مرحبا GT! حديقة الحيوان لجميع أنواع الفيروسات تنمو كل عام ، فائدة الخيال ليس في شغل منشئيها. بالطبع ، تتعامل مضادات الفيروسات بنجاح مع عدد من البرامج الضارة الأكثر شيوعًا ، علاوة على ذلك ، حتى إصداراتها المجانية أو تلك المضمنة في نظام التشغيل نفسه. لقد تعلمنا كيفية التعامل مع برامج الفدية الشائعة على الأقل (على مواقع شركات مكافحة الفيروسات المعروفة يوجد قسم يحتوي على خدمات لفك تشفير أو إنشاء رمز إذا كنت تعرف محفظة أو بريد إلكتروني يطلب مؤلفو البرامج الضارة تحويل الأموال إليه).
تترك الفيروسات العادية آثارًا على الجهاز المصاب - بعض الملفات القابلة للتنفيذ المريبة أو ملفات المكتبة أو مجرد أجزاء من التعليمات البرمجية الضارة التي يمكن أن يكتشفها برنامج مكافحة الفيروسات أو المسؤول الصحيح. يساعد العثور على مثل هذه الآثار وتحديدها في التعرف على الفيروس ، مما يعني إزالته وتقليل العواقب.
لكن معارضة السيف والدرع شيء أبدي ، ولا تقتصر برامج الكمبيوتر الضارة على تلك التي تترك بعض الآثار على محركات الأقراص. في الواقع ، إذا كان الفيروس موجودًا ويعمل فقط داخل ذاكرة الوصول العشوائي ، دون لمس محرك الأقراص الصلبة أو SSD ، فلن يترك أي آثار لهم أيضًا.
في عام 2014 ، كانت هناك سلسلة من الأخبار حول ما يسمى ببرامج ضارة RAM ، ولكن بعد ذلك كانت تنتمي إلى مجموعة ضيقة إلى حد ما من الأجهزة المتأثرة - إلى محطات الدفع.
تعتبر بيانات المعاملات محمية ، حيث يتم تخزينها في شكل مشفر على خوادم أنظمة الدفع. ولكن هناك فترة زمنية قصيرة جدًا يتم خلالها تخزين المعلومات الخاصة بإذن الدفع في نص عادي. علاوة على ذلك ، يتم تخزينها في ذاكرة الوصول العشوائي لمحطة الدفع.
وبطبيعة الحال ، بدت هذه القطعة لذيذة للغاية بحيث لا يستطيع المتسللون المرور بها ، وجاءت البرامج الضارة إلى العالم ، وجمع المعلومات من محطات نقاط البيع RAM - أرقام البطاقات والعناوين ورموز الأمان وأسماء المستخدمين.
ثم قرر شخص ما الذهاب إلى أبعد من ذلك ، وتذكر أن أجهزة الكمبيوتر لديها ذاكرة الوصول العشوائي أيضًا.
ذاكرة الوصول العشوائي فقط
في فبراير 2017 ، أصدرت كاسبرسكي لاب تقريرًا يفيد بأن مثل هذه البرامج الضارة تصيب أجهزة الكمبيوتر في شركات الاتصالات والبنوك والوكالات الحكومية في 40 دولة.
كيف هي إصابة الجهاز في هذه الحالة:
- تسجل البرامج الضارة نفسها مباشرة في ذاكرة الوصول العشوائي ، متجاوزة محركات الأقراص الصلبة
- ولهذا السبب ، لا يمكن الكشف عنها أثناء الفحص الأمني
- لتسجيل البرامج الضارة في الذاكرة ، استخدم المهاجمون أدوات إدارية شائعة - PowerShell ، Mimikatz ، Metasploit
- لنقل البيانات ، تم استخدام المواقع التي تم إنشاؤها على المجالات الوطنية لبلدان مثل الغابون وجمهورية أفريقيا الوسطى ومالي. تتميز نطاقاتها بأنها لا تحفظ معلومات WHOIS حول من يملك نطاقًا معينًا بعد انتهاء فترة التجديد. هذا هو ، ناقص آخر فرصة واحدة لتعقب المهاجم بطريقة أو بأخرى.
تمكن مجرمو الإنترنت من جمع البيانات حول تسجيلات الدخول وكلمات المرور لمسؤولي النظام ، مما جعل من الممكن إدارة مضيف مصاب في المستقبل. ومن الواضح أنه مع هذه الفرصة للتحكم في جهاز الكمبيوتر المصاب ، يمكنك القيام بالكثير من الإجراءات غير المشروعة ، ولكن الاتجاه الرئيسي لمثل هذه الهجمات هو "حلب" أجهزة الصراف الآلي.
من الصعب العثور على مثل هذه الفيروسات ، لأنها في شكلها المعتاد لا تترك أي آثار. لا توجد تطبيقات مثبتة. لا توجد ملفات منفصلة مبعثرة في مجلدات مختلفة ، بما في ذلك ملفات النظام أو المخفية.
ولكن أين يتركون آثارا في مكان ما؟
بالطبع ، إذا لم يترك الفيروس أي آثار على محركات الأقراص ، فلا فائدة من البحث عنها. ثم ماذا؟ هذا صحيح - التسجيل ومقالب الذاكرة ونشاط الشبكة. من الضروري له أن يسجل نفسه بطريقة ما في الذاكرة (وبطريقة يبقي فيها قابلة للتشغيل حتى بعد إعادة تشغيل الجهاز) ، ثم بطريقة أو بأخرى نقل البيانات إلى خادم المهاجم.
قام أخصائيو كاسبرسكي لاب بتحليل مقالب الذاكرة وإدخالات التسجيل من الأجهزة المصابة بعناية ، وباستخدام ميميكاتز و متربتر تمكنوا من إعادة بناء الهجوم.
مقتطف من التعليمات البرمجية التي تم تنزيلها باستخدام Meterpreter من adobeupdates.sytes [.] Netبرنامج نصي تم إنشاؤه بواسطة إطار Metasploit.
يخصص المقدار المطلوب من الذاكرة ، ويستخدم WinAPI ويحمل أداة Meterpreter مباشرة في ذاكرة الوصول العشوائي.هل يستحق الخوف
من ناحية - نعم بالتأكيد. الفيروس ، مهما كان ، لا يهدف إلى جعل جهاز الكمبيوتر الخاص بك يعمل بشكل أكثر راحة.
من ناحية أخرى ، ليست قوية (لكنها ليست قوية) مثل الفيروسات العادية ونفس برامج الفدية. إذا كان فقط لأن الهدف الرئيسي لمثل هذه الهجمات في الوقت الحالي هو المؤسسات المالية ، وليس المستخدمين العاديين.
ولكن من يدري كم مرة سيتم إنشاء مثل هذه البرامج الضارة واستخدامها في المستقبل القريب.
نذكرك أن الربيع هو فرصة رائعة ليتم تحديثها ليس فقط على منشورات على الأشجار ، ولكن أيضًا على وحدات النظام تحت مكتبك. لهذا الغرض ، لدى Kingston عروض ترويجية في المتاجر الشريكة. على سبيل المثال ، في شبكة DNS حتى 15 أبريل ، يمكنك شراء ذاكرة الوصول العشوائي Kingston SO-DIMM بخصم ، التفاصيل
هنا . في Yulmart ، يستمر
الإجراء حتى 18 أبريل ، وهناك أسعار خاصة لوحدات الذاكرة Kingston و HyperX لأجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة باستخدام رمز
KINGMEM الترويجي. وفي متاجر Citylink حتى 7 أبريل ، تنطبق
الخصومات على عدة أنواع من ذاكرة الوصول العشوائي في وقت واحد ، ومن المهم أيضًا تذكر إدخال الرمز الترويجي -
DDR3HX . لذلك فمن المنطقي أن نسرع من أجل ذاكرة جديدة ونحقق أرباحًا.
لمزيد من المعلومات حول منتجات Kingston و HyperX ، قم بزيارة
الموقع الرسمي
للشركة .