كيف تعمل البرمجيات الضارة وأنواعها المختلفة

حالة استخدام

كي نبدأ في العمل على البرمجيات الضارة، نحتاج أولًا إلى التعرف على أنواعها المختلفة. حيث تتصرف الفيروسات وبرمجيات التجسس والأبواب الخلفية وبرمجيات الفدية والبرمجيات الدِعائية بشكل مختلف وتُمثل دوافع مختلفة، وتساعد المعرفة هذه المدافع على تصنيف نوع البرمجيات الضارة المكتشفة.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارس قادرًا على القيام بما يلي:

• التفريق بين مختلف أنواع البرمجيات الضارة
• فهم ما يمكن أن تفعله البرمجيات الضارة
• فهم كيف تبدأ إصابات البرمجيات الضارة
• شرح ماهية مؤشرات الاختراق

العرض

بشكل عام تُعدّ البرمجيات الضارة هي أي برنامج يستخدم للقيام بأشياء غير مصرّح بها على كمبيوتر المستخدم أو جهازه المحمول. تحتوي ويكيبيديا على مقدمة جيدة إلى البرمجيات الضارة بشكل عام.

كيف تعمل البرمجيات الضارة؟

ويمكن للبرمجيات الضارة أن تفعل أي شيء يمكن لأي برنامج سليم القيام به ولكن يوجد عدد من القدرات المشتركة بين البرمجيات الضارة وتوجد أنواع برمجيات ضارة أحادية الغرض برمجيات أخرى متعددة القدرات. تشمل القدرات المستخدمة بشكل متكرر ما يلي:

• مسح البيانات أو تشفيرها (برمجيات الفدية): غالبًا ما يكون مسؤولًا عنها مهاجمون لديهم دوافع مالية وتقوم هذه البرمجيات الضارة بالاستحواذ على جهاز الكمبيوتر الخاص بالشخص المستهدف وتحرمه من الوصول إلى بياناته حتى يدفع فدية.
• سرقة البيانات: يمكن للبرمجيات الضارة إرسال البيانات بشكل انتقائي أو عشوائي من جهاز الشخص المستهدف إلى جهاز كمبيوتر يتحكم فيه المهاجم، ويمكن أن تستخدم من تلقاء نفسها أو بالاقتران مع برمجيات الفدية.
• استخدام الموارد غير المصرح به: غالبًا ما يستخدم المهاجمون ذوو الدوافع المالية مجموعات من أجهزة الكمبيوتر المخترقة لتنفيذ إجراءات تشمل تعدين العملات المشفرة أو إرسال رسائل غير مرغوب فيها أو تنفيذ هجمات حجب الخدمة.
• السيطرة على متصفح الويب الخاص بالمستخدم: يمكن لبعض البرمجيات الضارة إدراج الإعلانات في صفحات الويب أثناء تصفح المستخدم لها وجمع إيرادات الإعلانات. يمكن لغيرها سرقة كلمات المرور أو ملفات تعريف ارتباط الجلسة (ملف تعريف الارتباط الذي يصادق هويتك عند تسجيل الدخول إلى حسابك) مما يسمح للمهاجمين بالوصول إلى حسابات الشخص المستهدف على مواقع الويب. ستقوم بعض البرمجيات الضارة المخصصة للسرقة بتسريب كلمات المرور وملفات تعريف الارتباط وأنواع البيانات الحساسة الأخرى من الجهاز ثم تقوم بحذف ذاتها في محاولة لمحو أي آثار إصابة.
• جمع معلومات حول نشاط المستخدم: ستحاول البرمجيات الضارة الأكثر تطورًا بجمع معلومات حول أنشطة الشخص المستهدف، مثل تسجيل الفيديو أو الصوت، والتقاط كتابة المستخدم وتسجيل موقع الجهاز المحمول وما إلى ذلك. غالبًا ما يستخدم هذا للتجسس أو المراقبة أو الابتزاز.
• التحكم التفاعلي أو شبه التفاعلي: تتمتع البرمجيات الضارة الأكثر تطورًا بقدرات ذات أغراض العامة تسمح للمهاجم باستخدام جهاز الشخص المستهدف لأنشطة غير كتابية. يمكن للمهاجم إرسال أوامر عامة عبر خادم الأوامر والتحكّم أو الاتصال المباشر وستقوم البرمجية الضارة بتشغيل الأوامر على جهاز الشخص المستهدف وإرجاع النتائج إلى المهاجم، وغالبًا ما يُستخدم هذا على أهداف عالية القيمة أو لشن المزيد من الهجمات داخل الشبكة.

هذه القائمة أعلاه ليست شاملة، ولكنها تحدد قدرات البرمجيات الضارة الأكثر شيوعًا. للاطلاع على نظرة عامة شاملة عن أهم البرمجيات الضارة التي اكتشفت في العام السابق، راجع منشور مدونة باتريك واردل (Patrick Wardle) على ذا ماك مالوير The Mac Malware of 2023. في حين يصف هذا المنشور العديد من المفاهيم التي سنغطيها لاحقًا خلال مسار التعلّم هذا (مثل عمليات فحص فايرستوتال (VirusTotal)) يوفر مقدمة رائعة ونظرة عامة حول عالم البرمجيات الضارة.

تُعدّ حزمة بيغاسوس (Pegasus) من إن إس أو غروب (NSO Group) المصممة خصيصًا للمراقبة السرية إحدى أكثر البرمجيات الضارة شُهرة، وتُسرد قدراتها في وثيقة المبيعات هذه من مجموعة إن إس أوsales document from the NSO Group.

نُوصي بشدة بقراءة الفصل 5 من الدليل الميداني للاستجابة لحوادث المجتمع المدني ووسائل الإعلام للحصول على نظرة عامة ذات صلة بموضوع البرمجيات الضارة والمفاهيم ذات الصلة، بما في ذلك:

• طمس التعليمات البرمجية
• أنواع البرمجيات الضارة
• البقاء
• • سلاسل الإصابة
• اتصالات الأوامر والتحكم
• برامج مكافحة الفيروسات
• الثغرات والاختراقات

كيف تُصاب الأجهزة المستهدفة؟

يجب أن تصل البرمجيات الضارة إلى جهاز الشخص المستهدف بطريقة أو بأخرى، وتتراوح طرق القيام بذلك من خداع المستخدمين لتشغيل البرمجيات الضارة حتى اختراق البرامج والخدمات المعرضة للخطر، بما في ذلك الهجمات الفعلية التي لا تحتاج تفاعل المستخدم.

طرق إصابة أنظمة تشغيل ويندوز وماك أو إس ولينوكس

1.تشغيل (أو تنفيذ) البرمجيات الضارة التي يتم تلقيها مباشرة عبر هجمات الانتحال بالهندسة الاجتماعية 1.التصيد الاحتيالي عبر البريد الإلكتروني والرسائل النصية القصيرة وواتسآب وما إلى ذلك. 2.البرمجيات الضارة المخفية بشكل برمجيات مشروعة، مثل البرمجيات المقرصنة 3. نسخ البرمجيات الضارة من أقراص تخزين يو إس بي وما شابهها 2.المستندات التي تحتوي على برمجيات ضارة مضمّنة فيها، في الغالب تكون مستندات مايكروسوفت أوفيس القديمة ولكن تشمل أيضًا على تنسيقات مثل ملفات بي دي إف وصفحات الويب وما إلى ذلك. 3.المستندات وصفحات الويب التي تستغل الأخطاء في البرامج لتثبيت البرمجيات الضارة: تتحايل على الضوابط الأمنية المضمّنة في التطبيقات ونظام التشغيل 4.الهجمات التي لا تحتاج إلى تفاعل المستخدم“Zero-click” attacks (مجانًا، باللغة الإنجليزية) التي لا تتطلب أي تفاعل من المستخدم على الإطلاق، ولكنها تسمح للمهاجم بمهاجمة تطبيق أو نظام تشغيل بشكل مباشر وتؤثر على كل من أنظمة تشغيل سطح المكتب والهاتف المحمول.

بمجرد حدوث الاختراق الأولي، ستمر معظم البرمجيات الضارة بعدة مراحل إصابةmultiple stages of infection (مجانًا، باللغة الإنجليزية).

طرق إصابة آي أو إس وأندرويد

تتميز أنظمة تشغيل الأجهزة المحمولة ببنية مختلفة قليلًا عن أنظمة سطح المكتب عادة ما تكون أكثر تأمينًا وتقييدًا لنوع التعليمات البرمجية التي يمكن تشغيلها عليها. يعني ذلك أن البرمجيات الضارة أيضًا تسلك مسارات وتُطبق طرق إصابة مختلفة قليلًا. تحقق من قسم بنية أنظمة الهواتف الذكية في دليل التحليل الجنائي للجوال للاطلاع على نظرة عامة جيدة.

تسمح تكوينات آي أو إس وأندرويد القياسية للمستخدم فقط بتشغيل البرامج التي تم تنزيلها من متاجر التطبيقات الرسمية، وتُثبت البرمجيات الضارة لتلك المنصات إما من خلال متجر التطبيقات ذلك (مما يعني أنه لم يتم اكتشافها أثناء عمليات تدقيق أمان آبل أو غوغل (Google)) أو من خلال استغلال الثغرات في آي أو إس وأندرويد التي تمنع تشغيل التعليمات البرمجية غير المصرح بها. خلاف ذلك يستخدم بعض منشئي البرمجيات الضارة أيضًا الانتحال بالهندسة الاجتماعية لإقناع الأشخاص المستهدفين بتثبيت ملفات التعريف الضارة أو تكوينات الأجهزة الأخرى.

البقاء

ستكون معظم البرمجيات الضارة التي تصادفها في عملك من النوع الذي يحاول البقاءأو قادرة على بدء التشغيل تلقائيًا في كل مرة يقوم فيها الشخص المستهدف بتسجيل الدخول أو إعادة تشغيل نظامه. ويحتوي كل نظام تشغيل على آليات تقوم تلقائيًا بتشغيل برنامج معين عند تسجيل الدخول أو في الأوقات المجدولة أو عند حدوث شيء ما (على سبيل المثال، عند إجراء اتصال شبكة جديد أو إطلاق برنامج).

يمكن أن تستخدم البرمجيات الضارة مجموعة واسعة من تقنيات البقاء بعضها بسيط إلى حد ما (مثل إضافة نفسها إلى قائمة البرامج التي تعمل تلقائيًا عند تسجيل الدخول)، وغيرها أكثر تعقيدًا تستغل ميزات نظام التشغيل المتخصصة. إذا كنت ترغب في معرفة المزيد عنها يمكنك قراءة هذه الدراسة المتعمّقة في الموضوع و هذه القائمة المتقدمة والشاملة لتقنيات البقاء. تتضمن العديد من هذه التقنيات تحليلًا متقدمًا يخرج قليلًا عن نطاق مسار التعلّم هذا، وفي الوقت نفسه من الجيد أن يكون لديك فكرة عامة عن ماهية البقاء والآليات التي يمكن استخدامها.

لن تهدف بعض البرمجيات الضارة إلى البقاء وتقوم بدلًا من ذلك بالعمل واستخراج البيانات ثم الاختفاء بعد تسجيل الخروج أو إعادة التشغيل. إذا أراد المهاجمون استخدام قدرات البرمجيات الضارة مرة أخرى، فما عليهم سوى إعادة تثبيتها على نظام الشخص المستهدف. في حين أن هذا يمكن أن يحد من الفترة التي تكون فيها البرمجيات الضارة نشطة على النظام وبالتالي البيانات التي تجمعها، إلا أنه يجعل كشف البرمجيات الضارة أكثر صعوبة لأنه يترك آثارًا أقل على النظام.

مؤشرات الاختراق

أثناء عملية التثبيت وتنفيذ الأنشطة الضارة، تترك البرمجيات الضارة مؤشرات اختراق التي في الغالب تُستخدم لتحديد أنواع معينة من البرمجيات الضارة، ويمكن أن تتضمن مؤشرات اختراق شفرة التجزئة التشفيرية التي سنغطيها لاحقًا في مسار التعلّم هذا والتي تُمثل ملفات قابلة للتنفيذ محددة ويمكن أن تكون أيضًا اتصالات بخدمات شبكة أو حركة مرور شبكة معينة أو أنماط تنفيذ وما إلى ذلك.

للاطلاع على ملخص قصير لماهية مؤشرات الاختراق وما تبدو عليه راجع الصفحات 2-4 من مؤشرات الاختراق من الدليل الميداني للاستجابة لحوادث المجتمع المدني ووسائل الإعلام.

للاطلاع على مناقشة مطوّلة حول مؤشرات الاختراق واستخداماتها في الاستجابة للحوادث، تابع هذه الندوة عبر الإنترنت التي تقدمها سي آي إس إيهthis webinar by CISA (الإنجليزية، 46 دقيقة).

تحقق من مؤشرات الاختراق الموضّحة في الصفحة 52 من تقرير منظمة العفو الدولية هذا في مقالة حول برمجيات التجسس التجارية القوية والتي تتكون في الغالب من أسماء النطاقات التي تم استخدامها كبنية أساسية خلال حملة البرمجيات الضارة هذه. بعد القيام بذلك، ألقِ نظرة على هذه الصفحةالتي تجمع مؤشرات الاختراق من مختلف الفحوص التي أجراها برنامج التكنولوجيا لدى منظمة العفو الدولية.

هناك العديد من الطرق المختلفة لتحديد مؤشرات الاختراق: وتشمل البحث في سجلات الشبكة لمعرفة ما إذا كان أي جهاز قد حاول الاتصال بمجال معين، والتحقق مما إذا كانت أي ملفات على الجهاز تتطابق مع شفرات تجزئة معينة. إذا كنت ترغب في معرفة المزيد عنها، فإننا نوصي بالاطلاع على تلك المقالات من مايكروسوفتMicrosoft وفورتينيت Fortinet.

البرمجيات الضارة المعروفة مقابل غير المعروفة

ستكون الغالبية العظمى من إصابات البرمجيات الضارة التي ستواجهها في حياتك المهنية ناتجة عن برمجيات ضارة يعرفها المجتمع، ويعني ذلك أن شخصًا آخر قد عثر بالفعل على هذه البرمجيات الضارة وشارك مؤشرات الاختراق أو عينات منها مع محركات فحص البرمجيات الضارة. لكن يواصل المجرمون الإلكترونيين كتابة برمجيات ضارة جديدة وتكييف البرامج الحالية. لذلك توجد دائمًا فرصة ضئيلة لأن تكون الأجهزة التي تفحصها مصابة ببرمجيات ضارة لم يتم توثيقها بعد. إذا كنت تشعر بالقلق بأن هذا قد يكون هو الحال، فإننا نوصي بالتحقق من مسار تعلم تحليل البرمجيات الضارة والذي يرشدك حول كيفية تحليل العينات غير المعروفة لمعرفة ما إذا كانت ضارة.

كما أنه لم تُوثق جميع البرمجيات الضارة التي تم التعرف عليها على نطاق واسع. قد تحتوي العديد من العينات التي يمكن العثور عليها على مواقع الويب مثل مالوير بازار (MalwareBazaar) على مؤشرات اختراق مرتبطة بها وتعرف بأنها ضارة، ولكن قد لا يكون المحللون قد كتبوا ما تفعله هذه البرمجيات الضارة بالضبط. إذا وجدت عينة أشار إليها الآخرون على أنها ضارة ولكنها مع ذلك غير موثّقة بشكل كافٍ وترغب في معرفة المزيد حول كيفية عملها وما تفعله، فاتبع بعض الأدلة على مسار تعلّم التحليل.

الممارسة

خصص بعض الوقت لإلقاء نظرة على قائمة البرمجيات الضارة التي قُدمت مؤخرًا إلى مالوير بازارrecently submitted malware. اقرأ أوصاف وتعليقات عدد من عينات البرمجيات الضارة ولاحظ الشكل الذي تتخذه وآلية التسليم التي تستخدمها وما شابه ذلك. تحتوي بعض عينات البرمجيات الضارة على تعليقات مرفقة بها، تحقق منها أيضًا. لاحظ أنه لن تحتوي جميع عينات البرمجيات الضارة على تفاصيل مثل مؤشرات الاختراق أو آليات التسليم.

لاحظ أن مالوير بازار يحتوي أيضًا على بعض التفاصيل مثل شفرات التجزئة التي تغطى فقط في المراحل اللاحقة من مسار التعلّم هذا.

لا تُنزل أي عينات في هذه اللحظة ويكفي فقط إلقاء نظرة سريعة على أوصاف العينة في هذه المرحلة.

اختبار مهارة

من خلال العمل مع نظير أو مُرشِد، ابحث عن تقريرين أو ثلاثة تقارير تصف إصابات البرمجيات الضارة لمنصة تختارها، وتأكد من أن هذه التقارير تتضمن مؤشرات الاختراق. إذا لم تتمكن من العثور على أي تقارير، يمكنك فقط قراءة أحد ما يلي:

• هترات (HotRat): مخاطر تنزيل البرامج غير القانونية والبرنامج النصي المكتوب بلغة أوتو هوت كي (AutoHotkey) المخفي داخلها HotRat: The Risks of Illegal Software Downloads and Hidden AutoHotkey Script Within
• إيرث بريتا (Earth Preta) والتصيد الاحتيالي الموجّه إلى الحكومات في جميع أنحاء العالمEarth Preta Spear-Phishing Governments Worldwide
• فيروس حصان طروادة الذي يتيح الوصول عن بُعد الجديد المسمى شوغر غوست (SugarGh0st) يستهدف حكومة أوزبكستان وكوريا الجنوبيةNew SugarGh0st RAT targets Uzbekistan government and South Korea
• (هذا تقرير طويل ولكن يمكنك الاطلاع عليه فقط إذا كان لديك الصبر الكافي) تقرير برنامج التكنولوجيا لدى منظمة العفو الدولية التقني عن ملفات المفترسAmnesty Tech report on Predator

أجب عن الأسئلة التالية لأحد تلك التقارير:

• ماذا تفعل هذه البرمجيات الضارة؟
• كيف لا تزال البرمجيات الضارة تصل إلى النظام؟ هل يستغل خطأ موجود ليتم تثبيته؟ هل يتطلب الأمر تدخل المستخدم للتثبيت؟
• ما هي مؤشرات الاختراق لهذا البرمجية الضارة؟ ما الخطوات التي يمكن أن نتخذها لتحديد مؤشرات الاختراق تلك على نظام أو شبكة مصابة؟

ناقش إجاباتك على كل هذه الأسئلة مع نظيرك أو مرشدك.

موارد التعلّم