تثبيت في الأصل في 05 يونيو 2020.
تتطور البرامج الضارة باستمرار ، وكذلك تقنيات التهرب من البرامج الضارة. في دراسة أجرتها جامعة جنوة والتي تحلل 180,000 عينة من البرامج الضارة لنظام التشغيل Windows ، يستخدم ما يصل إلى 40٪ منها تقنية مراوغة واحدة على الأقل. في منشور المدونة هذا ، نستكشف طريقتين يستخدمهما ممثلو التهديد لتجاوز برامج مكافحة الفيروسات (AV).
سنلقي نظرة على عينة من البرامج الضارة لمعرفة كيفية استخدام المهاجمين لملفات Excel التي تبدو غير ضارة لإصابة المؤسسات. يحتوي الملف على ماكرو يقوم بتنزيل ملف اختزال وفك تشفيره لاستخراج حمولة ضارة.
كلمة مرور المخملية سويت شوب
كلمة المرور الافتراضية "VelvetSweatshop" هي ثغرة أمنية قديمة تم تقديمها لأول مرة في عام 2012. تم استخدامه مؤخرا لتثبيت البرامج الضارة LimeRAT. اختار مجرمو الإنترنت هذا التكتيك لأن Microsoft Excel لديه القدرة على استخدام كلمة المرور الافتراضية المضمنة VelvetSweatshop لفك تشفير ملف ، وفتحه في وضع القراءة فقط دون الحاجة إلى كلمة مرور ، وتشغيل وحدات الماكرو على متن الطائرة في نفس الوقت.
من خلال تشفير نموذج الملف بكلمة مرور VelvetSweatshop ، تم إحباط بعض محركات فحص مكافحة الفيروسات من اكتشاف التعليمات البرمجية الضارة. في اختباراتنا ، وجد 15 فقط من أصل 40 AVs التهديد.
ماكرو محمي بكلمة مرور
تماما مثل حماية ورقة العمل بكلمة مرور ، يمكن Microsoft Excel المستخدمين من قفل ماكرو في Excel مقابل العرض. ومع ذلك، لا تقوم هذه الميزة بتشفير وحدات الماكرو.
عندما استخدمنا هذه الميزة لإخفاء عينة ماكرو البرامج الضارة ، جعل هذا أيضا اكتشاف بعض AVs أقل فعالية. لم تتمكن ثلاثة محركات AV ، والتي اكتشفت عينة البرامج الضارة بنجاح ، من رؤية التهديد عندما كان الماكرو محميا بكلمة مرور.
ماذا يحدث إذا جمعنا بين التكتيكين؟
عند تطبيق كل من كلمة مرور VelvetSweatshop وميزة الماكرو المحمية بكلمة مرور للمساعدة في اكتشاف تجاوز العينة الضارة ، شهدنا انخفاضا كبيرا في نتيجة المسح. فقط 13 من 40 محرك AV كانت قادرة على اكتشاف التهديد.
ما هو الحل لمنع تقنيات التهرب من البرامج الضارة؟
يبحث ممثلو التهديد دائما عن تقنيات جديدة لإخفاء ملفاتهم الضارة من أنظمة مكافحة الفيروسات. واحدة من أفضل الممارسات للتغلب على البرامج الضارة المراوغة هي تعطيل جميع الكائنات التي يحتمل أن تكون ضارة في الملفات المنقولة إلى نظامك. حتى الماكرو غير الضار يمكن أن يصبح نقطة ضعف لاحقا.
OPSWAT يزيل Deep Content Disarm and Reconstruction (Deep CDR) كل المحتوى النشط المضمن في الملفات (بما في ذلك وحدات الماكرو وكائنات OLE والارتباطات التشعبية وما إلى ذلك) ويعيد إنشاء الملفات بمكونات شرعية فقط. بالإضافة إلى ذلك، يمكنك Deep CDR من التحقيق في الماكرو المحمي بكلمة مرور دون معرفة كلمة المرور. هذه التكنولوجيا الرائدة في الصناعة من OPSWAT فعال للغاية في منع كل من التهديدات المعروفة والمجهولة ، بما في ذلك الهجمات المستهدفة في يوم الصفر والبرامج الضارة المتقدمة المراوغة.
بعد أن تم تطهير العينة بواسطة Deep CDR ، أصبح لدينا الآن ملف خالٍ من التهديدات بوظائف كاملة.
إذا كانت وحدات الماكرو مطلوبة لعملياتك التجارية، فمن المهم فحص كل ملف في وقت واحد باستخدام أكثر من محرك مضاد للبرمجيات الضارة لزيادة فرص اكتشاف التهديدات. OPSWAT رائد مفهوم Multiscanning ، حيث يقوم بمسح الملفات باستخدام أكثر من 30 محركًا تجاريًا لمكافحة البرمجيات الضارة. من خلال الجمع بين آليات وتقنيات التحليل المختلفة، بما في ذلك التوقيعات والاستدلال والذكاء الاصطناعي/التعلم الآلي والمحاكاة، تساعدك تقنيةOPSWAT Multiscanning على زيادة معدلات الكشف إلى أقصى حد مع انخفاض التكلفة الإجمالية للملكية (TCO).
تعرّف على المزيد حول Deep CDR و Multiscanning أو تحدث إلى أحد الخبراء التقنيين في OPSWAT لاكتشاف أفضل الحلول الأمنية للوقاية من البرمجيات الضارة في يوم الصفر والبرمجيات الضارة المراوغة المتقدمة.
