الدفاع ضد الديدان في عصر برامج الفدية.

تركز SPOTO على تدريب شهادات تكنولوجيا المعلومات منذ 16 عامًا. على مدار 16 عامًا، ساعدت SPOTO عشرات الآلاف من المرشحين في الحصول على شهادات Cisco CCNA وCCNP وCCIE و CISSP . اشترك معنا واحصل على المزيد من الأخبار.

في 17 مارس، أصدرت شركة Microsoft تحديثًا أمنيًا لإصدارات مختلفة من Windows والذي حل ثغرة تنفيذ التعليمات البرمجية عن بُعد التي تؤثر على بروتوكول يسمى SMBv1 (MS17-010). تسمح هذه الثغرة للمهاجم عن بُعد باختراق النظام المتأثر بالكامل وتصنفها منظمة على أنها ثغرة "خطيرة المستوى" يوصى بإجراء تحديث أمني لها. بالإضافة إلى ذلك، بالنسبة للبيئات التي لا يمكن فيها تطبيق تحديثات الأمان بشكل مباشر، أصدرت Microsoft دليلًا طارئًا للقضاء على هذه الثغرة. وفي الوقت نفسه، أصدرت شركة Cisco برنامج حماية لضمان حماية عملائنا دائمًا.

ثم في أبريل 2017، أطلقت مجموعة تُدعى "TheShadowBrokers" علنًا العديد من الثغرات الأمنية على الإنترنت. وتعالج هذه الثغرات مجموعة متنوعة من الثغرات الأمنية التي تم حلها بواسطة MS17-010 قبل شهر. وكما هو الحال دائمًا، كلما تم إصدار أكواد استغلال جديدة، فإنها تصبح محور اهتمام كل من صناعة أمن المعلومات وأبحاث الجرائم الإلكترونية. تكتسب صناعة أمن المعلومات المعلومات وتلعب دورًا أكبر من خلال تحسين الأمان. يحصل مجرمو الإنترنت على الكود ويحاولون إيجاد طرق لاستخدامه لتحقيق أهدافهم، سواء كانت فوائد اقتصادية أو أضرارًا تصنيعية، وما إلى ذلك.

لا تعد ديدان الكمبيوتر مفهومًا جديدًا. على عكس البرامج الضارة الأخرى، تنتشر الديدان داخل الأنظمة وبينها. على سبيل المثال، Conficker هي دودة كمبيوتر تستخدم انتشار الثغرات الأمنية في Windows (MS08-067)، والتي يعود تاريخها إلى عام 2008. في الواقع، بعد ما يقرب من عقد من الزمان، لا تزال Conficker تنتشر عبر الشبكة من خلال الانتشار بين الأنظمة المعرضة للخطر. يخبرنا التاريخ أنه كلما تم إصدار رمز استغلال للثغرة الأمنية ضد ثغرة أمنية، فإن هذه الثغرة هي "دودة" ستنشئ وتنشر الديدان. على الرغم من أن هذه الظاهرة لا تحدث كثيرًا، إلا أنه طالما تحدث، فإن الدودة لها تأثير كبير على العالم. في عام 2017، ظهرت مرتين حتى الآن. ومع ذلك، شهدت الدودة تغييرًا جديدًا، أي أنها تستخدم ديدان الكمبيوتر لنشر برامج الفدية وغيرها من البرامج الضارة المدمرة. دعنا نتعرف على WannaCry و Nitya.

أريد البكاء

بمرور الوقت، في مايو 2017، شهدنا مقدمة لدخول WannaCry إلى عالم التهديدات. أنشأ المهاجم WannaCry كدودة فدية تستغل الثغرات الأمنية داخل Windows لنشر نفسها وإصابة أنظمة أخرى لا تتطلب تفاعلًا صريحًا من المستخدم. استغل WannaCry الثغرة الأمنية التي تم حلها قبل شهرين (MS17-010) لتنفيذ هذا الانتشار. بمجرد إصابة البرنامج الخبيث للنظام، فإنه يقوم بتثبيت برامج الفدية واستخدام نظامه لنشر الهجمات إلى أنظمة أخرى. قريبًا، مثل كرة الثلج، يتم إصابة المزيد والمزيد من الأنظمة ونشر البرامج الضارة بنشاط. إن الضرر الذي يسببه WannaCry عالمي، والعديد من المنظمات في جميع أنحاء العالم إما مصابة بشكل مباشر أو متأثرة بشكل غير مباشر بالمشاكل الناجمة عن البرامج الضارة في أماكن أخرى.

نيتيا

حان الوقت للانتقال السريع إلى يونيو 2017، وهو هجوم أكثر تطوراً، والذي استغل مرة أخرى ثغرة تحديث الأمان التي تم إصدارها قبل بضعة أشهر. لعدد من الأسباب، نعتقد أن هذا الهجوم على وجه الخصوص أكثر تعقيدًا. أولاً، يستخدم ما يسمى "هجوم سلسلة التوريد" كناقل أولي يلحق الضرر بالمنظمة. في هجوم سلسلة التوريد، يستغل المهاجم علاقة الثقة بين المنظمة والبائع. في هذا الهجوم، دمر المهاجمون وراء Nyetya خوادم تحديث البرامج المستخدمة على نطاق واسع من قبل الشركات والمؤسسات في أوكرانيا. لقد استخدموا الخادم المهاجم ونشروا البرنامج بإصدار الباب الخلفي تحت ستار تحديث البرنامج. بمجرد نشر برنامج الباب الخلفي، يمكن للمهاجم توزيع البرامج الضارة مباشرة على البيئة المستهدفة. في هذه الحالة بالذات، يكون للبرامج الضارة تأثير كبير على النظام وتستخدم طرقًا متعددة للانتشار عبر الشبكة بأكملها داخل المنظمة المخترقة. على غرار WannaCry، تسبب هذا الهجوم في مواجهة العديد من المنظمات لانقطاعات أعمال كبيرة، ولكن في حالة الهجوم هذه، تركز الضرر بشكل أساسي في أوكرانيا.