وفي مجال الأمن السيبراني، ظهر تهديد جديد: التلوين التلقائي، وهو برنامج ضار لأنظمة Linux يصيب الجامعات والمنظمات الحكومية في أمريكا الشمالية وآسيا. تم اكتشاف هذا البرنامج الخبيث من قبل الباحثين في Palo Alto Networks في أواخر عام 2024، وأصبح مصدر قلق متزايد بسبب قدرته على التهرب من الاكتشاف والحفاظ على السيطرة على الأنظمة المخترقة.
وعلى الرغم من جهود خبراء الأمن، ولم يتم حتى الآن تحديد كيفية انتشاره بشكل واضح.. ومع ذلك، يبدو أنها تستخدم تكتيكات الهندسة الاجتماعية وهجمات التصيد الاحتيالي لخداع المستخدمين لتشغيل أنظمة مصابة.
ميزات وقدرات التلوين التلقائي
بمجرد تنفيذ البرامج الضارة على النظام، يتم تثبيتها سراً تغير اسمه إلى "التلوين التلقائي"مما يسمح لها بالعمل دون إثارة الشكوك. في البداية، كانت الملفات القابلة للتنفيذ المستخدمة لإصابة الأجهزة تحمل أسماء عامة مثل "door" أو "egg" أو "log"، مما يجعل من الصعب اكتشافها.
يحتوي البرنامج الخبيث على عدد من الميزات المتقدمة التي تزيد من خطورته:
- الوصول عن بعد الكامل: يمكن للمهاجمين تشغيل النظام المصاب كما لو كانوا أمامه فعليًا.
- تنفيذ الأمر: يسمح لمجرمي الإنترنت بتنفيذ تعليمات من شأنها تعريض النظام للخطر أو التلاعب بملفاته.
- استخدام النظام كوكيل: يحول الكمبيوتر إلى وسيط لإخفاء أنشطة ضارة أخرى.
- احذف نفسك: يحتوي البرنامج على خاصية "مفتاح القتل" التي تسمح له بمحو آثاره من الجهاز المصاب لتجنب التحليل الجنائي.
تقنيات التهرب والمثابرة
لقد أثبتت تقنية Auto-Color أنها ماهرة بشكل خاص في إخفاء وجودك في النظام. أحد أخطر تكتيكاته هو تثبيت مكتبة خبيثة تسمى 'libcext.so.2'، والتي تتنكر في هيئة مكتبة نظام شرعية. بالإضافة إلى ذلك، يقوم بتعديل الملف '/etc/ld.preload' للتأكد من تنفيذ الكود الخاص به قبل أي مكتبات نظام أخرى.
لتجعل من الصعب تتبع نشاطها، تستخدم البرامج الضارة تشفير مخصص لإخفاء الاتصالات مع خوادم التحكم الخاصة بهم (C2)، مما يمنع مسؤولي الأمان من اكتشاف الاتصالات المشبوهة. بالإضافة إلى ذلك، فإنه يعترض ويعدل المعلومات الموجودة في '/proc/net/tcp'، وهو ملف نظام يسجل الاتصالات النشطة عادةً. بفضل هذا التلاعب، يتمكن Auto-Color من جعل عمليات نقل البيانات الخاصة به تتم دون أن يلاحظها أحد.
لا يزال متجه الهجوم غير معروف
أحد أكثر الجوانب المزعجة في Auto-Color هو أنه وتظل طريقة توزيعه لغزا.. على عكس البرامج الضارة الأخرى التي تستغل نقاط ضعف محددة، لا يبدو أن هذا البرنامج الضار يستغل العيوب في نظام التشغيل Linux بشكل مباشر. وبدلاً من ذلك، يعتقد الباحثون أن انتشاره قد يكون مرتبطًا بالهندسة الاجتماعية أو الهجمات التي تستهدف مسؤولي النظام الذين قد ينفذون الملف دون الشك في طبيعته الخبيثة.
كيف تحمي نفسك من اللون الذاتي
لتقليل مخاطر الإصابة بالعدوى، يوصي خبراء الأمن باتباع سلسلة من الممارسات الوقائية:
- منع تشغيل الملفات المشبوهة: يجب على مسؤولي النظام أن يكونوا حذرين مع الملفات غير المعروفة، حتى لو كانت تبدو شرعية.
- راقب التغييرات في '/etc/ld.preload' و'/proc/net/tcp': غالبًا ما تتم معالجة هذه الملفات بواسطة Auto-Color لضمان الثبات.
- تنفيذ حلول الكشف القائمة على السلوك: بفضل تقنيات التهرب المتقدمة، يمكن أن يكون هذا النوع من الفحص أكثر فعالية من برامج مكافحة الفيروسات التقليدية.
- استخدم سياسة الحد الأدنى من الامتيازات: يؤدي تقييد وصول المستخدم إلى الوظائف الإدارية إلى تقليل فرصة نجاح الهجوم.
ويسلط ظهور Auto-Color الضوء على أهمية المراقبة المستمرة في مجال الأمن السيبراني. على الرغم من أن طريقة توزيعه لا تزال غير واضحة، فإن تطوره وقدراته على التهرب تجعله أحد أكثر التهديدات المثيرة للقلق التي تواجه بيئات Linux اليوم.
الصورة: DALL-E.