لم تتطور البرمجيات الخبيثة المدمرة للممسحات إلا قليلاً منذ أن تسبب فيروس "شمعون" في شل حوالي 30,000 من أنظمة العملاء والخوادم في أرامكو السعودية منذ أكثر من 10 سنوات. ومع ذلك ، فإنه لا يزال يشكل تهديدًا قويًا كما كان دائمًا لمنظمات الشركات ، وفقًا لدراسة جديدة.
قام Max Kersten ، محلل البرامج الضارة في Trellix ، بتحليل أكثر من 20 عائلة ممسحة تهدد الجهات الفاعلة المنتشرة في هجمات مختلفة منذ بداية هذا العام - أي البرامج الضارة التي تجعل الملفات غير قابلة للاسترداد أو تدمر أنظمة الكمبيوتر بأكملها. وقد قدم ملخصًا للنتائج التي توصل إليها في حدث Black Hat في الشرق الأوسط وأفريقيا يوم الثلاثاء خلال جلسة "Wipermania".
مقارنة بين المساحات في البرية
تضمن تحليل كرستين أ مقارنة الجوانب الفنية للمساحات المختلفة في الدراسة بما في ذلك أوجه الشبه والاختلاف بينهما. بالنسبة لتحليله ، شمل كرستين المساحات التي استخدمها الفاعلون المهدّدون على نطاق واسع ضد الأهداف الأوكرانية ، خاصة قبل الغزو الروسي للبلاد ، بالإضافة إلى المساحات الأكثر عمومية في البرية.
أظهر تحليله تطور المساحات ، منذ شمعون، يختلف اختلافًا كبيرًا عن الأنواع الأخرى من أدوات البرامج الضارة. حيث ، على سبيل المثال ، أصبحت البرامج الضارة التي يستخدمها المهاجمون في حملات التجسس معقدة ومعقدة بشكل متزايد على مر السنين ، لم تتطور الماسحات إلا قليلاً ، على الرغم من أنها لا تزال مدمرة كما كانت دائمًا. الكثير من ذلك يتعلق بكيفية ولماذا يستخدمهم المهاجمون ، كما تقول كيرستن لـ Dark Reading.
على عكس برامج التجسس والبرامج الضارة الأخرى للهجمات المستهدفة والتجسس الإلكتروني ، لا يملك الخصوم حافزًا كبيرًا لتطوير وظائف جديدة لإخفاء المساحات على الشبكة بمجرد أن يتمكنوا من التسلل إليها في المقام الأول. بحكم التعريف ، تعمل المساحات على محو البيانات الموجودة على أجهزة الكمبيوتر أو الكتابة فوقها ، وبالتالي فهي صاخبة ويمكن رصدها بسهولة بمجرد إطلاقها.
يقول كيرستن: "نظرًا لأن سلوك الماسحة لا يجب أن يظل دون أن يلاحظه أحد في حد ذاته ، فلا يوجد حافز حقيقي للتطور". عادة فقط عندما تحتاج البرامج الضارة إلى البقاء مخفية لفترة طويلة من الزمن ، يطور المهاجمون تقنيات متقدمة ويقومون باختبار شامل قبل نشر برامجهم الضارة.
لكنه يلاحظ أن المساحات لا يجب أن تكون بهذه التعقيد ، ولا يتم اختبارها جيدًا. بالنسبة لمعظم الجهات الفاعلة في مجال التهديد باستخدام المساحات ، "تعمل الأساليب الحالية ولا تتطلب سوى القليل من التغيير والتبديل ، بخلاف إنشاء ممسحة جديدة لاستخدامها في الهجوم التالي".
وجدت Kersten أن الماسح يمكن أن يكون بسيطًا مثل برنامج نصي لإزالة جميع الملفات من القرص ، أو معقدًا مثل جزء متعدد المراحل من البرامج الضارة التي تعدل نظام الملفات و / أو سجلات التمهيد. على هذا النحو ، فإن الوقت الذي يستغرقه مؤلف البرامج الضارة لتطوير ممسحة جديدة قد يتراوح من بضع دقائق فقط إلى فترة أطول بكثير بالنسبة إلى المساحات الأكثر تعقيدًا ، كما يقول.
تهديد دقيق
تؤيد Kersten أن تضع فرق أمان المؤسسة بعض العوامل في الاعتبار عند تقييم الدفاعات ضد المساحات. الأهم هو فهم أهداف وغايات الفاعل في التهديد. على الرغم من أن كل من الماسحات وبرامج الفدية يمكن أن تعطل توفر البيانات ، فإن مشغلي برامج الفدية يميلون إلى أن يكون لديهم دوافع مالية ، في حين أن أهداف المهاجم الذي يستخدم برامج ضارة للممسحة تميل إلى أن تكون أكثر دقة.
أظهر تحليل كيرستن ، على سبيل المثال ، أن النشطاء والجهات الفاعلة في التهديد الذين يعملون لدعم المصالح الاستراتيجية للدولة القومية هم الذين نشروا المساحات في الهجمات الإلكترونية هذا العام بشكل أساسي. في العديد من الهجمات ، استهدفت الجهات الفاعلة التهديد منظمات في أوكرانيا ، لا سيما في الفترة التي سبقت الغزو الروسي للبلاد في فبراير.
تم تضمين أمثلة على المساحات التي تهدد الجهات الفاعلة المستخدمة في هذه الحملات WhisperGate و HermeticWiper، كلاهما تنكر في صورة برامج الفدية ولكنهما أضروا في الواقع بسجل التمهيد الرئيسي (MBR) على أنظمة Windows وجعلها غير قابلة للتشغيل.
تشمل المساحات الأخرى التي نشرها المهاجمون ضد أهداف في أوكرانيا هذا العام RURansom و IsaacWiper و CaddyWiper، وهي أداة حاولت مجموعة Sandworm الروسية سيئة السمعة نشرها على أنظمة Windows المرتبطة بشبكة الطاقة الأوكرانية. في العديد من هذه الهجمات ، يبدو أن الجهات الفاعلة التي نفذتها في الواقع قد استعانت بالمساحات من مؤلفين مختلفين.
هناك عامل آخر يجب على المستجيبين للأمان مراعاته وهو أن المساحات لا تحذف دائمًا الملفات من النظام الهدف ؛ في بعض الأحيان يمكن للمساحات أن تعطل النظام المستهدف عن طريق الكتابة فوق الملفات أيضًا. يمكن أن يحدث هذا فرقًا عند محاولة استرداد الملفات بعد هجوم ممسحة.
"غالبًا ما يؤدي حذف ملف إلى ترك الملف على القرص كما هو مع وضع علامة على الحجم على أنه مجاني للاستخدام في عمليات الكتابة الجديدة ، "كتب كيرستن في منشور مدونة حول بحثه ، والذي تم إصداره جنبًا إلى جنب مع حديثه في Black Hat في 15 نوفمبر. وهذا يجعل من الممكن استعادة الملفات في قال العديد من الحالات.
عندما تفسد أداة المساحات الملفات عن طريق الكتابة فوقها ، فقد يكون من الصعب استرداد الملفات. في منشور المدونة ، أشارت Kersten إلى WhisperGate wiper ، الذي أفسد الملفات عن طريق الكتابة المتكررة فوق الميجابايت الأولى من كل ملف باستخدام 0xCC. تستخدم المساحات الأخرى مثل RURansom مفتاح تشفير عشوائي لكل ملف بينما تقوم بعض المساحات بالكتابة فوق الملفات بنسخ من البرامج الضارة نفسها. في مثل هذه الحالات ، يمكن أن تظل الملفات غير قابلة للاستخدام.
يقول كيرستن إن الفكرة الرئيسية هي أن المنظمات تحتاج إلى الاستعداد للممسحات بالطريقة نفسها التي تستعد بها للإصابات بفيروس الفدية. يتضمن ذلك وجود نسخ احتياطية لجميع البيانات الهامة واختبار عمليات الاسترداد في كثير من الأحيان وعلى نطاق واسع.
"تقريبًا كل ممسحة قادرة على إتلاف النظام حتى النقطة التي يتم فيها فقد جميع الملفات أو أن الجهاز لن يعمل بشكل صحيح بعد الآن." ، يلاحظ. "نظرًا لسهولة إنشاء المساحات ، يمكن للمهاجمين إنشاء ماسحة جديدة يوميًا إذا لزم الأمر."
لذلك ، ينصب تركيز المنظمات على تكتيكات وتقنيات وإجراءات الخصم - مثل الحركة الجانبية - بدلاً من البرامج الضارة نفسها.
تقول كيرستين: "من الأفضل أن تستعد للاصطدام [من هجوم الماسحة] عندما لا يكون هناك أي شيء ، بدلاً من أن تُضرب بكامل قوتها دون إشعار مسبق."
- كوينسمارت. أفضل بورصة للبيتكوين والعملات المشفرة في أوروبا.انقر هنا لمعرفة ذلك
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/endpoint/wipermania-malware-potent-threat-since-shamoon
