MALSPAM: كيف يعمل وكيف تحمي نفسك
يعد Malspam ( البريد العشوائي للبرامج الضارة ) أو البريد العشوائي الضار ( البريد العشوائي الضار ) مشكلة متنامية في عالم متصل بشكل متزايد. أي شخص يستخدم عنوان بريد إلكتروني يكون معرضًا لخطر أن يكون هدفًا لهذه الهجمات السيبرانية.
الهدف من هذه المقالة هو تقديم نظرة عامة كاملة حول ماهية البريد العشوائي، وكيفية عمله، وقبل كل شيء، كيفية حماية نفسك منه.
ما هو المالسبام؟
Malspam أو البرامج الضارة غير المرغوب فيها ليست مجرد بريد عشوائي، ولكنها هجوم أكثر تعقيدًا يسعى إلى اختراق الأنظمة عن طريق الإرسال الحمولاتضارة يمكن توزيع هذه الحمولات في شكل مرفقات ضارة أو وحدات ماكرو مضمنة في مستندات Office أو روابط تؤدي إلى مواقع التصيد أو التنزيلات بالسيارة.
كيف يعمل MALSPAM؟
يستخدم المهاجمون تقنيات متقدمة مثل انتحال العناوين، واستخدام شبكات الروبوت الموزعة، وخوارزميات التدفق السريع لتجنب الكشف. كما أنهم غالبًا ما يستخدمون تقنيات هندسة اجتماعية متقدمة و تقنيات التهرب مثل تعدد أشكال التعليمات البرمجية الضارة للتهرب من مرشحات مكافحة البرامج الضارة.
تقنيات تحديد MALSPAM
يعد تحديد حملات البريد العشوائي وتصنيفها مهمة معقدة تتطلب مزيجًا من التقنيات الثابتة والديناميكية. في بيئة متزايدة التعقيد، حيث يستخدم المهاجمون تقنيات التهرب مثل التعليمات البرمجية متعددة الأشكال، لكن تعد الأساليب المتقدمة للكشف أمرًا بالغ الأهمية.
تحليل ارشادي
واحدة من المنهجيات الأكثر فعالية هي تحليل ارشادي، والذي يستخدم الخوارزميات للتعرف على أنماط سلوك البرامج الضارة النموذجية. لكن يتيح ذلك تحديد متغيرات البرامج الضارة غير المعروفة مسبقًا بناءً على خصائصها السلوكية.
تحليل السلوك
يركز التحليل السلوكي على مراقبة سلوك ملف أو عملية مشبوهة في بيئة معزولة، مثل وضع الحماية. ويتيح لك ذلك مراقبة كيفية تفاعل التعليمات البرمجية مع نظام التشغيل والشبكة، مما يوفر عرضًا تفصيليًا لوظائفها الضارة.
التعلم الآلي والذكاء الاصطناعي
يوفر تطبيق التعلم الآلي وخوارزميات الذكاء الاصطناعي طبقة إضافية من الحماية، مما يسمح بتصنيف رسائل البريد الإلكتروني المشبوهة في الوقت الفعلي بناءً على مجموعة واسعة من السمات. لكن يتضمن ذلك تقييم محتوى الرسالة، وتحليل العناوين، وحتى تكرار الإرسال وتوقيته.
استخدام SIEM
تعد معلومات الأمان وإدارة الأحداث (SIEM) أدوات مهمة تساعد في ربط المعلومات من مصادر مختلفة لتحديد الهجمات المحتملة. باستخدام قواعد محددة مسبقًا وخوارزميات متقدمة، لكن يمكن لـ SIEM اكتشاف الحالات الشاذة في سلوك الشبكة أو النظام والتي يمكن أن تشير إلى وجود حملة بريد عشوائي غير مرغوب فيها قيد التقدم.
مع تزايد تعقيد وتعقيد تقنيات الهجوم، من الضروري اعتماد استراتيجية تحديد متعددة المستويات تتضمن تقنيات ثابتة وديناميكية للتخفيف الفعال من المخاطر المرتبطة بالبريد العشوائي.
دراسة الحالة: URSNIF في حملة MALSPAM التي تركز على INPS
إحدى الحالات الرمزية التي توضح مدى تعقيد وخطورة حملات البريد العشوائي هي انتشارها Ursnif طروادة المصرفيةمن خلال رسائل البريد الإلكتروني المقنعة في شكل اتصالات رسمية من المعهد الوطني للضمان الاجتماعي (INPS) في إيطاليا. واستهدفت الحملة على وجه التحديد المستخدمين الإيطاليين، باستخدام تقنيات الهندسة الاجتماعية والتهرب المتقدمة لخداع الضحايا.
تم تسليم الحمولة الضارة في شكل مرفق بالملحق .xls
. تم إخفاء الملف المرفق باسم مثل ” certificazione_n_nn.xls
” حيث n_nn
يمثل “” تسلسلًا رقميًا متغيرًا. كان المرفق محميًا بكلمة مرور، ومن المثير للاهتمام ” 2020
“، والتي تم توفيرها داخل رسالة البريد الإلكتروني نفسها. وبمجرد فتح الملف المرفق، طُلب من الضحية تمكين عرض المحتوى وتعديله، لكن بحجة كاذبة مفادها أن المستند قد تم فحصه بالفعل وكان خاليًا من الفيروسات.
ويستفيد أسلوب التهرب الذي يبدو بسيطًا من سذاجة المستخدم وميله العام إلى الثقة في الرسائل التي تبدو وكأنها اتصالات رسمية. بمجرد تنفيذ الماكرو، تم تثبيت Ursnif Trojan على نظام الضحية، مما يمنح المهاجمين القدرة على سرقة البيانات المالية وغيرها من المعلومات الحساسة.
وأكد تحليل طلبات DNS أن الحملة كان لها هدف جغرافي محدد، مع التركيز على المستخدمين الإيطاليين. وهذا يدل على مستوى من التخصص والتركيز المثير للقلق، لأنه يشير إلى أن هجمات البريد العشوائي أصبحت مستهدفة بشكل متزايد .
كيف تحمي نفسك من MALSPAM
في النظام البيئي المتطور باستمرار للأمن السيبراني، لكن تتطلب الحماية الفعالة ضد حملات البريد العشوائي اتباع نهج شامل ومتعدد الطبقات. فيما يلي بعض الاستراتيجيات الأكثر تقدمًا للتخفيف من هذه التهديدات:
تصفية بروتوكولات مصادقة المرسل
التحقق من صحة رسائل البريد الإلكتروني من خلال آليات مثل SPF (إطار سياسة المرسل)، وDKIM (البريد المحدد بمفاتيح المجال)، وDMARC (مصادقة الرسائل وإعداد التقارير والمطابقة على أساس المجال) يمكن أن تكون بمثابة خط الدفاع الأول ضد رسائل البريد الإلكتروني الضارة، مما يمنع تلقي الرسائل من IP غير المصرح به عناوين.
عزل وتحليل الأحمال المشبوهة
يمكن استخدام تقنيات وضع الحماية المتقدمة لعزل الحمولات المشبوهة وتحليلها في بيئة خاضعة للرقابة. لكن يتيح ذلك التعرف على سلوك البرامج الضارة دون تعريض نظام الكمبيوتر للخطر.
اكتشاف نقطة النهاية والاستجابة لها (EDR)
تقوم أدوات EDR بمراقبة الأنشطة بشكل مستمر داخل نقاط النهاية لتحديد السلوك المشبوه أو الحالات الشاذة. فهي لا تكتشف التهديدات فحسب. بل يمكنها أيضًا التدخل تلقائيًا لعزل نقاط النهاية المخترقة عن بقية الشبكة.
مراقبة حركة مرور الشبكة بشكل غير طبيعي
يمكن أن يساعد استخدام أدوات الكشف عن الحالات الشاذة المستندة إلى خوارزميات التعلم الآلي في تحديد الأنشطة المشبوهة التي تفلت من الضوابط التقليدية. مثل استخراج البيانات أو الاتصال بخوادم القيادة والسيطرة.
مؤشرات التسوية (IOC)
يمكن أن يوفر تحديد مؤشرات الاختراق (IoC) وتنفيذها وسيلة استباقية للكشف عن التهديدات الناشئة. مما يسمح للمؤسسات بتكييف دفاعاتها في الوقت الفعلي.
إن اعتماد مجموعة من استراتيجيات التخفيف هذه يمكن أن يوفر دفاعًا قويًا ومتعدد الطبقات ضد التهديدات التي يشكلها البريد العشوائي، مما يقلل بشكل كبير من مخاطر التسوية.