Review Running Processes

يجب أن يحتوي الكمبيوتر المصاب ببرمجية التجسس على بعض العمليات الضارة التي تعمل في جميع الأوقات ومراقبة النظام وجمع البيانات ليتم نقلها إلى خادم القيادة والتحكم الخاص بالمهاجمين. لذلك هناك خطوة أخرى في فحص جهاز كمبيوتر يعمل بنظام ويندوز مشتبه بإصابته وهي استخراج قائمة العمليات الجارية ومعرفة ما إذا كان أي منها يعرض خصائص مشبوهة.

ويتوفر عدد من الأدوات المتاحة للقيام بذلك.

تحذير: قد تكون برمجيات التجسس الأكثر تطورًا قادرة على التهرب من هذه الأداة إما عن طريق إخفاء إدخالاتها الخاصة من الشجرة أو ربما عن طريق الإنهاء الفوري إذا لاحظت إطلاق أي من هذه الأدوات، ونقدم في هذا الدليل بعض المنهجية والاقتراحات الأولية لإجراء تقييم أولي. ليست قائمة العمليات النظيفة بالضرورة ضمانًا لنظام نظيف.

قبل المتابعة بإجراء الفحص يُنصح بإغلاق جميع تطبيقات التشغيل الظاهرة من أجل تقليل مخرجات الأدوات التي سيتم تشغيلها إلى الحد الأدنى.

أداة بروسيس إكسبلورر (Process Explorer)

أداة بروسيس إكسبلورر هي أداة أخرى من مجموعة سيسينترنال من مايكروسوفت وتسرد جميع العمليات التي تعمل على النظام ضمن شجرة:

تشبه نوعًا ما منهجية فحص العمليات قيد التشغيل المشبوهة ما وصفناه في قسم فحص البرامج التي تبدأ مع تمهيد تشغيل الكمبيوتر.

1. تحقق من التوقيع الرقمي للصور

على غرار أتورانز تسمح أداة بروسيس إكسبلورر أيضًا بالتحقق من التواقيع الرقمية للتطبيقات قيد التشغيل بالنقر على Options (خيارات) وتمكين "التحقق من التواقيع الرقمية للصور (Verify Image Signatures)". تنطبق ذات الاعتبارات والتحذيرات التي وصفناها في القسم السابق هنا أيضًا، ولكنه إلى حد أهم في العمليات قيد التشغيل لأن حقيقة وجود توقيع رقمي لعملية التطبيق لا تعني بالضرورة أنها آمنة. غالبًا ما تستخدم البرمجيات الضارة تقنيات مثلProcess Hollowing (تجويف العملية) أو DLL Sideloading لأجل تنفيذ التعليمات البرمجية ضمن سياق تطبيق سليم ويتمتع بتوقيع رقمي من أجل إحباط محاولات الكشف.

2. ابحث عن البرمجيات النصية

غالبًا ما يستفيد المهاجمون هذه الأيام من قدرات البرمجة النصية لنظام مايكروسوفت ويندوز مثل باور شيل (PowerShell) وويندوز سكريبت هوست (Windows Script Host) بسبب مرونتها وحتى القدرة على تجنب الكشف، ويشاع استخدام محركات البرمجة النصية هذه من قبل عملاء المؤسسات لأتمتة تكوينات الأنظمة الداخلية. من غير الشائع رؤية تطبيقات مستهلك تستخدمها لذلك يجب إجراء فحوص إضافية على أي عمليات ذات صلة قيد التشغيل.

عادة ما تسمى هذه العمليات powershell.exe أو wscript.exe.

فيما يلي مثال من بروسيس إكسبلورر يعرض برنامج نصي على باور شيل ضارًا يعمل بشكل واضح على النظام:

يُظهر عند تمرير مؤشر فوق اسم العملية وسيطات سطر الأوامر التي تظهر بوضوح أن البرنامج النصي يحاول تنزيل وتنفيذ بعض التعليمات البرمجية الإضافية، ويلحظ أيضًا استخدام أحرف صغيرة وكبيرة مختلفة مثل "doWnLoAdfile " وتُعدّ هذه خدعة بسيطة جدًا يستخدمها المهاجمون للتهرب من أنماط الكشف الأساسية أيضًا لدى برمجيات الأمان.

3. ابحث عن ملفات DLL قيد التشغيل

تأتي البرمجيات الضارة أحيانًا أيضًا في شكل DLL (مكتبة ارتباطات ديناميكية) والتي - على عكس التطبيق المستقل (بمعنى آخر ملف exe.) - يجب تشغيلها بواسطة أداة تحميل. يوفر وويندوز بعض البرامج لتشغيل ملفات DLL، عادةً مثل regsvr32.exe وrundll32.exe التي تحصل على توقيعها من مايكروسوفت.

ابحث عن أي عمليات تستخدمها قيد التشغيل وحاول تحديد ملف DLL التي تنفذه. على سبيل المثال في لقطة الشاشة أدناه يمكننا رؤية نظام وويندوز مصاب يشغل ملف DLL ضار موجود في C:\Users\<Username>\AppData\ باستخدام regsvr32.exe.

4. ابحث عن عمليات التطبيقات التي يجب أن تكون مرئية

من بين التقنيات العديدة التي غالبًا ما يستخدمها المهاجمون توجد طريقة تسمى Process Hollowing (تجويف العملية)، وتتمثل في تشغيل تطبيق سليم (مثل إنترنت اكسبلورر (Internet Explorer) أو جوجل كروم (Google Chrome)) وإفراغ ذاكرته واستبداله بشفرة ضارة يتم تنفيذها بعدها. عادة يتم ذلك لإخفاء التعليمات البرمجية الضارة وجعله يبدو وكأنه تطبيق سليم (يكون بعدها مجرد غلاف فارغ)، وكذلك للتهرب من تطبيقات جدار الحماية وربما التهرب من بعض المنتجات الأمنية الأخرى.

على سبيل المثال إذا شاهدت عملية iexplore.exe قيد التشغيل مع عدم وجود هناك نافذة إنترنت اكسبلورر مفتوحة يجب أن تعتبر أن هذه علامة مثيرة للقلق.

اختياري: 5. فحص البرامج على فيروس توتال (VirusTotal)

على غرار قسم أتورانز، يقدم بروسيس إكسبلورر أيضًا إمكانية فحص العمليات قيد التشغيل على فيروس توتال من خلال فحص شفرة التجزئة التشفيرية للملفات القابلة للتنفيذ المحددة. يمكن تمكين ذلك بالنقر على Options (خيارات) \> VirusTotal.com وتفعيل Check VirusTotal.com.

يرجى الانتباه: تنطبق الاعتبارات والتحذيرات الموضحة في القسم السابق هنا أيضًا، لذا تأكد من قراءتها قبل المتابعة.

أداة كراود إنسبكت (CrowdInspect)

تُعدّ أداة كراود إنسبكت أداة من إنتاج شركة الأمن الأمريكية كراود سترايك، وتشبه إلى حد كبير بروسيس إكسبلورر ولكن تتمتع ببعض المزايا الإضافية. في البداية تميل المعلومات التي تقدمها إلى أن تكون أكثر اختصارًا، وثانيًا لا تُظهر العمليات قيد التشغيل حاليًا فحسب بل يمكنها أيضًا إظهار العمليات التي انتهت منذ تشغيل الأداة (والتي ربما تكون قد فاتتك لأنه جرى تنفيذها بسرعة كبيرة جدًا). وأخيرًا تقوم بإجراء عدد أكبر من عمليات الفحص التي لا يدعمها بروسيس إكسبلورر حاليًا.

التحقق من وجود أي حقن في العمليات

ربما تكون الميزة الأكثر إثارة للاهتمام التي تقدمها كراود إنسبكت هي القدرة على التعرّف على أي عمليات محقونة، حيث يُعدّ حقن العمليات فئة تقنيات التي يكون هدفها تشغيل التعليمات البرمجية الضارة في سياق تطبيق منفصل وسليم بشكل عام (مثل explorer.exe). غالبًا ما يستخدم مؤلفو البرمجيات الضارة حقن العمليات من أجل الحصول على امتيازات إضافية على النظام أو على سبيل المثال لتجنب الكشف.

وستقوم كراود إنسبكت بتنبيهك تجاه أي عمليات حقن عن طريق عرض نقطة حمراء مرئية تحت عمود "Inject (حقن)". تعتبر العمليات المحقونة بشكل عام مؤشرًا قويًا جدًا على احتمال وجود أنشطة حقن على الكمبيوتر الذي تم اختباره.

PreviousReview Programs Launching at Startup NextReview Network Connections

Last updated 10 days ago