الهجمات الإلكترونية المدعومة بالذكاء الاصطناعي: كيفية الكشف عن التهديدات الذكية ومنعها والدفاع ضدها

اقرأ الآن
نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
المنزل/ المدونة / ملفات LNK المختصرة قد تحتوي على برمجيات ضارة
أمن الملفات

اختصار LNK الملفات قد تحتوي على البرامج الضارة

ب فينه لام، مدير أول البرامج التقنية
شارك هذا المنشور

كيف يمكن إخفاء البرامج الضارة في ملفات LNK وكيف يمكن للمؤسسات حماية نفسها.

يبحث مجرمو الإنترنت دائما عن تقنيات مبتكرة لمهاجمة الدفاعات الأمنية. كلما كانت البرامج الضارة أكثر سرية ، كان من الصعب اكتشافها وإزالتها. يستفيد ممثلو التهديد من هذا التكتيك لإدخال برامج ضارة يصعب اكتشافها في ملفات الاختصار (ملفات LNK) ، والتلاعب بتطبيق موثوق به ليصبح تهديدا محفوفا بالمخاطر.

قبل أقل من شهر ، بدأت حملة تصيد جديدة تستهدف المهنيين على LinkedIn مع حصان طروادة خلفي متطور يسمى " more_eggs" مخفي في عرض عمل.

تلقى مرشحو LinkedIn ملفات أرشيف ZIP ضارة تحمل أسماء المسميات الوظيفية للضحايا في ملفاتهم الشخصية على LinkedIn. عندما فتح الضحايا عروض العمل المزيفة ، بدأوا تدري التثبيت السري للباب الخلفي "more_eggs". بمجرد التثبيت على الجهاز ، يمكن للباب الخلفي المتطور جلب المزيد من المكونات الإضافية الضارة ومنح المتسللين إمكانية الوصول إلى أجهزة كمبيوتر الضحايا.

بمجرد أن يكون حصان طروادة على نظام الكمبيوتر ، يمكن لممثلي التهديد اختراق النظام وإصابته بأنواع أخرى من البرامج الضارة مثل برامج الفدية أو سرقة البيانات أو استخراج البيانات. قامت Golden Eggs ، مجموعة التهديد التي تقف وراء هذه البرامج الضارة ، ببيعها على أنها MaaS (البرامج الضارة كخدمة) لعملائها لاستغلالها.

ما ملفات LNK؟

LNK هو امتداد اسم ملف لاختصارات الملفات المحلية في Windows. توفر اختصارات الملفات LNK وصولا سريعا إلى الملفات القابلة للتنفيذ (.exe) دون أن يتنقل المستخدمون في المسار الكامل للبرنامج.

الملفات بتنسيق الملف الثنائي Shell Link (. LNK) تحتوي على بيانات وصفية حول الملف القابل للتنفيذ، بما في ذلك المسار الأصلي إلى التطبيق الهدف.

يستخدم Windows هذه البيانات لدعم تشغيل التطبيقات وربط السيناريوهات وتخزين مراجع التطبيق في ملف هدف.

نستخدم جميعا ملفات LNK كاختصارات في سطح المكتب ولوحة المعلومات وقائمة المهام ومستكشف Windows.

يمكن أن تكمن البرامج الضارة في أضعف LNK لديك

نظرا لأن ملفات LNK توفر بديلا مناسبا لفتح ملف ، يمكن لممثلي التهديد استخدامها لإنشاء تهديدات تستند إلى البرنامج النصي. إحدى هذه الطرق هي من خلال استخدام PowerShell.

PowerShell هي لغة قوية لسطر الأوامر والبرمجة النصية shell تم تطويرها بواسطة Microsoft. نظرا لأن PowerShell يعمل بشكل مخفي في الخلفية ، فإنه يوفر فرصة مثالية للمتسللين لإدخال تعليمات برمجية ضارة. استفاد العديد من مجرمي الإنترنت من ذلك من خلال تنفيذ البرامج النصية PowerShell في ملفات LNK.

هذا النوع من سيناريو الهجوم ليس جديدا. كانت عمليات استغلال ملفات LNK سائدة في عام 2013 ولا تزال تشكل تهديدا نشطا حتى اليوم. تتضمن بعض السيناريوهات الحديثة استخدام هذه الطريقة لإدراج برامج ضارة في المستندات المتعلقة ب COVID-19 أو إرفاق ملف ZIP بفيروس PowerShell مقنع في رسالة بريد إلكتروني للتصيد الاحتيالي.

رسم بياني لمآثر ملف LNK

كيف يستخدم مجرمو الإنترنت ملفات LNK لأغراض ضارة

يمكن لممثلي التهديد التسلل إلى برنامج نصي ضار في أمر PowerShell للمسار المستهدف لملف LNK.

في بعض الحالات ، يمكنك رؤية الرمز ضمن ميزات Windows:

لقطة شاشة لمربع الحوار "ميزات Windows" مع برنامج نصي ضار في حقل إدخال النص الهدف

لكن في بعض الأحيان يكون من الصعب تحديد المشكلة:

لقطة شاشة لمربع حوار ميزات Windows مع مسار ملف غير ضار المظهر لأمر قابل للتنفيذ

يبدو عنوان URL للمسار غير ضار. ومع ذلك ، هناك سلسلة من المسافات البيضاء بعد موجه الأوامر (cmd.exe). نظرا لأن حقل "الهدف" يحتوي على حد أحرف يبلغ 260 ، يمكنك فقط رؤية الأمر الكامل في أداة تحليل LNK. تم إدراج رمز ضار خلسة بعد المسافات البيضاء:

موجه أوامر Windows يعرض تعليمات برمجية ضارة مخفية

بمجرد أن يفتح المستخدم ملف LNK ، تصيب البرامج الضارة جهاز الكمبيوتر الخاص به ، في معظم الحالات دون أن يدرك المستخدم أن أي شيء خاطئ.

كيف يمكن لموقع Deep CDR منع هجمات ملفات LNK

Deep CDR (تعطيل المحتوى وإعادة بنائه) يحمي مؤسساتك من التهديدات المحتملة المخفية داخل الملفات. تفترض تقنيتنا للوقاية من التهديدات أن جميع الملفات التي تدخل شبكتك ضارة؛ ثم تقوم بتفكيك كل ملف وتعقيمه وإعادة بنائه مع إزالة كل المحتوى المشبوه.

Deep CDR يزيل جميع أوامر cmd.exe و powershell.exe الضارة الموجودة في ملفات LNK. في المثال أعلاه لحصان طروادة في عرض عمل على LinkedIn، كان ملف LNK المصاب مخفيًا في ملف ZIP. Deep CDR يعالج مستويات متعددة من ملفات الأرشيف المتداخلة، ويكتشف المكونات المصابة، ويزيل المحتوى الضار. ونتيجة لذلك، يتم تعطيل البرمجية الضارة ولا يمكن تنفيذها في الملفات الآمنة للاستهلاك.

بالإضافة إلى ذلك، يتيح OPSWAT للمستخدمين دمج العديد من التقنيات الخاصة لتوفير طبقات إضافية من الحماية من البرمجيات الضارة. أحد الأمثلة على ذلك هو Multiscanning ، والذي يسمح للمستخدمين بإجراء فحص متزامن مع أكثر من 30 محركًا لمكافحة البرمجيات الضارة (باستخدام الذكاء الاصطناعي/التعلم الآلي والتوقيعات والاستدلال وما إلى ذلك) لتحقيق معدلات اكتشاف تقترب من 100%. قارن هذا بمحرك واحد لمكافحة البرمجيات الضارة، والذي يمكنه في المتوسط اكتشاف 40%-80% فقط من الفيروسات.

اعرف المزيد عن Deep CDR, Multiscanningوالتقنيات الأخرى؛ أو تحدث إلى أحد خبراء OPSWAT  لاكتشاف أفضل الحلول الأمنية للحماية من هجمات فورية والتهديدات الأخرى من البرمجيات الضارة المراوغة المتقدمة.

العلامات:

آخر المقالات

اشترك في التثبيتة الإخبارية OPSWAT

احصل على آخر تحديثات شركة OPSWAT إلى جانب معلومات عن الفعاليات و الأخبار التي تدفع الصناعة إلى الأمام.
سجّلني

تابعنا على مواقع التواصل الاجتماعي Media

اتبع OPSWAT على لينكد إن وفيسبوك وتويتر ويوتيوب للمزيد!

ابق على اطلاع دائم OPSWAT!

اشترك اليوم لتلقي آخر تحديثات الشركة, والقصص ومعلومات عن الفعاليات والمزيد.
اشترك