هجمات حفرة الري: كيف تتسلل APT ومجرمو الإنترنت إلى البنى التحتية الآمنة

أول لقاء لي مع عالم مجرمي الإنترنت حدث من خلال حملة هجوم حفرة المياه منذ سنوات عديدة. زرت موقعا فارسيا واكتشفت أنه يقوم بتنزيل برامج ضارة على الزوار’ المتصفحات. اتصلت على الفور بمسؤول الموقع, الذين أبلغوني أنه ليس لديهم معرفة تقنية بالقضية. أصبح من الواضح أنهم كانوا يستخدمون نظام إدارة محتوى قديم مع ثغرات أمنية معروفة, المجرمون الذين كانوا يستغلونها لاستهداف جماهير محددة ونشر البرامج الضارة.

هجمات حفرة الري هي بعض الأساليب التي يفضلها مجرمو الإنترنت والتهديد المستمر المتقدم (ايه بي تي). في هذه الهجمات, يستخدم مجرمو الإنترنت تكتيكا يسمى “تسوية الويب الاستراتيجية” (سو سي) للوصول إلى شبكة منظمة الضحية. من خلال تحديد مواقع الويب التي يزورها المستخدمون المستهدفون بشكل متكرر, يمكن للمهاجم إصابة تلك المواقع ببرامج ضارة وتنزيلها للمستخدمين المطمئنين’ جهاز.

تم تصميم البرامج الضارة المستخدمة في هجمات ثقب الري للتهرب من الكشف والبقاء غير مكتشفة على جهاز الهدف, منح المهاجمين إمكانية الوصول المستمر إلى المعلومات الحساسة. هذا النوع من الهجمات يثير القلق بشكل خاص لأنه يمكن أن يستمر دون اكتشافه لفترات طويلة من الزمن., السماح للمهاجمين بجمع معلومات حساسة بمرور الوقت.

أحد أنواع البرامج الضارة شائعة الاستخدام في هجمات ثقب الري هو البرامج الضارة متعددة الأشكال. البرامج الضارة متعددة الأشكال هي نوع من البرامج الضارة المصممة لتغيير رمزها ومظهرها باستمرار لتجنب اكتشافها بواسطة برامج مكافحة الفيروسات والتدابير الأمنية الأخرى. هذا النوع من البرامج الضارة خطير بشكل خاص لأنه يمكن أن يتحول إلى العديد من الأشكال المختلفة, مما يجعل من الصعب على برامج مكافحة الفيروسات / مكافحة البرامج الضارة التقليدية اكتشافه وإزالته. يمكن للبرامج الضارة متعددة الأشكال تغيير مظهرها باستخدام مجموعة متنوعة من الطرق, بما في ذلك التشفير, ضغط, والعشوائية.

تعتبر هجمات ثقوب الري خطرة بشكل خاص على الشركات الصغيرة, حيث يتم استهدافهم في كثير من الأحيان بسبب ضعف الإجراءات الأمنية مقارنة بالمؤسسات الكبيرة. لكن, حتى المنظمات الكبيرة والوكالات الحكومية وقعت ضحية لهجمات آبار المياه.

فيما يلي بعض الخطوات التي يمكنك اتخاذها لتقليل خطر الوقوع ضحية لهذا النوع من الهجمات:

1. استخدام تصفية الويب: يمكن لأدوات تصفية الويب حظر الوصول إلى مواقع الويب وصفحات الويب الضارة أو غير المعروفة. هذا يمنع المستخدمين من تنزيل البرامج الضارة عن طريق الخطأ من حفرة الري.
2. استخدم الجيل التالي من برامج مكافحة الفيروسات (نجاف): تستخدم حلول NGAV تقنيات الكشف المتقدمة مثل خوارزميات التعلم الآلي والتحليلات السلوكية لتحديد التهديدات الجديدة وغير المعروفة سابقا والاستجابة لها.
3. تنفيذ اكتشاف نقطة النهاية والاستجابة لها (إدر): تراقب حلول EDR نقاط النهاية مثل أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية بحثا عن السلوك المشبوه ويمكنها الاستجابة للتهديدات في الوقت الفعلي.
4. تنفيذ الكشف والاستجابة المستندة إلى الشبكة (إن دي آر): تراقب حلول NDR حركة مرور الشبكة بحثا عن أي نشاط مشبوه ويمكنها اكتشاف التهديدات التي قد تفوتها حلول مكافحة الفيروسات التقليدية والاستجابة لها.
5. استخدام المكافحة الذكية للتهديدات: يمكن لخدمات المكافحة الذكية للتهديدات توفير معلومات حول التهديدات الناشئة, بما في ذلك البرامج الضارة متعددة الأشكال. يمكنك استخدام هذه المعلومات لتحديد التهديدات المحتملة واتخاذ الإجراءات المناسبة لحماية شبكتك
6. تنفيذ شبكة ثقة معدومة: شبكة انعدام الثقة هي نموذج أمان يفترض أن كل مستخدم وجهاز على الشبكة يمثل تهديدا محتملا. يجب مصادقة المستخدمين قبل الوصول إلى الموارد على الشبكة, ويقتصر الوصول على ما هو ضروري.
7. استخدام تجزئة الشبكة: يساعد تجزئة الشبكة على فصل الأنظمة الهامة والبيانات الحساسة عن بقية الشبكة. هذا يمنع البرامج الضارة من الانتشار في حالة حدوث هجوم ناجح.