عن طريق تشغيل برامج مصححة بالكامل واستخدام برامج موثوقة ومحدثة الحل الأمني.

تنطبق نفس قواعد الأمن السيبراني كما هو الحال دائمًا – والوعي هو الخطوة الأولى نحو حياة أكثر أمانًا عبر الإنترنت.



Source link

إرسال التعليق

تفقد ما فاتك