كشف باحثون أمنيون مؤخرًا عن تفاصيل تقنيات متقدمة يستخدمها برنامج Rhadamanthys Loader، وهو برنامج ضار متطور يهدف إلى سرقة البيانات. يُعد Rhadamanthys أحد أخطر برامج سرقة المعلومات منذ ظهوره الأول في عام 2022.
تواصل هذه التهديدات المتقدمة تحدي فرق الأمن بقدرتها على سرقة البيانات الحساسة من الأنظمة المصابة مع تجنب الكشف بواسطة أدوات الأمان التقليدية. وقد اشتهر البرنامج بشكل خاص باستخدامه في هجمات تستهدف الشركات والأفراد حول العالم.
Rhadamanthys Loader: تقنيات متطورة لتجنب الكشف
يبرز مكون المحمل (Loader) في Rhadamanthys كإنجاز تقني في مجال تطوير البرامج الضارة. فبخلاف حمولة السرقة نفسها، يعمل المحمل كآلية توصيل أولية تُعد النظام للإصابة.
ما يجعل هذا المحمل صعبًا بشكل خاص على الباحثين الأمنيين هو تطبيقه لطبقات حماية متعددة مصممة لمنع التحليل والكشف. تشمل هذه الحمايات تقنيات تمويه مخصصة تشوش بنية الشفرة، مما يجعل من الصعب للغاية على كل من الأدوات الآلية والمحللين البشريين فهم آلية عمل البرنامج الضار.
حدد باحثو الأمن السيبراني مؤخرًا عدة تقنيات رئيسية يستخدمها Rhadamanthys Loader للتغلب على الكشف والتحليل. يطبق البرنامج نظامًا فريدًا مضادًا للصناديق الرملية (anti-sandboxing) يراقب سلوك المستخدم قبل تنفيذ حمولته.
بالإضافة إلى ذلك، يستخدم المحمل تقنيات متقدمة مثل تسطيح تدفق التحكم (control flow flattening) وتشويش أهداف القفز (jump target obfuscation)، والتي تكسر التدفق الطبيعي لتنفيذ الشفرة. هذه الأساليب تحول البرنامج إلى لغز، حيث تبدو كل قطعة منفصلة عن غيرها، مما يمنع أدوات الأمان من رسم خريطة لكيفية عمل البرنامج الضار.
تشفير الحمولة وتغليفها
يتم ترميز الحمولة التي يحملها المحمل باستخدام خوارزمية مخصصة يسميها مبتكرو البرنامج الضار “Flutter”. ويقوم مخطط الترميز هذا بتحويل البيانات الثنائية إلى نص يشبه الأحرف العشوائية، مما يساعد البرنامج الضار على إخفاء غرضه الحقيقي عن الماسحات الأمنية.
يتم حماية الحمولة المرمزة بشكل إضافي بواسطة تشفير SM4، وهو تشفير كتلة صيني يضيف طبقة أخرى من الأمان. مجتمعة، تخلق هذه الحمايات حاجزًا قويًا سمح لـ Rhadamanthys بالبقاء فعالاً على الرغم من الجهود المستمرة من قبل الباحثين الأمنيين لمكافحته.
تجنب الكشف من خلال تحليل سلوك المستخدم
يطبق Rhadamanthys Loader نظام تحليل قائم على الوقت يراقب نشاط المستخدم لمدة 45 ثانية على الأقل قبل تنفيذ حمولة السرقة. تستخدم آلية مكافحة الصناديق الرملية هذه معاودة اتصال مؤقتة (timer callback) تجمع مواضع المؤشر، ومعلومات النافذة الأمامية، وطوابع زمنية كل 30 مللي ثانية لمدة 1500 تكرار.
يقوم البرنامج الضار بعد ذلك بتحليل هذه البيانات المجمعة لتحديد ما إذا كان يعمل في بيئة مستخدم حقيقية أم نظام تحليل آلي. يقوم المحمل بإجراء فحوصات محددة على البيانات المجمعة للتحقق من البيئة.
شروط التقييم البيئي
أولاً، يتحقق مما إذا كان موضع المؤشر قد تغير 30 مرة على الأقل خلال فترة المراقبة. ثانيًا، يتحقق من وجود نافذتين أماميتين مختلفتين على الأقل، مع وجود نافذة واحدة على الأقل لا تنتمي إلى عملية سطح المكتب.
إذا لم يتم استيفاء هذه الشروط، يدخل البرنامج الضار في دورة مراقبة أخرى لمدة 45 ثانية مع فحوصات متقدمة تحسب المسافات الإقليدية بين مواضع المؤشر لاكتشاف أنماط الحركة غير البشرية. يتجاوز نظام الكشف القائم على السلوك هذا بفعالية العديد من بيئات التحليل الآلية التي لا تحاكي تفاعل المستخدم الواقعي.
من جهة أخرى، تكيفت الصناديق الرملية المتقدمة مثل CAPE و VMRay مع هذه التقنيات ويمكنها تحقيق تنفيذ الحمولة بنجاح. يقوم المحمل بإنشاء نافذة غير مرئية ويستخدم بنية تعتمد على الرسائل لفرز وتنفيذ الوظائف من خلال معاودات الاتصال المؤقتة، مما يجعل تدفق التنفيذ صعب التتبع دون إزالة التشويش المناسبة لهيكل الشفرة الأساسي.