قد يكون من الصادم إدراك أنَّ ناقل الهجوم المُتسبب في الوصول إلى بياناتك كان يعمل في شبكتك مُباشرةً من أمامك. لقد لعب دورك من خلال تنفيذ ما بدا أنه دفاعات أمنية فعَّالة ، لكن المُهاجم تمكن من تجاوزها على أي حال. كيف كان ذلك مُمكنًا؟
كان بإمكانه الإنتشار عن طريق إدخال رموز ضارة في عملياتك المشروعة. كيف تعمل عملية حقن البرمجيات الخبيثة في العمليات وكيف يُمكنك منعها؟ تحقق من كيف تعمل البرمجة بالحقن ؟ ما هي أنواعها وكيفية منعها؟
ما هو حقن البرمجيات الخبيثة في العمليات؟
عملية حقن الكود هي عملية يقوم من خلالها المُهاجم بتضمِين أكواد ضارة في عملية شرعية ومباشرة في الشبكة. نظرًا لانتشارها مع هجمات البرامج الضارة ، فهي يسمح للجهات الفاعلة عبر الإنترنت بإصابة الأنظمة بأكثر الطرق سلاسةً. تقنية هجوم إلكتروني مُتقدمة ، يقوم الدخيل بإدراج البرامج الضارة في عملياتك الصالحة ويتمتع بامتيازات تلك العمليات.
كيف يعمل حقن البرمجيات الخبيثة في العمليات؟
أكثر أنواع الهجمات فاعلية هي تلك التي يُمكن أن تعمل في الخلفية دون إثارة الشكوك. عادة ، يُمكنك اكتشاف تهديد البرامج الضارة عن طريق تحديد وفحص جميع العمليات في شبكتك. لكن اكتشاف حقن الكود ليس بهذه السهولة لأنَّ التعليمات الخبيثة تختبئ تحت ظلال عملياتك المشروعة.
نظرًا لأنك أدرجت عملياتك المُصرح بها في القائمة البيضاء ، فإنَّ أنظمة الكشف والحماية ستُصدق على أنها صالحة دون أي إشارة إلى وجود خطأ ما. تتجاوز العمليات التي يتم حقنها أيضًا التحليلات الجنائية للقرص الصلب لأنَّ الرموز الخبيثة تعمل في ذاكرة العملية المشروعة.
يستخدم المُهاجم إخفاء الرموز البرمجية للوصول إلى جميع جوانب شبكتك التي يُمكن للعمليات الشرعية التي يختبئ تحتها الوصول إليها. يتضمن ذلك بعض الامتيازات الإدارية التي لن تمنحها لأي شخص تقريبًا.
على الرغم من أنَّ حقن العمليات بالبرامج الضارة يُمكن أن تمر بسهولة دون أن يلاحظها أحد ، إلا أنَّ أنظمة الأمان المُتقدمة يمكنها اكتشافها. لذلك ، يرفع مجرم الإنترنت من التحدي عن طريق تنفيذها بأكثر الطرق تقدمًا التي ستتجاهلها هذه الأنظمة. حيث يستخدم عمليات Windows الأساسية مثل cmd.exe و msbuild.exe و explorer.exe وما إلى ذلك لشن مثل هذه الهجمات.
تقنيات حقن البرمجيات الخبيثة في العمليات
هناك تقنيات مُختلفة لأغراض مُختلفة لحقن البرمجيات الخبيثة في العمليات. نظرًا لأنَّ الجهات الفاعلة في مجال التهديد السيبراني على دراية كبيرة بالأنظمة المُختلفة ومكانتها الأمنية ، فإنها تنشر التقنية الأنسب لزيادة مُعدل نجاحها. دعونا نلقي نظرة على بعضها.
1. حقن DLL
حقن مكتبة الارتباط الديناميكي (DLL) هي تقنية تستخدم لتشغيل التعليمات البرمجية داخل مساحة العنوان الخاصة بعملية أخرى عن طريق إجبارها على تحميل مكتبة الارتباط الديناميكي. غالبًا ما تستخدم البرامج الخارجية حقن DLL للتأثير على سلوك عملية قابلة للتنفيذ بطريقة لم يتوقعها مُطورها أو كان يعتزمها ، مما يجبرها على التصرف بطرق لم تقصدها أو تتوقعها.
يقوم الهجوم بحقن الكود بقصد تجاوز الكود الأصلي في نظامك والتحكم فيه عن بُعد.
مُتوافق مع العديد من التطبيقات ، يسمح حقن DLL للتطبيقات باستخدام الكود عدة مرات دون فقدان الصلاحية. لكي تنجح عملية حقن DLL ، يجب أن تحتوي البرامج الضارة على بيانات ملف DLL السيئ في شبكتك.
2. حقن التنفيذ المحمول
التنفيذ المحمول (PE) هو طريقة حقن عملية حيث يقوم المهاجم بإصابة عملية صالحة ونشطة في شبكتك بصورة PE ضارة. إنها أبسط من تقنيات حقن العمليات الأخرى لأنها لا تتطلب مهارات ترميز Shell. يُمكن للمهاجمين كتابة كود PE بسهولة بلغة C++ الأساسية.
حقن التنفيذ المحمول بدون حيل. لا تحتاج البرامج الضارة إلى نسخ بياناتها على أي قرص قبل بدء الحقن.
3. عملية التجويف
عملية التجويف هي تقنية حقن البرمجيات الخبيثة في العمليات حيث ، بدلاً من استخدام عملية شرعية موجودة ، يُنشئ المهاجم عملية جديدة ولكنه يصيبها بشفرة ضارة. يطور المهاجم العملية الجديدة كملف svchost.exe أو مفكرة. بهذه الطريقة ، لن تجده مريبًا حتى لو اكتشفته في قائمة العمليات الخاصة بك.
لا تبدأ العملية الضارة الجديدة في العمل على الفور. المجرم الإلكتروني يجعله غير نشط ويربطه بالعملية المشروعة ويخلق مساحة له في ذاكرة النظام. تحقق من ما هي عملية Svchost.exe ، وهل هي آمنة أم يجب إيقافها؟
كيف يُمكنك منع حقن البرمجيات الخبيثة في العمليات؟
يمكن أن يؤدي حقن البرمجيات الخبيثة في العمليات إلى تدمير شبكتك بالكامل حيث يمكن أن يتمتع المهاجم بأعلى مستوى من الوصول. أنت تجعل عمله أسهل كثيرًا إذا كانت العمليات المحقونة خاصة بأصولك الأكثر قيمة. هذا هجوم يجب أن تسعى جاهدًا لمنعه إذا لم تكن مستعدًا لفقدان السيطرة على نظامك.
فيما يلي بعض أكثر الطرق فعالية لمنع عملية الحقن.
1. اعتماد القائمة البيضاء
الإدراج في القائمة البيضاء هو عملية إدراج مجموعة من التطبيقات التي يمكنها الدخول إلى شبكتك بناءً على تقييم الأمان الذي تفترضه. يجب أن تكون قد اعتبرت العناصر الموجودة في قائمتك البيضاء غير ضارة ، وما لم تقع حركة البيانات الواردة ضمن تغطية القائمة البيضاء الخاصة بك ، فلن تتمكن من المرور من خلالها.
لمنع إدخال العملية مع القائمة البيضاء ، يجب عليك أيضًا إضافة مدخلات المستخدم إلى القائمة البيضاء الخاصة بك. يجب أن يكون هناك مجموعة من المدخلات المسموح لها بالمرور عبر فحوصات الأمان الخاصة بك. لذلك ، إذا قام المهاجم بأي إدخال خارج نطاق اختصاصك ، فسيقوم النظام بحظره.
2. عمليات المراقبة
بقدر ما يمكن للحقن في العملية تجاوز بعض فحوصات الأمان ، يمكنك تغييره من خلال الانتباه عن كثب لسلوك العملية. للقيام بذلك ، يجب عليك أولاً تحديد الأداء المتوقع لعملية معينة ثم مقارنتها بأدائها الحالي.
سيؤدي وجود رموز ضارة في العملية إلى بعض التغييرات ، بغض النظر عن مدى قلة هذه الرموز في العملية. عادة ، قد تتجاهل هذه التغييرات لأنها غير ذات أهمية. ولكن عندما تكون حريصًا على اكتشاف الاختلافات بين الأداء المتوقع والأداء الحالي من خلال مراقبة العملية ، ستلاحظ الشذوذ.
3. تشفير الإخراج
غالبًا ما يستخدم ممثلو التهديدات الإلكترونية البرمجة النصية عبر المواقع (XSS) لحقن رموز خطيرة في عملية الحقن. تتحول هذه الرموز إلى نصوص برمجية تعمل في خلفية شبكتك دون علمك. يمكنك منع حدوث ذلك عن طريق فحص وتنظيف جميع المدخلات المشبوهة. في المقابل ، سيتم عرضها كبيانات وليست أكواد ضارة على النحو المنشود.
يعمل ترميز الإخراج بشكل أفضل مع ترميز HTML — وهي تقنية تمكنك من تشفير الإخراج المتغير. يمكنك تحديد بعض الأحرف الخاصة واستبدالها ببدائل. تحقق من كيف تحمي نفسك من keylogger في Windows.
منع حقن البرمجيات الخبيثة في العمليات بأمان يحركه الذكاء
يُنشئ حقن العمليات حاجزًا ضبابيًا يُغطي الرموز الخبيثة ضمن عملية صالحة وتشغيلية. ما تراه ليس ما تحصل عليه. يفهم المهاجم فعالية هذه التقنية ويستخدمها باستمرار لاستغلال المُستخدمين.
لمكافحة عمليات حقن البرمجيات الخبيثة في العمليات ، عليك أن تتفوق على المهاجم من خلال عدم وضوح دفاعاتك. تنفيذ تدابير أمنية ستكون غير مرئية على السطح. سيعتقدون أنهم يلعبونك ، لكن دون علمهم ، أنت من تلعب معهم. يُمكنك الإطلاع الآن على ما هو التحقق من تقييم المُدخلات ولماذا هو مُهم؟
