speakerجديد!iShredder™ للأعمال لنظامي iOS وAndroid متوفر الآن لمستخدمي المؤسسات.اعرف المزيد

الاختباء في العلن: كيف يمكن إخفاء البرمجيات الخبيثة باستخدام التشفير الخفي في الصور؟

الاختباء في العلن: كيف يمكن إخفاء البرمجيات الخبيثة باستخدام التشفير الخفي في الصور؟
٠٩ مارس ٢٠٢٣

في مجال الأمن السيبراني، يطور المهاجمون باستمرار طرقًا جديدة لإخفاء الشيفرات الخبيثة داخل الملفات. إحدى هذه الطرق هي الإخفاء المائي (ستيجانوغرافي)، وهي ممارسة إخفاء معلومات سرية داخل رسالة أو ملف عادي وغير سري. في سياق الصور الرقمية، يتضمن الإخفاء المائي تضمين بيانات سرية داخل بكسلات الصورة دون التأثير على مظهرها البصري.

بينما يمكن استخدام الإخفاء المائي لأغراض مشروعة، مثل حماية المعلومات الحساسة، يمكن للمهاجمين أيضًا استخدامه لإخفاء البرمجيات الخبيثة داخل ملفات تبدو بريئة. البرمجيات الخبيثة المخفية في الصور باستخدام الإخفاء المائي يمكن أن تتجنب الكشف بواسطة برامج مكافحة الفيروسات التقليدية، مما يجعلها أداة فعالة للمهاجمين.

لإخفاء البرمجيات الخبيثة داخل صورة باستخدام تقنيات الإخفاء المائي، عادةً ما يتبع المهاجمون الخطوات التالية:

  1. اختيار ملف صورة: يختار المهاجمون عادةً تنسيق صورة شائع مثل JPEG أو PNG أو BMP ليكون ملف الحامل للبرمجيات الخبيثة. يجب أن يكون الملف المختار كافيًا لحمل حمولة البرمجيات الخبيثة دون التأثير بشكل كبير على حجم الملف أو مظهره البصري.
  2. إنشاء حمولة البرمجيات الخبيثة: حمولة البرمجيات الخبيثة هي الشيفرة أو البيانات التي يريد المهاجم إخفاءها داخل الصورة. يمكن أن تكون الحمولة أي نوع من البرمجيات الخبيثة، مثل فيروس أو حصان طروادة أو باب خلفي.
  3. ترميز الحمولة: تُرمز الحمولة بعد ذلك باستخدام تقنيات الإخفاء المائي لإنشاء ملف صورة جديد. يتم تضمين الحمولة داخل الصورة عن طريق تعديل أقل البتات أهمية في قيم البكسلات. وبما أن التعديلات طفيفة ولا تؤثر بشكل كبير على قيم ألوان البكسلات، فإن العين البشرية لا تستطيع اكتشاف أي تغييرات في الصورة.
  4. توزيع الصورة: يقوم المهاجم بعد ذلك بتوزيع ملف الصورة الذي يحتوي على البرمجيات الخبيثة المخفية عبر قنوات مختلفة مثل البريد الإلكتروني أو وسائل التواصل الاجتماعي أو المواقع الإلكترونية الخبيثة. بمجرد تنزيل وفتح ملف الصورة، يمكن تنفيذ حمولة البرمجيات الخبيثة المخفية، مما قد يسبب ضررًا لنظام الضحية.

يُعد اكتشاف الإخفاء المائي صعبًا لأدوات مكافحة البرمجيات الخبيثة لأن التعديلات التي تُجرى على الصورة صغيرة جدًا. بالإضافة إلى ذلك، تظهر هجمات الإخفاء المائي عادةً كتهديدات يوم الصفر، مما يجعل الكشف أكثر تحديًا.
أحد الأمثلة على البرمجيات الخبيثة التي تستخدم الإخفاء المائي هو لوكي بوت (LokiBot)، الذي يسرق معلومات حساسة مثل أسماء المستخدمين وكلمات المرور ومحافظ العملات الرقمية. يقوم لوكي بوت بتثبيت نفسه كملف .jpg و .exe، حيث يفتح ملف .jpg البيانات اللازمة للتنفيذ.
 

نسخة جديدة من برمجيات لوكي بوت تستخدم الإخفاء المائي لإخفاء شيفرتها
لوكي بوت، عائلة برمجيات خبيثة معروفة أولاً بسرقة المعلومات وتسجيل ضربات المفاتيح، تم تحديثها بقدرات جديدة لتحسين قدرتها على التهرب من الكشف. كشفت تحليلات حديثة لنسخة جديدة من لوكي بوت أجرتها شركة تريند مايكرو للأبحاث أن البرمجيات الخبيثة تستخدم الآن الإخفاء المائي. تتيح هذه التقنية إخفاء الشيفرة داخل ملف صورة. كما تستخدم البرمجيات الخبيثة آلية استمرارية محدثة ورسائل بريد إلكتروني مزعجة تحتوي على مرفقات ملفات ISO خبيثة للتوصيل.

على سبيل المثال، اكتشفت تريند مايكرو النسخة الجديدة من لوكي بوت عندما تلقت شركة في جنوب شرق آسيا، مشتركة في خدمة الكشف والاستجابة المدارة للشركة، رسالة بريد إلكتروني تحتوي على مرفق يحتمل أن يكون خبيثًا وأبلغت عن ذلك. احتوى البريد الإلكتروني على مرفق يُزعم أنه من شركة حلويات في الهند، لكن اسم المرسل وتوقيع البريد الإلكتروني لم يتطابقا، وكان عنوان IP للبريد معروفًا بأنه خبيث.

يتم تثبيت البرمجيات الخبيثة كملف %Temp%[

هل كانت هذه المقالة مفيدة؟ نعم لا
3 من 3 أشخاص وجدوا هذه المقالة مفيدة
إلغاء إرسال
Back العودة