تثبيت في الأصل في 05 يونيو 2020.
تتطور البرامج الضارة باستمرار ، وكذلك تقنيات التهرب من البرامج الضارة. في دراسة أجرتها جامعة جنوة والتي تحلل 180,000 عينة من البرامج الضارة لنظام التشغيل Windows ، يستخدم ما يصل إلى 40٪ منها تقنية مراوغة واحدة على الأقل. في منشور المدونة هذا ، نستكشف طريقتين يستخدمهما ممثلو التهديد لتجاوز برامج مكافحة الفيروسات (AV).
سنلقي نظرة على عينة من البرامج الضارة لمعرفة كيفية استخدام المهاجمين لملفات Excel التي تبدو غير ضارة لإصابة المؤسسات. يحتوي الملف على ماكرو يقوم بتنزيل ملف اختزال وفك تشفيره لاستخراج حمولة ضارة.
كلمة مرور المخملية سويت شوب
كلمة المرور الافتراضية "VelvetSweatshop" هي ثغرة أمنية قديمة تم تقديمها لأول مرة في عام 2012. تم استخدامه مؤخرا لتثبيت البرامج الضارة LimeRAT. اختار مجرمو الإنترنت هذا التكتيك لأن Microsoft Excel لديه القدرة على استخدام كلمة المرور الافتراضية المضمنة VelvetSweatshop لفك تشفير ملف ، وفتحه في وضع القراءة فقط دون الحاجة إلى كلمة مرور ، وتشغيل وحدات الماكرو على متن الطائرة في نفس الوقت.
من خلال تشفير نموذج الملف بكلمة مرور VelvetSweatshop ، تم إحباط بعض محركات فحص مكافحة الفيروسات من اكتشاف التعليمات البرمجية الضارة. في اختباراتنا ، وجد 15 فقط من أصل 40 AVs التهديد.
ماكرو محمي بكلمة مرور
تماما مثل حماية ورقة العمل بكلمة مرور ، يمكن Microsoft Excel المستخدمين من قفل ماكرو في Excel مقابل العرض. ومع ذلك، لا تقوم هذه الميزة بتشفير وحدات الماكرو.
عندما استخدمنا هذه الميزة لإخفاء عينة ماكرو البرامج الضارة ، جعل هذا أيضا اكتشاف بعض AVs أقل فعالية. لم تتمكن ثلاثة محركات AV ، والتي اكتشفت عينة البرامج الضارة بنجاح ، من رؤية التهديد عندما كان الماكرو محميا بكلمة مرور.
ماذا يحدث إذا جمعنا بين التكتيكين؟
عند تطبيق كل من كلمة مرور VelvetSweatshop وميزة الماكرو المحمية بكلمة مرور للمساعدة في اكتشاف تجاوز العينة الضارة ، شهدنا انخفاضا كبيرا في نتيجة المسح. فقط 13 من 40 محرك AV كانت قادرة على اكتشاف التهديد.
ما هو الحل لمنع تقنيات التهرب من البرامج الضارة؟
يبحث ممثلو التهديد دائما عن تقنيات جديدة لإخفاء ملفاتهم الضارة من أنظمة مكافحة الفيروسات. واحدة من أفضل الممارسات للتغلب على البرامج الضارة المراوغة هي تعطيل جميع الكائنات التي يحتمل أن تكون ضارة في الملفات المنقولة إلى نظامك. حتى الماكرو غير الضار يمكن أن يصبح نقطة ضعف لاحقا.
تقومتقنيةOPSWAT Deep Content Disarm and Reconstruction Deep CDR™) بإزالة جميع المحتويات النشطة المضمنة في الملفات (بما في ذلك الماكروات، وكائنات OLE، والروابط التشعبية، وما إلى ذلك) وإعادة بناء الملفات بحيث لا تحتوي إلا على المكونات المشروعة. بالإضافة إلى ذلك، تتيح لك تقنية Deep CDR™ فحص الماكرو المحمية بكلمة مرور دون معرفة كلمة المرور. هذه التقنية الرائدة في القطاع من OPSWAT للغاية في منع التهديدات المعروفة وغير المعروفة، بما في ذلك الهجمات الموجهة من نوع "صفر يوم" والبرامج الضارة المتطورة المراوغة.
بعد معالجة العينة باستخدام تقنية Deep CDR™، أصبح لدينا الآن ملف خالٍ من التهديدات ويتمتع بكامل وظائفه.
إذا كانت وحدات الماكرو مطلوبة لعملياتك التجارية، فمن المهم فحص كل ملف في وقت واحد باستخدام أكثر من محرك مضاد للبرمجيات الضارة لزيادة فرص اكتشاف التهديدات. OPSWAT رائد مفهوم Multiscanning ، حيث يقوم بمسح الملفات باستخدام أكثر من 30 محركًا تجاريًا لمكافحة البرمجيات الضارة. من خلال الجمع بين آليات وتقنيات التحليل المختلفة، بما في ذلك التوقيعات والاستدلال والذكاء الاصطناعي/التعلم الآلي والمحاكاة، تساعدك تقنيةOPSWAT Multiscanning على زيادة معدلات الكشف إلى أقصى حد مع انخفاض التكلفة الإجمالية للملكية (TCO).
تعرف على المزيد حول تقنية Deep CDR™ Multiscanning تواصل مع أحد الخبراء OPSWAT لاكتشاف أفضل حل أمني لمنع البرامج الضارة من نوع "صفر يوم" والبرامج الضارة المتطورة التي تتجنب الكشف.
