البرمجيات الخبيثة متعددة الأشكال تمثل أحد أكبر التحديات لبرامج مكافحة الفيروسات التقليدية. السبب: إنها تغير شفرتها عند كل تنفيذ أو انتشار دون أن تفقد وظيفتها الأساسية. هذا يجعل اكتشافها والتصدي لها بواسطة آليات الحماية التقليدية صعبًا للغاية.
كيف تعمل برامج مكافحة الفيروسات التقليدية
- الاكتشاف المعتمد على التوقيع: تعمل معظم برامج مكافحة الفيروسات التقليدية بما يسمى "التوقيعات". وهي أنماط فريدة في شفرة البرامج الضارة المعروفة. إذا تم العثور على مثل هذا النمط في ملف، فإن البرنامج يطلق إنذارًا.
- تحديثات منتظمة: لكي يتم اكتشاف التهديدات الجديدة، يجب تحديث قواعد بيانات التوقيعات باستمرار.
لماذا تفشل هذه الطرق مع البرمجيات الخبيثة متعددة الأشكال؟
1. تغيير الشفرة المستمر
- تستخدم البرمجيات الخبيثة متعددة الأشكال محركات خاصة تغير الشفرة الضارة عند كل إصابة أو تنفيذ. يشمل ذلك أسماء الملفات، حجم الملفات، مواقع التخزين، وحتى روتينات التشفير[1][2][3].
- كل نسخة جديدة تبدو لبرنامج مكافحة الفيروسات وكأنها برنامج مختلف تمامًا. اكتشاف التوقيع التقليدي يفشل لأنه لم يعد هناك توقيع ثابت موجود[1][2][4].
2. التشفير والإخفاء
- غالبًا ما يتم تشفير الشفرة الضارة أو إخفاؤها بما يسمى "الإخفاء". فقط عند وقت التشغيل يتم فك تشفير الشفرة الفعلية وتنفيذها[2][5].
- ماسحات الشفرة الثابتة ترى فقط الشفرة المشفرة التي تبدو غير ضارة - ولكن ليس التهديد الفعلي.
3. استخدام المعبئات والمغلفات
- بمساعدة المعبئات والمغلفات، يتم ضغط الشفرة أو "تعبئتها" إضافيًا، بحيث يتغير المظهر الخارجي عند كل تشغيل[2][5].
4. تمويه السلوك
- يمكن للنسخ الحديثة تكييف سلوكها، على سبيل المثال، عن طريق التصرف بشكل غير ملحوظ في بيئات الاختبار (الصناديق الرملية) أو التصرف مثل البرامج الشرعية[1][6].
أمثلة تقنية على تعدد الأشكال
- إعادة ترتيب الوحدات الفرعية: يتم تغيير ترتيب أجزاء البرنامج باستمرار.
- إدراج شفرة ميتة: يتم إدراج أجزاء شفرة غير مفيدة لا تؤثر على السلوك، ولكنها تغير المظهر.
- تبديل المسجلات: يتم تغيير استخدام مسجلات المعالج لتغيير الشفرة الثنائية[3][7].
خاتمة
غالبًا ما تكون برامج مكافحة الفيروسات التقليدية عاجزة أمام البرمجيات الخبيثة متعددة الأشكال، لأن هذه البرامج الضارة تغير مظهرها بشكل دائم وبالتالي تتجنب الاكتشاف المعتمد على التوقيع. فقط آليات الحماية الحديثة مثل التحليل السلوكي، والاستدلال، والتعلم الآلي يمكنها اكتشاف ومكافحة مثل هذه التهديدات[1][2][8].
"يمكن للبرمجيات الخبيثة متعددة الأشكال أن تتغير مع كل تنفيذ، مما يجعلها غير مرئية تقريبًا لبرامج مكافحة الفيروسات التقليدية."[1][2]
المصادر:
[1] ما هو البرمجيات الخبيثة متعددة الأشكال؟ أمثلة وتحديات – SentinelOne https://www.sentinelone.com/cybersecurity-101/threat-intelligence/what-is-polymorphic-malware/
[2] ما هو البرمجيات الخبيثة متعددة الأشكال؟ – Portnox https://www.portnox.com/cybersecurity-101/what-is-polymorphic-malware/
[3] كيف تتجنب البرمجيات الخبيثة متعددة الأشكال والمتحولة الكشف عنها https://www.sasa-software.com/blog/polymorphic-metamorphic-malware-detection-guide/
[4] صعود البرمجيات الخبيثة متعددة الأشكال: تهديد متزايد للأمن السيبراني https://bluegoatcyber.com/blog/the-rise-of-polymorphic-malware-a-growing-threat-to-cybersecurity/
[5] اكتشاف البرمجيات الخبيثة: تقنيات التهرب – CYFIRMA https://www.cyfirma.com/outofband/malware-detection-evasion-techniques/
[6] ما هو الفيروس متعدد الأشكال؟ – Xcitium https://www.xcitium.com/knowledge-base/polymorphic-virus/
[7] فهم كيف تتجنب البرمجيات الخبيثة متعددة الأشكال والمتحولة الكشف عنها … https://www.tripwire.com/state-of-security/understanding-how-polymorphic-and-metamorphic-malware-evades-detection-infect
[8] مستقبل مكافحة الفيروسات: الكشف القائم على السلوك والتعلم الآلي … https://www.siberoloji.com/the-future-of-antivirus-behavior-based-detection-and-machine-learning/
[9] لماذا لا تكفي برامج مكافحة الفيروسات التقليدية في مشهد التهديدات الحالي https://www.clearcominc.com/2024/10/04/why-traditional-antivirus-falls-short-in-todays-threat-landscape/
[10] تقديم حالة استخدام EDR: لماذا لم تعد برامج مكافحة الفيروسات التقليدية … https://www.enterprotect.com/resource-center/making-the-case-for-edr-why-traditional-antivirus-is-no-longer-enough
[11] أسباب عدم كفاية برامج مكافحة الفيروسات التقليدية – Commercial Networks https://cnltd.co.uk/reasons-why-traditional-anti-virus-isnt-enough/
[12] ما هي قيود أنظمة كشف التسلل القائمة على التوقيع؟ https://sentinel-overwatch.com/what-are-the-limitations-of-signature-based-intrusion-detection/
[13] ما هي البرمجيات الخبيثة متعددة الأشكال؟ دليل خبير للدفاع https://www.comparitech.com/antivirus/what-is-polymorphic-malware-staying-vigilant/
[14] فهم البرمجيات الخبيثة متعددة الأشكال: التهديد المتزايد للأمن … https://www.safetechinnovations.com/understanding-polymorphic-malware-the-growing-threat-to-secure-autofill
[15] برامج مكافحة الفيروسات التقليدية مقابل برامج مكافحة الفيروسات المُدارة – Huntress https://www.huntress.com/blog/traditional-antivirus-vs-managed-antivirus
[16] برامج مكافحة الفيروسات من الجيل التالي: لماذا يعد اتباع نهج جديد أمرًا ضروريًا | Datto https://www.datto.com/blog/why-taking-a-next-generation-approach-to-av-is-essential/
[17] ما هو الفيروس متعدد الأشكال؟ كيفية منع … – Mimecast https://www.mimecast.com/blog/polymorphic-viruses-and-malware/
[18] ما هو الفيروس متعدد الأشكال؟ أمثلة والمزيد | CrowdStrike https://www.crowdstrike.com/en-us/cybersecurity-101/malware/polymorphic-virus/
[19] كيف يمكن لبرامج الفدية التهرب من برامج مكافحة الفيروسات https://gca.isa.org/blog/how-ransomware-can-evade-antivirus-software
[20] البرمجيات الخبيثة متعددة الأشكال بالذكاء الاصطناعي: إثبات مفهوم واقعي والكشف … https://cardinalops.com/blog/polymorphic-ai-malware-detection/
