في عصر الرقمنة المتسارعة، تتزايد الهجمات الإلكترونية بطرق مبتكرة تتجاوز أحيانًا خيال الخبراء. بين الصور البريئة والميمات الطريفة، يمكن أن يختبئ تهديد خطير ينتظر اللحظة المناسبة للانقضاض. هذه التقنية المعروفة بالإخفاء (Steganography) تمثل إحدى الوسائل السرية للمجرمين الإلكترونيين لإخفاء الشيفرات الخبيثة داخل الملفات التي تبدو غير ضارة.
فهم تقنية الإخفاء (Steganography) في الأمن السيبراني
تقنية الإخفاء (Steganography) هي ممارسة إخفاء البيانات داخل ملف أو وسيط آخر. على عكس التشفير، الذي يقوم بتشفير البيانات لجعلها غير قابلة للقراءة، تعمل تقنية الإخفاء على إخفاء الشيفرات الخبيثة داخل الصور، الفيديوهات، أو الملفات الصوتية، مما يجعلها غير مرئية تقريبًا لأدوات الأمان التقليدية. في الهجمات السيبرانية، يقوم المهاجمون بإدراج الحمولة الخبيثة داخل ملفات الصور، والتي تُستخرج لاحقًا وتُنفذ على نظام الضحية.
لماذا يستخدم المجرمون الإلكترونيون تقنية الإخفاء؟
- تجنب أدوات الأمان: الكود المخفي داخل الصور يتجاوز برامج مكافحة الفيروسات وجدران الحماية.
- غياب الملفات المشبوهة: لا يحتاج المهاجمون إلى ملفات تنفيذية واضحة.
- معدل اكتشاف منخفض: نادرًا ما تفحص الأدوات الأمنية التقليدية الصور بحثًا عن البرمجيات الخبيثة.
- توصيل الحمولة بشكل خفي: تظل البرمجيات الخبيثة مخفية حتى تُستخرج وتُنفذ.
- تجاوز فلاتر البريد الإلكتروني: لا تثير الصور الخبيثة تحذيرات التصيد الاحتيالي القياسية.
- طريقة هجوم متعددة الاستخدامات: يمكن استخدامها في التصيد الاحتيالي، توصيل البرمجيات الخبيثة، واستخراج البيانات.
كيف يستخدم XWorm تقنية الإخفاء لتفادي الكشف
لنلقِ نظرة على حملة برمجيات خبيثة تم تحليلها داخل منصة ANY.RUN التفاعلية، والتي توضح كيف يمكن استخدام تقنية الإخفاء في إصابة برمجيات خبيثة متعددة المراحل.
الخطوة الأولى: بدء الهجوم باستخدام ملف PDF تصيدي
تبدأ الحملة بملف PDF مرفق يحتوي على رابط خبيث يوقع المستخدمين لتنزيل ملف .REG (ملف سجل ويندوز). عند فتح هذا الملف، يعدل سجل النظام، ويزرع شيفرة خفية تُنفذ تلقائيًا عند إعادة تشغيل الكمبيوتر.
الخطوة الثانية: إدخال شيفرة بدء تشغيل مخفية
بمجرد تنفيذ ملف .REG، يحقن شيفرة في مفتاح سجل ويندوز Autorun، مما يضمن أن البرمجيات الخبيثة ستطلق في المرة القادمة التي يعاد فيها تشغيل النظام. في هذه المرحلة، لم يتم تنزيل أي برمجيات خبيثة فعلية بعد، فقط شيفرة خامدة تنتظر التفعيل.
الخطوة الثالثة: تنفيذ PowerShell
بعد إعادة تشغيل النظام، تقوم شيفرة السجل بتشغيل PowerShell، الذي يقوم بتنزيل ملف VBS من خادم بعيد. في هذه المرحلة، لا توجد برمجيات خبيثة واضحة، فقط شيفرة تجلب ما يبدو أنه ملف غير ضار. ومع ذلك، فإن التهديد الحقيقي مخفي في الخطوة التالية، حيث تُستخدم تقنية الإخفاء لإخفاء الحمولة داخل صورة.
الخطوة الرابعة: تفعيل تقنية الإخفاء
بدلاً من تنزيل ملف تنفيذي، تقوم شيفرة VBS باسترداد ملف صورة يحتوي على حمولة DLL خبيثة. عند التحليل الثابت للصورة، تبدو مشروعة، ولكن عند فحص علامة BASE64_START، نجد “TVq”، التوقيع المشفر Base64 لملف تنفيذي، مما يؤكد استخدام تقنية الإخفاء لإخفاء حمولة XWorm داخل الصورة.
الخطوة الخامسة: نشر XWorm داخل النظام
الخطوة النهائية للهجوم تتضمن تنفيذ DLL المستخرج، الذي يحقن XWorm في عملية AddInProcess32، مما يتيح للمهاجمين الوصول عن بعد إلى الجهاز المصاب.
التحديات والتهديدات الأمنية
تشكل الهجمات القائمة على تقنية الإخفاء تحديًا متزايدًا للشركات، حيث تتغاضى الأدوات الأمنية التقليدية غالبًا عن البرمجيات الخبيثة المخفية داخل الصور ووسائط أخرى. باستخدام أدوات مثل منصة ANY.RUN التفاعلية، يمكن لفرق الأمان تتبع كل مرحلة من مراحل الهجوم بصريًا، واكتشاف الحمولات المخفية، وتحليل الملفات المشبوهة في الوقت الفعلي.
نصائح لتعزيز الأمان السيبراني:
- استخدم أدوات تحليل تهديدات متقدمة لرصد الحمولات الخفية.
- قم بتحديث أنظمة الأمان بشكل دوري لتتبع أحدث التهديدات.
- اعتمد على التدريب المستمر للموظفين لزيادة الوعي بالمخاطر المحتملة.
للمزيد من المعلومات حول تقنيات الأمان السيبراني، تابعونا على فيسبوك وتويتر.
شاركنا رأيك بتعليق