ماذا يحدث عندما يصبح الحارس الشخصي هو القاتل؟ في تطور مخيف، قامت حملة جديدة للبرامج الضارة بقلب النص واختطاف برنامج تشغيل Anti-Rootkit الموثوق به من Avast (aswArPot.sys) لتعيث فسادا. هذه أحضر سائقك الضعيف (BYOVD) ينقل الهجوم الوصول على مستوى النواة إلى مستويات منخفضة جديدة - مما يؤدي إلى تعطيل برامج الأمان والقضاء على عمليات مكافحة الفيروسات ووضع نظامك في قبضة خانقة.
هذا ليس مجرد هجوم بالبرامج الضارة؛ إنها سرقة عالية المخاطر حيث يصبح الشخص الموثوق به غدرًا. تابع القراءة بينما نقوم بتفكيك الأعمال القذرة وتسليحك بالأدوات للرد.
رد الفعل المتسلسل القاتل
يبدأ الأمر ببراءة كافية - أو هكذا يبدو. البرامج الضارة (kill-floor.exe)يتسلل ويسقط برنامج تشغيل Avast الشرعي (aswArPot.sys) متنكرا في زي ntfs.bin في: C:\Users\Default\AppData\Local\Microsoft\Windows.
وإليك كيفية الكشف عنها:
- الخطوة الأولى: بناء السلاح
- استخدام sc.exe، تقوم البرامج الضارة بإنشاء خدمة لتحميل برنامج تشغيل Avast.
- Boom: لديها الآن وصول كامل على مستوى النواة.
- الخطوة الثانية: الاسم والعار والذبح
- مع وجود 142 هدفًا مشفرًا في قائمة القتل الخاصة بها، تتعقب البرامج الضارة العمليات الأمنية مثل قاتل منهجي.
- تلتقط صورة لكل عملية جارية، ثم تقارنها بقائمة النتائج الخاصة بها.
- الخطوة الثالثة: تنفيذ أمر القتل
- باستخدام واجهة برمجة تطبيقات DeviceIOControl، يهمس البرنامج الضار رمز IOCTL (0x9988c094) إلى برنامج التشغيل.
- تقوم الوظائف على مستوى Kernel مثل ZWTerminateProcess بالعمل القذر وإنهاء برامج الأمان وترك النظام بلا حماية.
كيفية البقاء في المقدمة بخطوة
أحضر سائقك الضعيف الهجمات متستر بقدر ما هي مدمرة. فيما يلي كيفية قلب البرنامج النصي:
- انشر حراس BYOVD استخدم قواعد الخبراء لحظر برامج التشغيل غير الواضحة
- قم بترقية معايير نادي السائقين الخاصة بك
- قم بتطبيق سياسات توقيع السائق الصارمة. إذا لم يتم توقيعه وختمه، فإنه لا يعمل.
- قم بتصحيح برامج التشغيل وتحديثها بانتظام لإغلاق الثغرات المعروفة.
- درع النواة: هيردن ذا كور
- راقب الأنشطة على مستوى النواة باستخدام أدوات التحليلات السلوكية.
- استخدم مبادئ الثقة الصفرية لقصر أذونات السائق على «ما يكفي».
- شاهد أدلة المشتبه بهم المعتادة
الدليل C:\Users\Default\AppData\Local\Microsoft\Windows هو مخبأ البرامج الضارة. راقب الأمر كما لو كانت حياتك تعتمد عليه - لأنه قد يحدث.
.png)
.png)
.png)