كشفت تقارير أمنية حديثة عن ظهور سلالة جديدة من برمجيات الفدية الخبيثة المعروفة باسم SysUpdate، والتي تستهدف أنظمة لينكس بقدرات تشفير متقدمة لشبكات القيادة والتحكم (C2). وقد تم اكتشاف هذه التهديدات السيبرانية خلال عملية استجابة للحوادث في بيئة أحد العملاء.
ووفقًا للتحليلات التي أجراها محللو شركة LevelBlue، فإن هذه السلالة الجديدة من برمجيات الفدية الخبيثة، التي تحاكي برنامجًا شرعيًا لخدمات النظام، تتميز بقدرتها على التخفي وجمع معلومات النظام قبل إنشاء اتصالات شبكية مشفرة. وقد أدت طبيعة الملف التنفيذي المشفر (ELF64) الذي يفتقر إلى رؤوس الأقسام المعيارية إلى صعوبات في التحليل بالطرق التقليدية.
سلالة SysUpdate الجديدة: تحديات التشفير والاستجابة السريعة
تمكن باحثو الأمن السيبراني من تحديد السلالة الجديدة من SysUpdate من خلال تحليل سلوكيات النظام والكشف عن مؤشرات قوية تربط العينة المكتشفة بإصدار جديد من هذه البرمجية الخبيثة. وتم تأكيد هذا الارتباط بدرجة عالية من الثقة بعد إجراء هندسة عكسية شاملة للعينة.
تكمن الخطورة الأساسية لهذه السلالة في استخدامها لشبكات C2 المشفرة. هذا التشفير المعقد، المبني بلغة C++، يشكل عائقًا كبيرًا أمام أنظمة الكشف المعتمدة على تحليل حركة مرور الشبكة. وللتغلب على هذه المشكلة، طور المحللون أدوات متخصصة لمحاكاة الكود باستخدام محرك Unicorn Engine، مما أتاح فك تشفير الاتصالات بدون الحاجة لفهم كامل لآلية التشفير.
تطوير أدوات فك التشفير في الوقت الفعلي
وأشار باحثو LevelBlue إلى أن أداة فك التشفير تم تطويرها خلال تحقيق نشط في حادثة قائمة، مما يعكس قدرة استجابة سريعة وفعالة في مواجهة التهديدات الحقيقية. اعتمدت الطريقة التقنية على استخلاص بيانات الكود، وهياكل البيانات العامة، وقيم الذاكرة العشوائية، وحالات مسجلات وحدة المعالجة المركزية من العينة الخبيثة أثناء تشغيلها.
من خلال محاكاة آليات توليد المفاتيح وعمليات التشفير الخاصة بالبرمجية الخبيثة، نجح المحللون في فك تشفير حركة مرور C2 الملتقطة، وكشف محتواها الأصلي. وهذا الأسلوب يتيح فرق الأمن السيبراني فك تشفير حركة المرور من أي عينة مستقبلية لهذه العائلة من البرمجيات الخبيثة، بمجرد استخلاص مفتاح التشفير الجديد.
وتشمل الأدوات المستخدمة في هذا النهج Binary Ninja للتحليل الثابت، و GDB للتصحيح الديناميكي، وربط Rust-based Unicorn Engine لمحاكاة كود التجميع x86-64. تعتمد بيئة المحاكاة على تكرار دقيق لخرائط الذاكرة الخاصة بعملية البرمجية الخبيثة، بما في ذلك عناوين المكدس، وهياكل الذاكرة العشوائية، ومقاطع البيانات التي تحتوي على الثوابت التشفيرية، ومقاطع الكود التي تضم روتينات التشفير.
توصيات أمنية لمواجهة التهديدات
تتضمن التوصيات الأمنية للمؤسسات نشر حلول كشف على نقاط النهاية، قادرة على رصد الملفات التنفيذية المشفرة ذات السلوكيات المشبوهة لخدمات النظام. كما ينبغي على فرق الأمن تنفيذ تحليلات لحركة مرور الشبكة لتحديد أنماط الاتصالات المشفرة، حتى لو تعذر فك تشفيرها فورًا.
ويجب أن تتضمن إجراءات الاستجابة للحوادث قدرات لمحاكاة البرمجيات الخبيثة والهندسة العكسية السريعة لتطوير أدوات فك تشفير مخصصة أثناء التحقيقات النشطة. إن التهديدات السيبرانية الجديدة مثل سلالة SysUpdate تتطلب يقظة مستمرة وتطويرًا مستمرًا للتقنيات الدفاعية للتصدي لها بفعالية.