التنظيف والرعاية اللاحقة وإدارة مخاطر ما بعد الحادثة ومشاركة المعلومات

حالة استخدام

إذا تم العثور على برمجيات ضارة أو حركة مرور ضارة على جهاز شخص مستهدف، فنحن بحاجة إلى تقديم توصيات علاجية لاحقة للرعاية أو توصيات مستهدفة للسماح للعميل بتحديد الخطوات التالية المناسبة.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

• تحديد طريقة التنظيف المناسبة لنوع البرمجيات الضارة أو مؤشر الاختراق المكتشف
• تنفيذ أو توجيه خطوات التنظيف التصحيحي، بما في ذلك إزالة آليات البقاء، وأدوات إزالة البرمجيات الضارة، وإعادة التشغيل، وإعادة الضبط إلى إعدادات المصنع
• تحديد المواقف التي قد لا يكون فيها التنظيف ممكنًا وقد يكون من الضروري تقديم المزيد من النصائح أو الإجراءات
• توثيق وحفظ النتائج

العرض

عندما تكتشف إصابة ببرمجيات ضارة أو مؤشرًا آخر على اختراق جهاز ما، ستحتاج إلى العمل مع مالك الجهاز المتأثر لإعادة أجهزته إلى حالة جيدة. يتطلب تقديم أفضل دعم مراعاة أهداف الشخص وفهم طبيعة التهديد الموجود على الأجهزة. قد يكون الشخص المصاب مهتمًا إما بالتخلص من البرمجيات الضارة في أسرع وقت ممكن حتى يتمكن من العودة إلى حياته وعمله أو بدلًا من ذلك قد يفضل استخدام جهاز آخر مع الاحتفاظ بالجهاز المصاب من أجل فحص ما حدث وربما من كان مسؤولًا عنه.

إزالة البرمجيات الضارة

إعادة تمكين ميزات أمان نظام التشغيل

في وقت سابق من مسار التعلّم هذا، ذكرنا بعض وسائل حماية نظام التشغيل المضمّنة وإذا كانت البرمجيات الضارة قادرة على العمل على نظام شخص مستهدف لمجرد تعطيل بعض أنواع الحماية هذه، فقد تساعد إعادة تمكينها في منع البرمجيات الضارة من العمل أو إلحاق أي ضرر آخر. لذلك يمكن إيقاف تشغيل بعض البرمجيات الضارة الأقل تعقيدًا أو حتى إزالتها بمجرد الدخول إلى إعدادات نظام التشغيل وإعادة تمكين الحماية. في حالة عدم تمكنك من إعادة تمكين هذه الحماية أو إذا تم تعطيلها مرة أخرى بعد مرور بعض الوقت، فهذا مؤشر على أن العملية الضارة تمنع عمل نظام التشغيل بشكل سليم وأن هناك حاجة إلى أعمال تنظيف إضافية أو إعادة الضبط إلى إعدادات المصنع. لاحظ أنه في بعض الأحيان قد تصادفك حالات تم فيها تعطيل حماية نظام التشغيل من أجل تثبيت البرمجيات المقرصنة والتي قد لا يقوم المستخدم بإبلاغك بها على الفور. من المفيد معرفة هذا السيناريو وتوجيه العميل خلال قرارات إدارة المخاطر وإيجاد بدائل أكثر أمانًا تحافظ على سلامة نظام التشغيل.

إعادة الضبط إلى إعدادات المصنع

غالبًا ما تكون إعادة تعيين إعدادات المصنع أبسط وأنظف طريقة لإزالة البرمجيات الضارة على جهاز معين وإذا قام المستخدم بعمل نسخة احتياطية من جميع البيانات التي يريد الاحتفاظ بها في موقع سحابي أو محرك أقراص احتياطي وكان قادرًا على إعادة تثبيت تطبيقاته الأكثر استخدامًا بعد إعادة ضبط المصنع، فهذا هو الخيار المفضل للتعامل مع البرمجيات الضارة. إذا لم يكونوا متأكدين من نسخ البيانات المهمة احتياطيًا، فيمكنك مساعدتهم في إكمال نسخة احتياطية محلية أو سحابية. لاحظ أنه قد يتم العثور على ملفات ضارة في ملفات احتياطية (على الرغم من أنها ستكون خاملة حتى يتم تنفيذها)، وبالتالي يُنصح بفحص مجلدات النسخ الاحتياطي باستخدام محرك مكافحة فيروسات حسن السمعة. لاحظ أنه في كثير من الأحيان لا يتم الاحتفاظ بنسخة احتياطية من التطبيق وتكوينات الجهاز الأخرى، اعتمادًا على أداة النسخ الاحتياطي المستخدمة. من الجيد دائمًا اختبار النسخ الاحتياطية، على سبيل المثال من خلال محاولة استعادة النظام بأكمله أو بعض الملفات الرئيسية منه قبل إجراء إعادة الضبط إلى إعدادات المصنع.

يُفضل العديد من محللي البرمجيات الضارة استخدام إعادة الضبط إلى إعدادات المصنع على أنواع أخرى من الإزالة، لأن هذا يمنحهم يقينًا أكبر بكثير بأنه لا توجد آثار للبرمجيات الضارة على أنظمة الشخص المستهدف. لا يزال هناك دائمًا خطر من أن برامج مكافحة الفيروسات أو الحماية المضمنة لأنظمة التشغيل لن تزيل جميع البرمجيات الضارة، خاصة إذا كانت جديدة أو نادرة وستكون إعادة الضبط إلى إعدادات المصنع أكثر فعالية في هذا الشأن. قد يكون الاستثناء الوحيد لهذا هو الجذور الخفية في الواجهة الموحّدة للبرامج الثابتة الموسّعة والبرمجيات الضارة التي تؤثر على البرامج الثابتة للجهاز بدلًا من نظام التشغيل وقد ذكرنا روابط بعض المقالات حول هذا الموضوع أدناه.

إزالة البرمجيات الضارة (وعندما لا يكون ذلك ممكنًا)

في بعض الأحيان لا تكون إعادة ضبط المصنع ممكنة بسبب قيود الوقت أو قيود التكنولوجيا أو راحة المستخدم مع الإجراء. حسب طبيعة البرمجيات الضارة ومدى فهمها، قد يكون من الممكن إزالتها من خلال الوسائل الآلية أو اليدوية. انظر قائمة النصائح الخاصة بالمنصة أدناه للحصول على إرشادات عامة. في بعض الحالات، قد تكون جهود إزالة البرمجيات الضارة غير فعالة، ومن الأمثلة على ذلك البرمجيات الضارة المضمّنة في نظام أندرويد أو الإصدارات مُخترقة الحماية أو المعطلة من نظام التشغيل (انظر قسم أندرويد أدناه لمزيد من التفاصيل). تُعدّ هجمات الأجهزة/البرامج الثابتة هي فئة أخرى من البرمجيات الضارة التي ستكون مقاومة لجهود التنظيف أو إعادة الضبط إلى إعادة الضبط إلى إعدادات المصنع، ولكنها تكون نادرة نسبيًا ولكن تحدث بشكل أساسي فقط على أجهزة الكمبيوتر (ويندوز/لينوكس) وبالتالي فهي تستحق أن نعرفها. يمكن اكتشاف بعضها بواسطة مضادات الفيروسات، على سبيل المثال، انظر مقالة إي سيت (ESET)حول موضوع الجذور الخفية في الواجهة الموحّدة للبرمجيات الثابتة الموسّعة الذي تم اكتشافها طليقة في عام 2018. تتوفر نصائح ونصائح إضافية من مايكروسوفت حول البحث عن تهديد الجذور الخفية في الواجهة الموحّدة للبرمجيات الثابتة الموسّعة من بليبنغ كمبيوتر BleepingComputer هنا.

نصائح خاصة بالمنصات

نظام أندرويد

• تتوفر إعادة الضبط إلى إعدادات المصنع من قائمة الإعدادات أو من وضع تمهيد الاسترداد.
• تُضمّن بعض البرمجيات الضارة/البرمجيات الدِعائية/ برمجيات التجسس داخل نظام تشغيل أندرويد الذي يوفره المصنع كما هو الحال في بعض أجهزة أندرويد منخفضة التكلفة والتي ليست من علامات تجارية معروفة. يرد مثال مفصل على ذلك في التقرير الفني من تأليف هيومن سيكيوريتي HUMAN Security on the BADBOX ad fraud botnet حول شبكة روبوتات بادبوكس (BADBOX) -البرمجية الاحتيالية الضارة لفتح الإعلانات. لسوء الحظ في معظم الحالات لا يمكن تنظيف هذه الأجهزة عن طريق إعادة ضبط المصنع ولا يمكن استبدالها من قبل المستخدم العادي ويجب استبدالها بأجهزة ذات علامة تجارية حسنة السمعة، ولكنها للأسف بسعر أعلى.
• تحقق مما إذا كان قد تم تمكين مصادر التطبيقات غير المحمية عن طريق التحقق مما إذا كان قد تم منح أي تطبيقات إذنًا لتثبيت ملفات APK من “مصادر غير معروفة” في قسم الإعدادات. إذا كانت الإجابة نعم، ابحث عن التطبيقات المشبوهة/غير المعروفة.
• يمكن إزالة التطبيقات المشبوهة أو الضارة.
• قم بتأمين أي حسابات غوغل مستخدمة للوصول إلى الجهاز.
• تأكد من تمكين غوغل بلاي للحماية وتحقق من نتائج الفحص (من غوغل بلاي -> القائمة -> بلاي بروتكت).
• تأكد من تحديث مكونات النظام وتثبيت تحديثات الأمان حيث يمكنك التحقق من تاريخ تحديثات أمان الجهاز من خلال البحث في الإعدادات -> حول الهاتف -> معلومات البرنامج (أو إصدار أندرويد) -> مستوى تصحيح أمان أندرويد.
• تحقق من وجود تحديثات من خلال النقر على تحديث نظام غوغل بلاي ولاحظ أن الأجهزة القديمة قد تتلقى تحديثات أمان محدودة.

آي أو إس/آيباد أو إس

• تُشير الأبحاث المنشورة إلى أن عمليات الاستغلال ضد أنظمة آي أو إس المباشرة (بما في ذلك حالات مثل بيغاسوس) لا تبقى بعد إعادة تشغيل الجهاز (ليس إعادة ضبط إلى إعدادات المصنع، وإنما تشغيل/إيقاف تشغيل بسيط للطاقة) لذا فإن إجراء إعادة التشغيل فكرة جيدة. نظرًا لأن الجهة الفاعلة في التهديد قد تعيد إصابة الجهاز في حالة ثغرة لا تحتاج تفاعل المستخدم، فمن المحتمل أن تكون إعادة التشغيل المنتظمة حكيمة كما هو الحال في وضع الإغلاق الوارد رابطه أدناه. يجب أن تراعي أن هذا المستوى من الهجوم لا يزال نادرًا وعالي التكلفة. لاحظ أن التطبيقات التي تم تكوينها أو تثبيتها بشكل ضار (مثل برمجيات المطاردة، أو العثور على وظائف هاتفي) أو حساب آبل آي دي مُخترق ستظل تؤثر على سلامة الجهاز لذا تابع القراءة للاطلاع على المزيد من الإجراءات أدناه.
• إلغاء تثبيت التطبيقات المشبوهة أو الضارة.
• يجب أن تراعي تمكين وضع الإغلاقLockdown Mode.
• تأكد من أن حساب آبل آي كلاود خاص ولا يمكن أن يصل إليه أي شخص آخر. يمكن لأي مستخدم آي أو إس استخدام تحقق سلامة آبل لتدقيق ما إذا كان بإمكان الآخرين الوصول إلى أي من حساباتهمApple’s Safety Check.
• تحقق ما إذا كان الجهاز مُخترق الحماية حيث تتضمن بعض النصائح التي تقدمها سيرتو سوفتوير (Certo Software) تحقق من سيديا (Cydia) أو سيليو (Sileo) أو استخدم تطبيق أمان سيرتو المجاني.
• تحقق من التسجيل (غير المرغوب فيه) في إدارة الأجهزة المحمولة (تحقق من الإعدادات -> عام -> ملفات التعريف).
• أجر إعادة ضبط المصنع باتباع هذا الدليل (سيؤدي ذلك إلى إزالة جميع الصور والرسائل والملفات على الهاتف وستضيع بشكل لا رجعة فيه إذا لم يتم نسخها احتياطيًا).

ويندوز

• يُعدّ إعادة ضبط المصنع هو الحل المفضل حيث ستحتوي معظم الأجهزة التي تم شراؤها مع ويندوز المثبتة مسبقًا على قسم استرداد يمكنك من خلاله إجراء إعادة ضبط المصنع أو “تحديث” نظام التشغيل
• يمكن أن يكون تشغيل برنامج مكافحة الفيروسات في “الوضع الآمن” لنظام التشغيل ويندوز أكثر فعالية في الحجر الصحي للإصابة المكتشفة. لكن قد يفتقد أيضًا البرمجيات الضارة “التي ليس لها ملفات” والتي تكون قيد العمل أثناء تشغيل نظام التشغيل العادي.
• تحقق من آليات بقاء البرمجيات الضارة باستخدام سيس إنترنالز أوتورنز وقم بتعطيلها وتأكيد عدم تمكينها بعد أنشطة التنظيف.
• يُوفر بعض منشئي برامج مكافحة الفيروسات “قرص إنقاذ” يسمح لك بالتمهيد في نظام مباشر مؤقت يمكنك من خلاله إجراء عمليات الفحص وأنشطة إزالة البرمجيات الضارة. تتوفر قائمة بالخيارات ذات السمعة الطيبة هنا من تك رادارTechRadar.
• تنبّه إلى أن العديد من أدلة “إزالة البرمجيات الضارة” لويندوز موجودة على الإنترنت ويبدو أنها مخصصة لأنماط برمجيات ضارة محددة لكن العديد منها عبارة عن أدلة عامة تروج لاستخدام أداة خاصة قد تكون في حد ذاتها برمجية غير مرغوب فيها.

نظام ماك أو إس

• يُنصح بإعادة ضبط المصنع، انظر تعليمات آبل هناتعليمات آبل.
• تحتوي برامج مكافحة الفيروسات التجارية على ميزة التنظيف والحجر الصحي.
• استخدم أدوات أوبجكتف سي[Objective-See tools ](https://objective-see.org/tools.html مثل نكنوك وكيكست فيور للتحقق من العمليات غير المعروفة والتي تحافظ على بقائها وملحقات النواة وتعطيلها.

إدارة المخاطر بعد الحادثة وتبادل المعلومات

تُعدّ مشاركة النتائج التي توصلت إليها مع عميلك والعمل معه لفهم كيفية حدوث الإصابة بالبرمجيات الضارة خطوة مهمة تسمح له بتحديث نهج إدارة المخاطر وفهم أهمية (أو عدم أهمية) الحادث الأمني.

سجّل أكبر عدد ممكن من الملاحظات الفنية التفصيلية ولقطات الشاشة والعينات (أو على الأرجح شفرات تجزئتها) وتحدث إلى عميلك حول نموذج التهديد الخاص به وإلى أي درجة يمكنك مشاركة النتائج التي توصلت إليها مع المجتمع الأوسع. تُعدّ مشاركة النتائج التي توصلت إليها ذات قيمة خاصة إذا وجدت تهديدًا جديدًا أو تهديدًا يستهدف أفراد المجتمع على وجه التحديد بناءً على عمل معين يقومون به؛ في هذه الحالة سيساعد التحدث إلى الآخرين حول شفرات تجزئة البرمجيات الضارة وناقلات الإصابة وآليات التخفيف على حماية الأشخاص الأكثر عرضة للخطر بسببها. يمكنك استخدام بعض المعلومات من قسم توثيق النتائج في مسار تعلّم كشف البنية التحتية الضارة وفحصها وتتبعها عند كتابة تقرير موجز وعندما تفكر في نشره.

اختبار مهارة

أنشئ مخطط انسيابي أو قائمة مرجعية يمكن أن تساعدك في إزالة البرمجيات الضارة من الجهاز والتأكد من عدم تفويت أي خطوات. ناقش هذا المخطط الانسيابي أو القائمة المرجعية مع أحد الزملاء أو المُرشِد للتأكد من دقته وعدم تفويتك لأي شيء.

اكتب فقرة موجزة تشرح فيها المواقف التي توصي بأن يقوم الأشخاص فيها الذين نجحت البرمجيات الضارة باستهدافهم بتغيير كلمات المرور إلى حساباتهم الرئيسية (البريد الإلكتروني، أو آي كلاود، أو وسائل التواصل الاجتماعي، أو العمل) بعد ذلك وكيف ستشرح ذلك لشخص تدعمه. واعرض هذه الفقرة على أحد النظراء أو مُرشِد ليتحقق مما إذا كان شرحك دقيقًا.

مصادر التعلّم