• الرئيسة
    منظمة سام
    عودة للرئيسة
  • 02/04/2024
    •  https://dg.samrl.org/l?a5220
    كيف يقوم القراصنة بإخفاء البرامج ضارة في الصور العادية؟
    الحقوق الرقمية |

    هناك ما هو أكثر في بعض الصور مما تراه العين - فواجهتها التي تبدو بريئة يمكن أن تخفي تهديدًا شريرًا.

    بواسطة: إسيت

    لقد أصبحت برامج الأمن السيبراني قادرة تمامًا على اكتشاف الملفات المشبوهة، ومع تزايد وعي الشركات بالحاجة إلى تعزيز وضعها الأمني ​​من خلال طبقات إضافية من الحماية، أصبحت الحيلة لتجنب الكشف ضرورية.

    في جوهر الأمر، أي برنامج للأمن السيبراني قوي بما يكفي لاكتشاف معظم الملفات الضارة. ومن ثم، تبحث الجهات الفاعلة في مجال التهديد باستمرار عن طرق مختلفة لتجنب اكتشافها، ومن بين هذه التقنيات استخدام البرامج الضارة المخفية في الصور أو الصور.

    برامج ضارة مختبئة في الصور
    قد يبدو الأمر بعيد المنال، لكنه حقيقي تماما. البرامج الضارة الموضوعة داخل صور ذات تنسيقات مختلفة هي نتيجة إخفاء البيانات ، وهي تقنية إخفاء البيانات داخل ملف لتجنب اكتشافها. رصدت أبحاث ESET هذه التقنية التي تستخدمها مجموعة Worok للتجسس الإلكتروني، التي قامت بإخفاء تعليمات برمجية ضارة في ملفات الصور، وأخذت معلومات بكسل محددة منها فقط لاستخراج حمولة لتنفيذها. ضع في اعتبارك أن هذا قد تم على أنظمة مخترقة بالفعل، لأنه كما ذكرنا سابقًا، فإن إخفاء البرامج الضارة داخل الصور يتعلق بالتهرب من الاكتشاف أكثر من الوصول الأولي.

    في أغلب الأحيان، يتم توفير الصور الضارة على مواقع الويب أو وضعها داخل المستندات. قد يتذكر البعض برامج الإعلانات المتسللة: رمز مخفي في لافتات الإعلانات . وحده، لا يمكن تشغيل التعليمات البرمجية الموجودة في الصورة أو تنفيذها أو استخراجها بمفردها أثناء تضمينها. ويجب تسليم قطعة أخرى من البرامج الضارة تتولى استخراج التعليمات البرمجية الضارة وتشغيلها. هنا يختلف مستوى تفاعل المستخدم المطلوب، ويبدو أن مدى احتمالية ملاحظة شخص ما لنشاط ضار يعتمد بشكل أكبر على الكود المتضمن في عملية الاستخراج أكثر من اعتماده على الصورة نفسها.

    البت (الأجزاء) الأقل (الأكثر) أهمية
    إحدى الطرق الأكثر خداعًا لتضمين تعليمات برمجية ضارة في صورة ما هي استبدال الجزء الأقل أهمية من كل قيمة أحمر-أخضر-أزرق-ألفا (RGBA) لكل بكسل بقطعة صغيرة واحدة من الرسالة. أسلوب آخر هو تضمين شيء ما في قناة ألفا للصورة (تشير إلى عتامة اللون)، وذلك باستخدام جزء غير مهم فقط إلى حد معقول. بهذه الطريقة، تظهر الصورة بشكل أو بآخر مثل الصورة العادية، مما يجعل من الصعب اكتشاف أي اختلاف بالعين المجردة.

    ومن الأمثلة على ذلك عندما عرضت شبكات الإعلان المشروعة إعلانات من المحتمل أن تؤدي إلى إرسال لافتة ضارة من خادم مخترق. وتم استخراج كود JavaScript من اللافتة، مستغلًا الثغرة الأمنية CVE-2016-0162 الموجودة في بعض إصدارات Internet Explorer، للحصول على مزيد من المعلومات حول الهدف.

    يمكن استخدام الحمولات الضارة المستخرجة من الصور لأغراض مختلفة. في حالة ثغرة Explorer، يتحقق البرنامج النصي المستخرج مما إذا كان يعمل على جهاز مراقب - مثل جهاز محلل البرامج الضارة. إذا لم يكن الأمر كذلك، فسيتم إعادة توجيهه إلى الصفحة المقصودة لأدوات الاستغلال . بعد الاستغلال، تم استخدام الحمولة النهائية لتوصيل البرامج الضارة مثل الأبواب الخلفية، وأحصنة طروادة المصرفية، وبرامج التجسس، وسرقة الملفات، وما شابه ذلك.

    قد تلاحظ أن الفرق بين الصورة النظيفة والخبيثة صغير نوعًا ما. بالنسبة لشخص عادي، قد تبدو الصورة الضارة مختلفة قليلاً، وفي هذه الحالة، يمكن أن يُعزى المظهر الغريب إلى ضعف جودة الصورة ودقتها، ولكن الحقيقة هي أن وجود بكسلات داكنة في الصورة هي علامة على الكود الخبيث.

    لا يوجد سبب للذعر
    ربما تتساءل إذن عما إذا كانت الصور التي تراها على وسائل التواصل الاجتماعي تحتوي على تعليمات برمجية خطيرة. ضع في اعتبارك أن الصور التي يتم تحميلها على مواقع التواصل الاجتماعي عادةً ما يتم ضغطها وتعديلها بشكل كبير، لذلك سيكون من الصعب جدًا على جهة التهديد إخفاء التعليمات البرمجية المحفوظة بالكامل والعملية فيها. ربما يكون هذا واضحًا عند مقارنة كيفية ظهور الصورة قبل وبعد تحميلها على Instagram - عادةً ما تكون هناك اختلافات واضحة في الجودة.

    والأهم من ذلك، أن إخفاء بكسل RGB وطرق إخفاء المعلومات الأخرى يمكن أن تشكل خطرًا فقط عندما تتم قراءة البيانات المخفية بواسطة برنامج يمكنه استخراج التعليمات البرمجية الضارة وتنفيذها على النظام. غالبًا ما تُستخدم الصور لإخفاء البرامج الضارة التي تم تنزيلها من خوادم القيادة والتحكم (C&C) لتجنب اكتشافها بواسطة برامج الأمن السيبراني. في إحدى الحالات، تم تنزيل حصان طروادة يسمى ZeroT ، من خلال مستندات Word الموبوءة المرفقة برسائل البريد الإلكتروني، على أجهزة الضحايا. ومع ذلك، هذا ليس الجزء الأكثر إثارة للاهتمام. المثير للاهتمام هو أنه قام أيضًا بتنزيل نسخة مختلفة من PlugX RAT (المعروف أيضًا باسم Korplug) - باستخدام تقنية إخفاء المعلومات لاستخراج البرامج الضارة من صورة بريتني سبيرز .

    بمعنى آخر، إذا كنت محميًا من أحصنة طروادة مثل ZeroT، فلن تحتاج إلى الاهتمام كثيرًا باستخدامه لإخفاء المعلومات.

    وأخيرًا، يعتمد أي كود استغلال يتم استخراجه من الصور على وجود ثغرات أمنية من أجل استغلال ناجح. إذا كانت أنظمتك مصححة بالفعل، فلن تكون هناك فرصة لاستغلال الثغرة؛ ومن ثم، فمن الجيد دائمًا تحديث أنظمة الحماية والتطبيقات وأنظمة التشغيل الخاصة بك على الإنترنت. يمكن تجنب الاستغلال عن طريق مجموعات الاستغلال عن طريق تشغيل برامج مصححة بالكامل واستخدام حل أمني موثوق ومحدث .

    تنطبق نفس قواعد الأمن السيبراني كما هو الحال دائمًا - والوعي هو الخطوة الأولى نحو حياة أكثر أمانًا عبر الإنترنت.

  •

  •  
    من نحن
    الحقوق الرقمية في اليمن، أحد مشاريع منظمة سام بدعم منظمة إنترنيوز، ويهدف المشروع للتعريف بالحقوق الرقمية، ورصد الانتهاكات بحق النشطاء والفاعلين والمستخدمين للفضاء الرقمي.
    أتصل بنا
    +9672276293
    +96702276294
    violations@samrl.org
    Yemen, Aden, Sanaʿā ,Mareb, Taiz
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير