من المؤكد أن الأخبار المتعلقة بهجمات البرامج الضارة التي تستهدف أنظمة التشغيل Mac أو Windows ليست جديدة بالنسبة لمستخدمي الإنترنت اليوم. ومما زاد الطين بلة، أن متغيرات مثل فيروسات التمهيد ومرفقات الملفات المارقة وفيروسات الماكرو قد أصبحت في دائرة الضوء بالفعل. إذا كنت تعتقد أن كل شيء يبدأ وينتهي عند البرامج الضارة، فأنت مخطئ. إنها مجرد علامة على أشياء لم تأت بعد، اعتبرها بمثابة جرس إنذار.
كشفت دراسة حديثة أجراها معهد أبحاث الأمن السيبراني (CSRI)، عن مدى تعرض شهادات التوقيع الرقمي للخطر. كانت دودة Stuxnet هي الأولى من هذا النوع والتي تم استخدامها لاختراق عملية التخصيب النووي الإيرانية في عام 2005. ومن الأمثلة الحديثة على إساءة استخدام شهادة توقيع الرمز الرقمي الهجوم على CCleaner.
الرقمية شهادات توقيع الرمز:
تشبه الشهادة الرقمية بطاقة الهوية، التي توفر هوية للفرد أو الشركة. ويتم إصدارها من قبل مرجع مصدق موثوق به (CA).
img src: SSL.org
تصدر سلطات التصديق شهادات رقمية للموافقة على هوية حاملها وسلطته. يتم تضمين المفتاح العام إلى جانب معلومات التعريف الأخرى في كل شهادة رقمية يتم إصدارها لفرد أو شركة. يتم توقيع هذه الشهادات بشكل مشفر، مما يؤكد صحة سلامة البيانات والتحقق من استخدامها.
يثق الكمبيوتر في تطبيق أو برنامج كمبيوتر ذو شهادة رقمية ويسمح بتنفيذ البرنامج دون أي رسالة تحذير.
كيف يتم ذلك؟ الشهادات الرقمية في خطر؟يتم بيع الشهادات الرقمية الموقعة بشكل قانوني على Dark Web بسعر يصل إلى 1200 دولار (لكل شهادة). يستخدم المتسللون هذه الشهادات لربط التعليمات البرمجية الضارة الخاصة بهم مع بائعي البرامج الموثوقين، مما يقلل من خطر اكتشاف البرامج الضارة. وبالتالي، فإنها تتجاوز بسهولة الشبكات المستهدفة وأمن أجهزة المستخدمين.
هل أحتاج إلى القلق؟
اكتشف فريق من الباحثين الأمنيين من جامعة ماريلاند، كوليدج بارك، دوون كيم، بومجون كوون، وتودور دوميتراس أن البرامج الضارة الموقعة رقميًا منتشرة. وقد تم بالفعل اكتشاف ما مجموعه 325 عينة من البرامج الضارة الموقعة. منها 189 توقيعًا رقميًا صالحًا.
"مثل هذه التوقيعات المشوهة مفيدة للخصم: نجد أن مجرد نسخ توقيع رمز المصادقة من عينة شرعية إلى عينة برامج ضارة غير موقعة قد يساعد البرامج الضارة على تجاوز اكتشاف AV "، قال الباحثون.
27 من هذه الشهادات للخطر لقد تم بالفعل إبطال الشهادات، على الرغم من أن الشهادات الـ 84 المتبقية لا تزال موثوقة من قبل النظام حتى يتم إبطالها.
"يعتمد جزء كبير (88.8%) من عائلات البرامج الضارة على شهادة واحدة، مما يشير إلى أن قال الثلاثي (دوون كيم، بومجون كوون، وتودور دوميتراس من جامعة ميريلاند، كوليدج بارك): "يتم التحكم في الشهادات المسيئة في الغالب من قبل مؤلفي البرامج الضارة وليس من قبل أطراف ثالثة".
Src: thehackernews.com
وحتى بعد إلغاء الشهادات، وجد الباحثون أن مجرمي الإنترنت لن يتم منعهم على الفور من إساءة استخدامها. نظرًا لأن بعض برامج مكافحة الفيروسات تفشل في التعرف على البرنامج الضار الموجود في الشهادات الملغاة. وهذا يعني أن التعليمات البرمجية الضارة سيتم تشغيلها على النظام دون أي عائق.
يمكن للمتسللين بسهولة إضافة التعليمات البرمجية الضارة إلى أي من ملفات نظام Windows الصالحة الموقعة من Microsoft أو إلى ملف Microsoft Office. لذلك يتم الاختباء من تطبيقات الأمان حيث يتم إضافة الملفات الموقعة من قبل Microsoft إلى القائمة البيضاء لبرنامج الأمان. يتم ذلك لتجنب الاكتشاف الخاطئ الذي قد يتسبب في حذف ملفات النظام المهمة وتعطل النظام.
ما الذي يمكنني فعله لأظل محميًا؟
- احرص دائمًا على تحديث نظام التشغيل والمتصفحات لديك.
- تجنب إضافة أي مراجع مصدقة جديدة إلى منطقة الشهادات الجذرية.
- حظر من التنزيل تم تسليمه بواسطة مطور غير معروف.
- تابع دائمًا الشهادات الموثوقة.
- قم بتثبيت حلول أمان نقطة النهاية
"يمكن للبرامج الضارة الموقعة رقميًا أن تجاوز آليات حماية النظام التي تقوم بتثبيت أو تشغيل البرامج ذات التوقيعات الصالحة فقط." يقرأ البحث "البرامج الضارة المعتمدة: قياس انتهاكات الثقة في البنية التحتية للمفاتيح العامة لتوقيع التعليمات البرمجية لنظام التشغيل Windows".
إن هذه مسألة خطيرة بالفعل، حيث إن حصول المتسللين على الشهادات الصالحة يعني أنه لا يوجد شيء آمن. كبرنامج مضاد للفيروسات والنظام لن يتمكن من التعرف على هذه التهديدات. أصبح من السهل الآن تجنب برنامج مكافحة الفيروسات.
يمكنك التحقق من قائمة الشهادات التي أساء المهاجمون استخدامها على الموقع signedmalware.org.
قراءة: 0
