-->
الصفحة الرئيسية

كيفية اكتشاف التهديدات الجديدة للأمن السيبراني من خلال الأنشطة المشبوهة

Almoktachif Computer Technologie
خط المقالة


تمثل البرامج الضارة غير المعروفة تهديدًا كبيرًا للأمن السيبراني ويمكن أن تسبب أضرارًا جسيمة للمؤسسات والأفراد على حدٍ سواء. إذا لم يتم اكتشاف التعليمات البرمجية الضارة، فيمكنها الوصول إلى المعلومات السرية والبيانات الفاسدة والسماح للمهاجمين بالسيطرة على الأنظمة. تعلم كيفية تجنب هذه المواقف واكتشف ذلك لا يمكن الكشف عن السلوك الضار بشكل فعال.

تحديات اكتشاف التهديدات الجديدة

في حين أن عائلات البرامج الضارة المعروفة أكثر قابلية للتنبؤ وأسهل في الكشف عنها، يمكن أن تتخذ التهديدات غير المعروفة أشكالًا عديدة، مما يؤدي إلى مجموعة من تحديات الكشف:


  • يستخدم مطورو البرامج الضارة تعدد الأشكال، والذي يسمح لهم بتعديل التعليمات البرمجية الضارة لإنشاء متغيرات فريدة من نفس البرامج الضارة.
  • لا تزال هناك برامج ضارة مجهولة الهوية وليس لها أي قواعد للكشف.
  • قد تظل بعض التهديدات غير قابلة للكشف تمامًا (FUD) لفترة من الوقت وتشكل تحديات لأمن المحيط.
  • غالبًا ما يتم تشفير الشفرة، مما يجعل من الصعب اكتشافها بواسطة حلول الأمان القائمة على التوقيع.
  • قد يستخدم مؤلفو البرامج الضارة طرقًا منخفضة وبطيئة لإرسال كميات صغيرة من التعليمات البرمجية الضارة عبر الشبكة لفترة طويلة من الوقت، مما يجعل من الصعب اكتشافها وحظرها. هذا ضار بشكل خاص في شبكات الشركات، حيث يمكن أن يؤدي عدم الرؤية في البيئة إلى نشاط ضار غير مكتمل. وجدته.

الكشف عن التهديدات الجديدة

عند تحليل عائلات البرامج الضارة المعروفة، يمكن للباحثين الاستفادة من المعلومات الموجودة حول البرامج الضارة، مثل سلوكها وحملتها ونقاط الضعف المعروفة، لاكتشافها والاستجابة لها.

ولكن لمعالجة التهديدات الجديدة، يجب على الباحثين البدء من الصفر باستخدام الإرشادات التالية:

الخطوة 1. تحليل رمز البرامج الضارة باستخدام الهندسة العكسية لتحديد الغرض منها وطبيعتها الضارة.

الخطوة 2. امسح كود البرامج الضارة باستخدام تحليل ثابت لتحديد سلوكه وحمولته وثغراته الأمنية.

الخطوة 3. استخدم التحليل الديناميكي لمراقبة سلوك البرامج الضارة أثناء التنفيذ.

الخطوة 4. استخدم وضع الحماية لتشغيل البرامج الضارة في بيئة معزولة لمراقبة سلوكها دون المساس بالنظام.

الخطوة 5. استخدم الاستدلال لتحديد الشفرة الخبيثة المحتملة بناءً على أنماط وسلوك يمكن ملاحظته.

الخطوة 6. تحليل نتائج الهندسة العكسية، والتحليل الثابت، والتحليل الديناميكي، ووضع الحماية، والإرشاد، وما إلى ذلك لتحديد ما إذا كانت الشفرة ضارة.

من Process Monitor و Wireshark إلى ANY.RUN، هناك العديد من الأدوات التي يمكن أن تساعدك في الخطوات الخمس الأولى. ولكن كيف يمكنك استخلاص استنتاجات دقيقة وما الذي يجب أن تنتبه إليه عندما تكون لديك كل هذه البيانات؟

الجواب بسيط - التركيز على مؤشرات السلوك الضار.

مراقبة الأنشطة المشبوهة للكشف الفعال#

تستخدم تواقيع مختلفة لاكتشاف التهديدات. في مصطلحات أمان الكمبيوتر، يعد التوقيع تتبعًا نموذجيًا أو نمطًا مرتبطًا بهجوم ضار على شبكة أو نظام كمبيوتر.

جزء من هذه التواقيع هو توقيعات سلوكية. من المستحيل القيام بشيء ما في نظام التشغيل دون ترك أي أثر. يمكننا تحديد البرامج النصية من خلال نشاطها المشبوه.

يمكنك تشغيل برامج مشبوهة في وضع الحماية لمراقبة سلوك البرامج الضارة والتعرف على أي سلوك ضار، مثل:

  • نشاط نظام الملفات غير الطبيعي ،
  • إنشاء وإنهاء عملية مشبوهة
  • نشاط غير طبيعي للشبكات
  • قراءة أو تعديل ملفات النظام
  • الوصول إلى موارد النظام
  • إنشاء مستخدمين جدد
  • الاتصال بالخوادم البعيدة
  • تنفيذ أوامر ضارة أخرى
  • استغلال الثغرات المعروفة في النظام

يقدم Microsoft Office برنامج PowerShell - يبدو مريبًا، أليس كذلك؟ يضيف التطبيق نفسه إلى المهام المجدولة - تأكد من مراقبتها. يتم تشغيل عملية svchost من السجل المؤقت - يجب أن يكون هناك خطأ ما.

يمكنك دائمًا اكتشاف التهديد من خلال سلوكه، حتى بدون توقيع.

دعنا نثبت ذلك.


استخدم حالة 1

هذه عينة من قطاع الطرق. ماذا تفعل او ماذا تفعل؟ يسرق بيانات المستخدم وملفات تعريف الارتباط والمحافظ وما إلى ذلك. كيف نكتشفها؟ على سبيل المثال، عندما يفتح أحد التطبيقات ملف بيانات اعتماد تسجيل الدخول إلى Chrome، يعرض التطبيق نفسه.



يعلن النشاط في حركة مرور الشبكة أيضًا عن النية الخبيثة للتهديد. لا ترسل التطبيقات المشروعة مطلقًا بيانات الاعتماد وخصائص نظام التشغيل والبيانات الحساسة الأخرى التي يتم جمعها محليًا.

في حالة حركة المرور، يمكن اكتشاف البرامج الضارة من خلال ميزات معروفة جيدًا. في بعض الحالات، لا يقوم وكيل Tesla بتشفير البيانات المرسلة من النظام المخترق، كما هو موضح في هذا المثال.



استخدم حالة  2 

لا تحتاج العديد من البرامج الشرعية إلى إيقاف Windows Defender أو تطبيقات أخرى لحماية نظام التشغيل أو إجراء استثناء لنفسها. في كل مرة تواجه فيها هذا السلوك، فهي علامة على نشاط مشبوه.



هل يقوم التطبيق بحذف النسخ الاحتياطية؟ يبدو وكأنه انتزاع الفدية. هل ترغب في حذف النسخة الاحتياطية وإنشاء ملف TXT / HTML بنص تمهيدي في كل دليل؟ هذا دليل آخر.

إذا تم تشفير بيانات المستخدم أثناء العملية، فيمكننا التأكد من أنها برامج فدية. تمامًا مثل ما حدث في هذا المثال الخبيث. حتى إذا كنا لا نعرف العائلة، يمكننا تحديد نوع التهديد الأمني ​​الذي يمثله هذا البرنامج والتصرف وفقًا لذلك، واتخاذ الإجراءات لحماية محطات العمل وشبكات الشركة.


يمكننا استخلاص استنتاجات حول أي نوع من البرامج الضارة تقريبًا استنادًا إلى السلوك المرصود في وضع الحماية. جرب خدمة ANY.RUN التفاعلية عبر الإنترنت للمراقبة - يمكنك الحصول على النتائج الأولى فورًا ومشاهدة جميع عمليات البرامج الضارة في الوقت الفعلي. فقط ما نحتاجه للقبض على أي نشاط مشبوه.

Wrapping up 

يمكن لمجرمي الإنترنت استخدام تهديدات غير معروفة لابتزاز الأموال من الشركات وشن هجمات إلكترونية على نطاق واسع. حتى إذا لم يتم اكتشاف عائلة البرامج الضارة - يمكننا دائمًا استنتاج وظيفة التهديد من خلال النظر في سلوكه. باستخدام هذه البيانات، يمكنك بناء أمن المعلومات ضد أي تهديدات جديدة. تحليل معزز السلوك إن قدرتك على الاستجابة للتهديدات الجديدة وغير المعروفة يمكن أن تعزز حماية مؤسستك دون أي تكلفة إضافية.


author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق

    إرسال تعليق

    الاسمبريد إلكترونيرسالة