هل برنامج مكافحة الفيروسات الخاص بك مُجهز لمواجهة هجوم العميل المزدوج؟

يتم تثبيت برنامج مكافحة الفيروسات للحفاظ على أمان أجهزتنا من التهديدات والبرامج الضارة الواردة. ماذا لو تحول المنقذ إلى شرير؟ ماذا لو تضاعف برنامج مكافحة الفيروسات الخاص بك؟ وماذا لو وقفت ضد نفس الشيء الذي كان من المفترض أن تحمي من أجله؟ ماذا لو فشلت تجربة Ultron وIron Man وHulk لإنشاء منقذ للبشرية؟

وفقًا لشركة Cybellum، وهي شركة إسرائيلية للدفاع عن الأمن السيبراني، فإن الهجوم يستخدم Microsoft Application Verifier (أداة التحقق وقت التشغيل للتعليمات البرمجية غير المُدارة)، كميزة لإدخال الرموز لمعالجة البرنامج، تم تسميتها باسم Double Agent Attack. لقد استحوذ برنامج مكافحة الفيروسات على كل الاهتمام بهذا الهجوم لأنه يتمتع بامتياز الوصول فوق كل البرامج الأخرى المثبتة على النظام. بسبب هذا الهجوم، يمكن أن ينقلب برنامج مكافحة الفيروسات الخاص بنا ضد النظام ويمكن أن يتم التلاعب به من قبل المتسللين.

مصدر الصورة: Softwareuseful.com

صرح سلافا برونفمان، الرئيس التنفيذي لشركة Cybellum، "أنت تقوم بتثبيت برنامج مكافحة فيروسات لحمايتك ، ولكنك في الواقع تفتح ناقل هجوم جديدًا على جهاز الكمبيوتر الخاص بك". عادةً ما يحاول المتسللون الهروب من برنامج مكافحة الفيروسات والاختباء منه، ولكن الآن بدلاً من الهروب، يمكنهم مهاجمة برنامج مكافحة الفيروسات مباشرة. وبمجرد السيطرة عليه، لا يحتاجون حتى إلى إلغاء تثبيته. يمكنهم فقط الاستمرار في تشغيله بهدوء."

في وقت لاحق، عندما ينكشف الهجوم، تتغلب التشفيرات الضارة وتسمح للمتسللين بالسيطرة. بمجرد سيطرة المتسللين على برنامج مكافحة الفيروسات، يمكنهم التعامل مع الرموز واستخدام البرنامج بأي طريقة. إذا نجحت المحاولة، فإن التطفل على معلوماتك الخاصة أو سرقة البيانات سيكون أمرًا سهلاً بالنسبة للمتسللين. في أسوأ السيناريوهات، يمكن للمتسللين تشفير ملفات النظام أو حتى تهيئة محركات الأقراص الثابتة.

اقرأ أيضًا: أفضل 10 برامج مكافحة فيروسات لنظام التشغيل Windows 10 و8 و7

بمجرد ظهور النظام يتعرض للهجوم، ولا توجد طريقة أخرى، أو إعادة تشغيل النظام أو لن تعمل عملية إلغاء تثبيت البرنامج وإعادة تثبيته.

"يمنح هجوم العميل المزدوج المهاجم القدرة على التحكم في AV دون أن يتم اكتشافه، بينما يقول سلافا برونفمان، المؤسس المشارك والرئيس التنفيذي لشركة Cybellum: "الحفاظ على الوهم بأن AV يعمل بشكل طبيعي".

"بمجرد اكتشافنا لهذا الهجوم، حاولنا فهم تأثيره والقيود، وسرعان ما فهمنا ويقول مايكل إنجستلر، كبير مسؤولي التكنولوجيا في شركة Cybellum: "لا يوجد بها أي شيء". "يمكنك في الواقع استخدامه لحقن أي عملية، وذلك بمجرد أن نفهم من المؤكد أن هناك مشكلة كبيرة هنا."

مطورو جميع برامج مكافحة الفيروسات المتأثرة (Avast، AVG، Avira، Bitdefender، Trend Micro، Comodo، ESET، F-Secure، Kaspersky، Malwarebytes، McAfee). وPanda وQuick Heal وNorton) وهم يعملون حاليًا على تطوير خطأ لحل المشكلة.

قامت Microsoft بتطوير تقنية تسمى "عملية الحماية" منذ ثلاث سنوات. إنه يحمي برامج مكافحة الفيروسات من الكتابة فوق الرموز دون التحقق المناسب ويحظر Double Agent بنجاح. بخلاف Windows Defender، لم يقم أي شخص آخر بتنفيذ هذه العملية حتى الآن. لقد حان الوقت، بدأت كل برامج مكافحة الفيروسات الأخرى في استخدام هذه التقنية لحماية برامج مكافحة الفيروسات الخاصة بها.

اقرأ أيضًا: حامي النظام المتقدم: الملاذ الأخير ضد البرامج الضارة

Malwarebytes، AVG، Trend Micro ، وقد أصدر Kaspersky وAvast تصحيحًا لإصلاح هذا الخلل.

وأكد Norton وComodo أن برنامجهما قد أدى بالفعل إلى خلل في الهجوم. صرحت شركة Symantec، "لقد طورت ونشرت وسائل حماية إضافية للكشف والحظر للمستخدمين في حالة استهدافهم، وهو أمر غير محتمل."

قريبًا ستصدر جميع برامج مكافحة الفيروسات إصلاحًا للأخطاء إلى التغلب على هذا التهديد. لكنه يتركنا أمام سؤال مزعج: ماذا لو كانت برامج مكافحة الفيروسات عرضة للهجوم التالي؟ أين يتركنا؟ مثل هذه الحقيقة المزعجة ولكن المريرة يمكن أن تهز أساس الثقة الذي صاغته برامج مكافحة الفيروسات. ولضمان عدم تكرار ذلك مرة أخرى، يتعين عليهم بذل جهد إضافي والتحقق من التهديد القادم قبل حدوث أي ضرر.

ما رأيك؟ أخبرنا بذلك في التعليقات أدناه!

_{قراءة: 0}