تقرير مكافي لابس الجديد يستعرض ثلاثين عاماً من التطورات التي شهدتها تقنيات المراوغة والتحايل
تم النشر في الثلاثاء 2017-06-20
كشفت مكافي لابس اليوم عن تقريرها الجديد تحت عنوان McAfee Labs Threats Report: June 2017 والذي يقدم دراسة واسعة حول أسلوب وطريقة عمل برمجية Fareit الخبيثة التي تقوم بجمع بيانات تسجيل الدخول الأمنية، كما يستعرض ثلاثين عاماً من التطورات التي شهدتها تقنيات المراوغة والتحايل التي يتم استخدامها من قبل صانعي البرمجيات الخبيثة، بالإضافة إلى كشف التقرير عن أساليب إخفاء المعلومات التي تُستخدم كتقنيات متطورة للمراوغة. ويلقي التقرير الضوء أيضاً على الهجمات الخبيثة التي تم الإبلاغ عنها ضمن كافة القطاعات ويكشف عن اتجاهات النمو التي تشهدها البرمجيات الضارة وبرمجيات الفدية الخبيثة وبرمجيات الأجهزة الجوالة الخبيثة وغيرها من التهديدات الأمنية خلال الربع الأول من 2017.
وقال فينسنت ويفر، نائب رئيس مكافي لابس: “هناك المئات، إن لم يكن الآلاف، من تقنيات التحايل والمراوغة التي يستخدمها قراصنة الإنترنت وصانعو البرمجيات الخبيثة ويمكنهم شراؤها بسهولة عن طريق الإنترنت المظلم أو الدارك نت، ويقومون باستخدامها ضد أدوات الحماية وكل من آلية الأمان “صندوق الرمل” وعمليات التحليل الأمنية. ويوضح لنا التقرير الخاص بهذا الربع من العام كيف تتطور تقنيات التحايل وتتحول من مجرد محاولات لإخفاء بعض التهديدات البسيطة التي يتم تنفيذها على نطاق ضيق، إلى إخفاء التهديدات المعقدة التي تستهدف بيئات العمل المؤسسية لفترات زمنية طويلة، بالإضافة إلى تحويل هذه التقنيات إلى نماذج جديدة كلياً مثل تقنيات التحايل التي تستهدف آليات الحماية القائمة على التعلم الآلي”.
30 عاماً من تقنيات التحايل التي تنشر البرمجيات الخبيثة
بدأ مطورو البرمجيات الخبيثة بتجربة مختلف طرق التهرب والتحايل على المنتجات الأمنية في بداية الثمانينات، وعندها استطاعت إحدى البرمجيات الخبيثة إخفاء نفسها عن طريق تشفير رمزها الخاص بشكل جزئي، مما جعل محتوى هذه البرمجية غير قابل للقراءة من قبل المحللين المتخصصين بأمن المعلومات. ويجمع مصطلح “تقنيات التحايل” كافة الأساليب المستخدمة من قبل البرمجيات الخبيثة لتجنب عمليات الكشف والتحليل الأمنية وقد صنفت مكافي لابس تقنيات التحايل هذه إلى ثلاث فئات أساسية وهي:
تقنيات التحايل ضد أدوات الحماية: وهي التي يتم استخدامها لتجنب محركات الكشف عن البرمجيات الضارة، والجدران النارية وبرمجيات احتواء التطبيقات أو غيرها من أدوات حماية بيئات العمل.
تقنيات التحايل ضد “صندوق الرمل”: والتي تستخدم للكشف عن عمليات التحليل التلقائي وتجنب المحركات التي تشير إلى سلوك البرمجيات الضارة، كما يمكن لهذه التقنيات معرفة ما إذا كانت تُراقب ضمن صندوق الرمل من خلال الكشف عن أية مفاتيح تسجيل أو ملفات أو أية عمليات متعلقة بالبيئات الافتراضية.
تقنيات التحايل ضد التحليل الأمني: وهي تستخدم للكشف عن المحللين الأمنيين وخداعهم، مثل الكشف عن أدوات الرصد والتحليل كبرامج Process Explorer أو Wireshark وبعض حيل الرصد الأمني وتحليل الحزم أو أدوات التشويش، وذلك بهدف تجنب الهندسة العكسية.
كما استعرض تقرير مكافي لابس يونيو 2017 بعض أقوى تقنيات التحايل والمراوغة والانطلاقة الواسعة التي تشهدها عمليات بيع هذه التقنيات على شبكة الإنترنت المظلم، وكيف استطاعت مجموعة واسعة من البرمجيات الخبيثة المتطورة الاستفادة من تقنيات التحايل والمراوغة، وما يمكن توقعه من تطورات في المستقبل من قبيل ظهور تقنيات التحايل القائمة على الذكاء الآلي أو تلك التي تعتمد على الأجهزة.
خفي ولا يمكن رؤيته: تهديد أمني يتم زرعه على طريقة الرسائل المخفية ستيغانوغرافي
ستيغانوغرافي أو Steganography هو فن أو علم إخفاء الرسائل السرية، وفي العالم الرقمي هو عملية إخفاء الرسائل في الصور أو المسارات الصوتية أو مقاطع الفيديو أو حتى الملفات النصية. وفي كثير من الأحيان، يتم استخدام هذا الفن رقمياً من قبل صانعي البرمجيات الخبيثة لتجنب اكتشافها من قبل أنظمة الحماية وقد كان أول استخدام معروف لعلم ستيغانوغرافي في البرمجية الخبيثة Duqu في عام 2011.
عند استخدام صورة رقمية، يتم إدراج المعلومات السرية المطلوبة من خلال خوارزمية تضمين محددة ومن ثم يتم نقل الصورة إلى النظام المستهدف، وهناك يتم استخراج المعلومات السرية والتحكم بها من خلال البرمجية الخبيثة. وغالباً من يكون من الصعب الكشف عن هذه الصورة المعدلة عن طريق العين البشرية أو حتى باستخدام تقنيات الحماية الأمنية. وتعتبر مكافي لابس طريقة ستيغانوغرافي الشبكية كأحدث تقنيات المراوغة والتحايل حيث يتم استخدامها ضمن حزمة بروتوكولات الإنترنت لإخفاء البيانات، ويشهد هذا الأسلوب انتشاراً واسعاً وذلك أن المهاجمين بإمكانهم إرسال كمية غير محددة من المعلومات ونشرها بكامل الشبكة من خلال استخدام هذه التقنية.
Fareit: برمجية سرقة بيانات الدخول الأسوأ سمعة
ظهرت برمجية Fareit الخبيثة لأول مرة في عام 2011 ومنذ ذلك الحين شهدت تطورات كبيرة ضمن سياقات متعددة بما في ذلك ناقلات الهجوم الجديدة والهندسة الداخلية المحسنة وطرق جديدة للتحايل والتهرب من عمليات التحليل والاكتشاف. وهناك إجماع متزايد على أن برمجية Fareit التي تستهدف بيانات الدخول هي الآن البرمجية الخبيثة الأسواً سمعة ومن المرجح أنها استُخدمت ضمن عملية الاختراق المتطورة التي استهدفت اللجنة الوطنية الديمقراطية قبل الانتخابات الرئاسية الأمريكية التي جرت عام 2016.
ويتم نشر برمجية Fareit من خلال آليات عديدة مثل رسائل البريد الإلكتروني للتصيّد الاحتيالي أو إصابة نظام أسماء النطاقات أو عن طريق برمجية exploit kits التي تستهدف خوادم الويب. ويمكن للضحية أن تستلم بريد سبام غير مرغوب به يحتوي على ملف وورد أو ملف جافا سكريبت أو حتى ملف أرشيفي مرفق، وبمجرد أن تقوم الضحية بفتح المرفق، تصيب برمجية Fareit النظام وتقوم بإرسال كافة البيانات الاعتمادية المسروقة إلى الخادم المتحكم بها ومن ثم تقوم بتحميل برامج ضارة إضافية إلى الجهاز المستهدف.
وقد تم اعتبار عملية اختراق اللجنة الوطنية الديمقراطية في 2016 كجزء من حملة البرمجيات الخبيثة التي عرفت باسم Grizzly Steppe، وقد كشفت مكافي لابس عن برمجية Fareit ضمن قائمة مؤشرات الهجوم التي تم نشرها في التقرير الخاص بهجمات Grizzly Steppe في الولايات المتحدة. ويُعتقد أن برمجية Fareit قد خُصصت للهجوم على اللجنة الوطنية الديمقراطية وتم إطلاقها عن طريق ملفات وورد خبيثة تم نشرها خلال حملة واسعة من البريد الإلكتروني المزعج.
وتشير المعلومات حول هذا الهجوم إلى وجود عناوين خاصة بخادم التحكم بالبرمجية الخبيثة Fareit لم يتم ملاحظتها في حالات أخرى من الهجمات التي نُفذت عن طريق هذه البرمجية، ومن المرجح أن تكون تقنيات أخرى قد استُخدمت جنباً إلى جنب مع برمجية Fareit في هجوم اللجنة الوطنية الديمقراطية بهدف سرقة حسابات البريد الإلكتروني أو بروتوكول نقل الملفات أو البيانات الاعتمادية الهامة. كما تشتبه مكافي لابس بقيام برمجية Fareit أيضاً بتحميل تهديدات متطورة أخرى مثل Onion Duke أو Vawtrak على أنظمة الضحايا لتنفيذ المزيد من الهجمات.
وأضاف ويفر بالقول: “مع تزايد اعتماد المستخدمين والشركات وحتى الحكومات على الأنظمة والأجهزة التي تحميها كلمات المرور فقط، فإن البيانات الاعتمادية الهامة ستبقى عرضة للسرقة وهدفاً مناسباً لمجرمي الإنترنت. وتتوقع مكافي لابس أن تشهد تقنيات سرقة كلمات المرور تطورات ملحوظة إلى أن يتم التحول إلى أدوات التحقق ذات المستويين وتطبيقها ضمن كافة الأنظمة المستخدمة. وتقدم لنا حملة البرمجيات الخبيثة Grizzly Steppe صورة واضحة عن الطرق الجديدة والمستقبلية التي سنواجهها”.
التهديدات الأمنية خلال الربع الأول من عام 2017
سجلت شبكة مكافي لابس الخاصة بمعلومات التهديدات العالمية خلال الربع الأول من 2017 تحولات كبيرة في معدلات نمو التهديدات الإلكترونية والهجمات على شبكة الإنترنت ضمن العديد من القطاعات على النحو التالي:
تهديدات جديدة: في الربع الأول من عام 2017، كان هناك 244 تهديد جديد كل دقيقة أي أكثر من 4 تهديدات في الثانية الواحدة.
حوادث أمنية: أحصت مكافي لابس 301 تهديد أمني تم الكشف عنه بشكل علني في الربع الأول، بزيادة قدرها 53% عمّا سُجل من حوادث في الربع الأخير من عام 2016، وقد شكلت قطاعات الصحة والتعليم والقطاع العام أكثر من 50 بالمئة من مجموع هذه التهديدات.
البرمجيات الخبيثة: شهدت البرمجيات الخبيثة الجديدة ازدياداً ملحوظاً في الربع الأول حتى وصلت إلى 32 مليون برمجية، وقد ازداد العدد الإجمالي للبرمجيات الخبيثة بنسبة 22% خلال الأرباع الأربعة الأخيرة لتصل إلى 670 مليون برمجية معروفة. وقد ازداد متوسط أعداد البرمجيات الخبيثة ربعياً خلال السنوات الأربع الماضية.
برمجيات الأجهزة الجوالة الخبيثة: تضاعفت أعداد البرمجيات الجوالة الخبيثة في آسيا خلال الربع الأول، وقد ساهم ذلك في زيادة معدلات العدوى العالمية بنسبة 57%. وقد ارتفع العدد الكلي لبرمجيات الأجهزة الجوالة الخبيثة بنسبة 79% خلال الأرباع الأربعة الأخيرة لتصل إلى 16.7 مليون برمجية. وكانت برمجية Android/SMSreg المساهم الأكبر في هذا النمو، وهي عبارة عن برمجية غير مرغوب بها من المرجح أنها انطلقت من الهند.
برمجيات نظام التشغيل Mac الخبيثة: شهدت برمجيات نظام Mac الخبيثة ازدياداً واضحاً خلال الأرباع الثلاثة الماضية وقد ساهم في هذا الازدياد انتشار برمجيات الإعلانات بشكل كبير. وعلى الرغم من أن أعداد هذه البرمجيات ماتزال منخفضة مقارنة بنظيراتها ضمن نظام التشغيل ويندوز، إلا أنها شهدت ارتفاعاً ملحوظاً بنسبة 53% خلال الربع الأول.
برمجيات انتزاع الفدية الخبيثة: شهدت أعداد هذه البرمجيات ازدياداً ملحوظاً خلال الربع الأول أيضاً ويرجع ذلك بشكل أساسي إلى هجمات الفدية Congur التي استهدفت الأجهزة العاملة بنظام أندرويد. وقد ارتفع العدد الإجمالي لهذه البرمجيات بنسبة 59% خلال الأرباع الأربعة الماضية ليصل إلى 9.6 مليون برمجية معروفة.
رسائل البوت نت المزعجة: أُلقي القبض على المدبر الرئيسي لبرمجية البوت نت Kelihos في إسبانيا في شهر أبريل الماضي، وكانت هذه البرمجية لسنوات عديدة مسؤولة عن ملايين الرسائل المزعجة التي حملت البرمجيات المصرفية الخبيثة وبرمجيات طلب الفدية. وقد أقرت وزارة العدل الأمريكية بالتعاون الدولي ضد هذه البرمجية بين الولايات المتحدة وسلطات أجنبية أخرى ومع الشركة الأمنية Shadow Server Foundation ومع عدة شركات تصنيع ضمن القطاع.