بستن
0 محصول
مشاهده سبد خرید
دور زدن هشدارهای امنیتی مایکروسافت توسط یک بدافزار
دور زدن هشدارهای امنیتی مایکروسافت توسط یک بدافزار: نحوه عمل و راههای مقابل
در سالهای اخیر، حملات سایبری به شیوههای پیچیدهتر و هوشمندانهتری درآمدهاند. یکی از استراتژیهای جدید هکرها، دور زدن هشدارهای امنیتی مایکروسافت (Microsoft Defender SmartScreen و Windows Security) توسط بدافزارهاست.
دسترسی سریع
در این مقاله از تیم ند شاپ، به بررسی نحوه دور زدن هشدارهای امنیتی مایکروسافت توسط یک بدافزار میپردازیم و راههای مقابله با آن را نیز آموزش میدهیم.
هشدارهای امنیتی مایکروسافت چیستند؟
سیستمعامل ویندوز دارای چندین لایه امنیتی داخلی است که از کاربران در برابر فایلها و برنامههای خطرناک محافظت میکنند:
- SmartScreen: هنگام دانلود فایل، URL یا اجرای برنامه، آن را با لیست مشکوکها مقایسه میکند.
- Windows Defender (Microsoft Defender Antivirus): آنتیویروس سیستمی ویندوز.
- Controlled Folder Access: از فایلها در برابر رنسومورهای مشکوک محافظت میکند.
- Exploit Protection و Network Protection: در برابر حملات صفر دی (Zero-Day) و اتصالات شبکه غیرمجاز مقاومت میکند.
این ابزارها به همراه AI و Machine Learning، به شناسایی فایلهای خطرناک قبل از اجرا کمک میکنند. اما هکرها با توسعه روشهای جدید، موفق به دور زدن این هشدارها شدهاند.
چطور یک بدافزار میتواند هشدارهای امنیتی مایکروسافت را دور بزند؟
۱. استفاده از تکنیکهای Obfuscation
بدافزارها با استفاده از روشهای رمزنگاری فایل، تغییر الگوریتم شناسایی و Packing، محتوای خود را برای آنتیویروسها غیرقابل تشخیص میکنند. این امر باعث میشود Microsoft Defender فایل را “نامشخص” تشخیص دهد و اجازه اجرا داده شود.
۲. فایلهای معتبر دارای امضای دیجیتال
بعضی از بدافزارها از گواهیهای دیجیتال قانونی (Digital Certificate) سرقت شده استفاده میکنند. این گواهیها باعث میشوند فایل به عنوان “معتبر” شناخته شود و از فیلترهای اولیه عبور کند.
۳. اجرای از طریق فایلهای مجازی (Living off the Land Binaries – LOLBins)
بدافزارها بدون نصب فایل جدید، از ابزارهای داخلی ویندوز مثل PowerShell, Regsvr32.exe, Mshta.exe استفاده میکنند. این امر باعث میشود هشدارهای امنیتی فعال نشوند، چون این فایلها به عنوان بخشی از سیستم شناخته میشوند.
۴. حملات فیشینگ با استفاده از فایلهای Office یا PDF
بدافزارها در فایلهای Word، Excel یا PDF اقدام به اجرای کد مخرب از راه دور (Remote Code Execution) میکنند. در برخی موارد، این فایلها ابتدا بدون کد خطرناک فرستاده میشوند و بعد از دانلود توسط کاربر، Payload خود را دانلود و اجرا میکنند — در حالی که هشدار امنیتی این موضوع را تشخیص نمیدهد.
۵. استفاده از AI برای تست و دور زدن ابزارهای امنیتی
هکرهای حرفهای از شبکههای عصبی مصنوعی استفاده میکنند تا قبل از انتشار بدافزار، آن را روی محیطهای تست آنتیویروسی اجرا کنند و تغییراتی اعمال کنند تا از شناسایی آن جلوگیری شود.
مثال واقعی: بدافزار RedLine Stealer
در سال ۲۰۲۳، بدافزار معروف RedLine Stealer موفق شد هشدارهای امنیتی مایکروسافت را دور بزند. این بدافزار با استفاده از روشهای زیر این کار را انجام داد:
- فایلهای exe به ظاهر بیضرر با امضای دیجیتال ساخته شده بودند.
- از سرورهای CDN و GitHub Releases برای دانلود مرحلهای استفاده کردند.
- رمزگذاری پیشرفته و Anti-Debugging در کد فعال شده بود.
- فایلهای موقت از طریق %TEMP% و Registry Run Key اجرا میشدند.
این بدافزار با این روشها موفق به جمعآوری اطلاعات شخصی، رمزهای عبور و کوکیهای مرورگر شد.
بیشتر بخوانید : جدیدترین ابررایانه Microsoft و Nvidia
چگونه میتوان از خود در برابر این نوع حملات محافظت کرد؟
۱. بهروزرسانی منظم سیستم و آنتیویروس
مایکروسافت به طور منظم قوانین تشخیصی جدید را اضافه میکند. بهروز نگه داشتن ویندوز و Microsoft Defender ضروری است.
۲. فعال کردن Controlled Folder Access
این قابلیت از دسترسی غیرمجاز فایلها جلوگیری میکند. در Settings > Update & Security > Windows Security > Virus & threat protection تنظیم کنید.
۳. استفاده از آنتیویروس جانبی
علاوه بر Microsoft Defender، از آنتیویروسهای حرفهای مانند Malwarebytes, Kaspersky, Bitdefender استفاده کنید.
۴. غیرفعال کردن ماکروهای Office
در برنامههای Microsoft Office، ماکروها را غیرفعال کنید و فقط از فایلهای معتبر استفاده کنید.
۵. استفاده از Application Whitelisting
با استفاده از AppLocker یا Device Guard در ویندوز، فقط اجرای فایلهای مورد تأیید را فعال کنید.
۶. فعال کردن Sandboxing
در Microsoft Defender، گزینه Exploit Protection و Network Protection را فعال کنید تا فایلهای مشکوک در محیط مجازی اجرا شوند.
معرفی محصول:
تگ شمارهدار کابل شبکه ۱۰۰ تایی
جدول مقایسهای: نحوه دور زدن هشدارها و راههای مقابله
| روش هکر | نحوه عمل | راه مقابله |
|---|---|---|
| Obfuscation | رمزنگاری و تغییر کد | استفاده از آنتیویروسهای AI-based |
| فایلهای دارای امضای دیجیتال | فایل به عنوان معتبر شناخته میشود | بررسی منبع فایل و اعتبارسنجی دستی |
| LOLBins | استفاده از ابزارهای داخلی ویندوز | محدود کردن دسترسی ابزارهای خط فرمان |
| دانلود مرحلهای | فایل اصلی ابتدا دانلود نمیشود | فیلتر کردن اتصالات خارجی مشکوک |
| استفاده از CDNها و سرویسهای معتبر | فایل از سرویسهای قانونی دانلود میشود | استفاده از فایروال پیشرفته و DNS Filtering |
کشف یک بدافزار جدید و فرار از اخطارهای امنیتی مایکروسافت
روز صفر جدیدی کشف شده که به کلاهبرداران کمک میکند هشدارهای امنیتی ویندوز را به راحتی دور بزنند.
محققان بهتازگی یک آسیبپذیری روز صفر یا آسیبپذیری صفر روزه را کشف کردهاند که به مجرمان اجازه میدهد بدون ایجاد هرگونه اخطار امنیتی در دستگاه قربانیان، یک بدافزار را در ویندوزهای آنان راهاندازی نمایند. از طریق این آسیبپذیری مجرمان میتوانند یکی از ویژگیهای ویندوز یعنی Mark of the Web را دور بزنند. ویژگی Mark of the Web تمامی فایلهای دانلود شده از سایتهای نامطمئن را با برچسب خاصی تفکیک میکند.
این بدافزار در قالب حملات فیشینگ در حال انتشار است و با یک فیشینگ ایمیل Phishing Email آغاز میشود که شامل یک لینک با پیوستهایی همچون فایلهای ZIP رمزنگاری شده و فایلهای تصویری است و به محض نصب شدن سبب بالا آمدن فایل جاوا اسکریپت به صورت ناقص میشود.
دستگاههایی که ویندوز ۱۰ و یا جدیدتر بر روی آنها نصب است در معرض این ریسک هستند که تنها با یک دابل کلیک Double Clicking بر روی فایلهای تصویری، بهصورت خودکار یک Drive Letter جدید بر روی سیستم نصب شود.
این اولین بار نیست که هکرها از آسیبپذیریهای ویژگی Mark of the Web در ویندوزها سواستفاده میکنند و اخیرا نیز مشاهده شده که بسیاری از هکرها از روشی مشابه، برای انتشار باج افزار Magniber استفاده میکنند.
شرکت مایکروسافت نیز از این نقص به خوبی آگاه است و هماکنون در صدد برطرف کردن این مشکل است و احتمالا تا یک ماه آینده این نقیصه را اصلاح خواهد کرد.
منبع:
جمعبندی
دور زدن هشدارهای امنیتی مایکروسافت توسط بدافزارها، نشانهای از پیشرفت روشهای حملهکنندههاست. هکرها با استفاده از تکنیکهایی مانند Obfuscation، استفاده از فایلهای معتبر، و استفاده از ابزارهای داخلی ویندوز موفق به فریب سیستمهای امنیتی میشوند.
اما این به معنای بیاهمیتی سیستمهای امنیتی نیست. بلکه نیاز به افزایش آگاهی کاربران، استفاده از ابزارهای جانبی و مدیریت بهتر دسترسیها است.
سوالات متداول
۱. آیا Microsoft Defender کافی است؟
Defender یک لایه امنیتی خوب است اما نباید تنها ابزار امنیتی باشد. استفاده از آنتیویروسهای جانبی و روشهای دفاعی دیگر ضروری است.
۲. چطور متوجه شوم که سیستم من آلوده شده؟
علائمی مانند:
- کندی غیرمعمول
- باز شدن خودکار مرورگر
- تغییر تنظیمات سیستم
- وجود فایلهای ناشناخته
نشانههایی از وجود بدافزار هستند.
۳. آیا میتوان هشدارهای امنیتی را به طور کامل غیرفعال کرد؟
بله، ولی این کار بسیار خطرناک است و فقط در موارد خاص و تحت نظارت باید انجام شود.
۴. آیا تمام بدافزارها این قابلیت را دارند؟
نه، فقط بدافزارهای پیشرفته و حرفهای از این روشها استفاده میکنند.