قراصنة يشلون برامج مكافحة الفيروسات قبل استهداف ضحاياهم

تشهد الهجمات السيبرانية تطوراً مستمراً، وقد ظهرت مؤخراً فئة جديدة وخطيرة للغاية قادرة على تعطيل برامج مكافحة الفيروسات وحلول الحماية التي تستخدمها الشركات والمؤسسات. يشكّل هذا التطور تصعيداً خطيراً في أساليب الهجوم التي يستخدمها القراصنة.

في هذه المقالة، سنُناقش آلية عمل هذه البرامج الضارة وآلية عملها، بالإضافة إلى كيفية حماية الشركات والمؤسسات منها عن طريق تطبيق استراتيجية أمنية متعددة الطبقات.

اقرأ أيضاً: 10 قواعد للأمن السيبراني عليك تطبيقها في حياتك اليومية

فهم التهديد: البرامج الضارة التي تعطّل برامج مكافحة الفيروسات

لطالما شكّلت برامج مكافحة الفيروسات الركيزة الأساسية للأمن السيبراني، حيث تعمل كخط الدفاع الأول ضد التهديدات السيبرانية المتنوعة. لذلك، يسعى القراصنة ومجرمو الإنترنت إلى تعطيل هذه البرامج ليتمكنوا من التسلل إلى الأجهزة والشبكات بسهولة.

لتحقيق هذه الغاية، طُوِّرت برامج ضارة تكشف الثغرات الأمنية في برامج مكافحة الفيروسات وتستغلها بغرض تعطيلها، عندها تصبح برامج مكافحة الفيروسات غير مفيدة، ويتمكن المهاجمون من تنفيذ أنشطتهم الخبيثة دون أن يُكتشفوا أو يُمنعوا.

أبرز البرامج الضارة التي تعطّل برامج مكافحة الفيروسات

يُعدّ إي دي آر كيل شيفتر (EDRKillShifter) من أبرز الأمثلة على البرامج الضارة التي طُوِّرت خصيصاً لاستهداف برامج الحماية وتعطيلها. يعمل هذا البرنامج الضار على تعطيل برامج اكتشاف نقاط النهاية والاستجابة (EDR)، وهي أنظمة أمنية متقدمة تستخدمها الشركات لمراقبة الأجهزة مثل أجهزة الكمبيوتر والهواتف الذكية والخوادم واكتشاف الأنشطة المشبوهة والاستجابة لها في الوقت الفعلي.

بحسب شركة أوم تيك (Umetech) الأميركية لحلول تكنولوجيا المعلومات، يستخدم إي دي آر كيل شيفتر أساليب متنوعة لتعطيل برامج إي دي آر (EDR)، مثل الحصول على صلاحيات إدارية في النظام تمكنه من تجاوز القيود الأمنية التي تمنعه من تعطيل البرامج، واستهداف الملفات والتكوينات الخاصة بالبرنامج، أو قطع اتصاله مع خوادم الإدارة.

ولتجنب الاكتشاف، يستخدم إي دي آر كيل شيفتر أساليب متقدمة للتخفي، مثل تشويش التعليمات البرمجية، وهي تقنية تُستخدم لإخفاء كود البرنامج أو تعقيده، بحيث يصبح من الصعب فهمه أو تحليله، دون التأثير في وظيفته الأصلية، وأدوات الجذر (Rootkits)، وهي مجموعة من الأكواد الضارة المصممة لإخفاء وجودها، وتسمح للمهاجمين بالتحكم في الجهاز دون أن يُكتشفوا، والهجمات الخالية من الملفات، وهي هجمات تعمل في الذاكرة المؤقتة بدلاً من التخزين التقليدي.

هذا التطور في البرامج الضارة يعكس تحولاً خطيراً في تكتيكات القراصنة، ويستدعي استراتيجيات متقدمة للحماية منها.

اقرأ أيضاً: برامج مكافحة الفيروسات التي ينصح بها خبراء الأمن السيبراني

كيف تعمل هذه البرامج الضارة؟

تكمن الطبيعة المتطورة لهذه البرامج في قدرتها على التهرب من الكشف حتى تتمكن من تعطيل برامج مكافحة الفيروسات بشكلٍ تدريجي. وفيما يلي آلية عملها خطوة بخطوة:

1. الدخول إلى النظام: غالباً ما تدخل البرامج الضارة إلى النظام من خلال الوسائل التقليدية مثل رسائل البريد الإلكتروني الاحتيالية أو التنزيلات التي تحتوي على برامج ضارة أو مواقع الويب المخترقة. وبمجرد دخولها، تبدأ بالهجوم.
2. الحصول على الامتيازات: تسعى البرامج الضارة إلى الحصول على امتيازات إدارية تسمح لها بإجراء تغييرات على إعدادات أمان النظام. هذه الخطوة ضرورية لتعطيل برامج مكافحة الفيروسات.
3. استهداف برامج مكافحة الفيروسات: بمجرد حصولها على الامتيازات اللازمة، تحدد برنامج مكافحة الفيروسات المثبت، ثم تستغل تلك الامتيازات لتعطيله، وبالتالي إزالة خط الدفاع الأول الذي يُستخدم لحماية النظام.
4. العمل بصمت: بعد تعطيل برنامج مكافحة الفيروسات، يعمل البرنامج الضار دون اكتشافه. فقد يثبّت برامج ضارة إضافية، أو يسرق بيانات حساسة، أو حتى يٌنشئ باباً خلفياً لهجمات مستقبلية.

اقرأ أيضاً: أفضل 5 دورات على الإنترنت في مجال الأمن السيبراني

كيفية الحماية من هذا التهديد المتقدم

في ضوء هذا التهديد الجديد، توصي شركة أوم تيك الأميركية بأن تُعيد الشركات والمؤسسات النظر في نهجها الأمني. فالاعتماد على برامج مكافحة الفيروسات وحدها لم يعد كافياً، بل يجب الاعتماد على استراتيجية دفاعية متعددة الطبقات تشمل:

• برامج اكتشاف نقاط النهاية والاستجابة لها (EDR): توفرّ حلول اكتشاف نقاط النهاية والاستجابة لها إمكانات المراقبة والاستجابة في الوقت الفعلي لأي تهديد، تستطيع هذه الأدوات تحديد السلوك الضار بشكلٍ استباقي والتعامل معه قوراً.
• تقسيم الشبكة (Network Segmentation): هي استراتيجية أساسية وضرورية في الأمن السيبراني تقوم على تجزئة الشبكة إلى عدة شبكات منفصلة، ما يحدُّ من نطاق الهجمات السيبرانية ويعزّز الحماية. من خلال إنشاء شبكات فرعية أو مناطق معزولة، يمكن للشركة التحكم في تدفق البيانات وتقييد الوصول بناءً على الحاجة، هذا يقلّل مخاطر التهديدات، كما يساعد على الحد من تأثير الاختراقات الناجحة، فحتى لو تمكن القراصنة من اختراق جزء من الشبكة، لن يتمكنوا من الوصول إلى بقية أجزائها.
• أنظمة اكتشاف التسلل (IDS): هي حلول أمنية مصممة لمراقبة حركة المرور وتحليلها عبر الشبكة أو الأنظمة لاكتشاف الأنشطة المشبوهة أو التسللات المحتملة. تعمل هذه الأنظمة على تحديد الهجمات أو محاولات الوصول غير المصرح بها عن طريق فحص البيانات المتدفقة ومقارنتها بقواعد بيانات تحتوي على تهديدات معروفة أو سلوكيات غير طبيعية. وعند اكتشاف أي نشاط مشبوه، تُرسل الأنظمة تنبيهات لفرق الأمن لمراجعتها واتخاذ الإجراءات اللازمة. بعض هذه الأنظمة تتضمن ردود فعل فورية مثل قطع الاتصال أو تعطيل الأنشطة الضارة.
• التحديثات المنتظمة: يُعدّ تحديث البرامج والأنظمة أمراً بالغ الأهمية لحمايتها من البرامج الضارة بمختلف أنواعها. غالباً ما يستغل القراصنة نقاط الضعف والثغرات المعروفة، ويؤدي التحديث إلى سد تلك النقاط والثغرات ويمنع استغلالها.
• تثقيف الموظفين: تبدأ معظم الهجمات السيبرانية بأساليب الهندسة الاجتماعية مثل التصيد الاحتيالي. ويمكن أن يؤدي تثقيف الموظفين حول هذه التهديدات وتشجيعهم على تبني أفضل الممارسات الأمنية إلى تقليل احتمالية نجاح الهجمات.

إن ظهور البرامج الضارة القادرة على تعطيل برامج مكافحة الفيروسات وحلول الحماية هو بمثابة جرس إنذار للشركات والمؤسسات في كل مكان. إذ لم تُعد تدابير الأمان التقليدية كافية للحماية من هذه التهديدات المعقدة. لذلك، من الضروري تبنّي استراتيجية دفاعية متعددة الطبقات، واستخدام عدة حلول أمنية بدلاً من الاعتماد على حل واحد.