كشفت تقارير أمنية حديثة عن ظهور برمجية خبيثة جديدة تسمى “DeepLoad” تستهدف بشكل خاص بيئات الشركات، حيث تمكن المهاجمين من اختراق الشبكات واستخلاص بيانات الاعتماد الحساسة، حتى بعد إعادة تشغيل الأنظمة وجهود التنظيف التقليدية. ويعتمد هذا النوع من البرمجيات الخبيثة على التخفي والابتكار للبقاء متخفياً عن أدوات الأمن.
تتميز حملة DeepLoad باستخدامها لأساليب متطورة تتجاوز معظم وسائل الحماية الحالية. يبدأ الهجوم بعملية خداع للمستخدم، تتضمن عرض صفحة خطأ مزيفة بالمتصفح، مع توجيه الموظفين للصق أمر برمجي في نافذة “تشغيل” بنظام ويندوز لإصلاح المشكلة المزعومة.
هذا الأمر الواحد يقوم بإنشاء مهمة مجدولة تعيد تشغيل البرمجية الخبيثة مع كل عملية إعادة تشغيل للنظام. كما يستخدم أداة نظام ويندوز شرعية mshta.exe لتحميل حمولة مشفرة من خوادم يسيطر عليها المهاجمون، مما يزيد من صعوبة اكتشافها.
وفقًا لباحثين في مجال الأمن السيبراني، تم رصد بدء انتشار المحتوى الخبيث من النطاقات المستخدمة خلال دقائق معدودة من تفعيلها، مما يترك لفرق الاستجابة وقتاً محدوداً للغاية للتحرك.
ولقد ألقت تقارير تحليلية الضوء على هذه الحملة أثناء التحقيق في اختراقات حالية لشبكات شركات. وأظهرت النتائج أن سلسلة الهجوم بأكملها صممت لتجاوز الاستجابة اليدوية منذ البداية.
تبدأ عملية سرقة بيانات الاعتماد في وقت مبكر من الهجوم، قبل اكتمال المراحل الأساسية. وتنتشر البرمجية الخبيثة إلى أقراص USB المتصلة خلال دقائق من الإصابة، مما يجعل النظام المتضرر الأول ليس بالضرورة النظام الوحيد المتأثر.
مخاطر DeepLoad الأمنية المباشرة
يتمثل الخطر التجاري المباشر في إسقاط البرمجية الخبيثة لبرنامج سرقة بيانات الاعتماد المسمى filemanager.exe، الذي تم تسميته ليبدو كأي عملية نظام عادية.
هذا البرنامج يعمل عبر قناة أوامر وتحكم خاصة به، ويقوم بسرقة البيانات حتى لو تم حظر البرنامج الرئيسي. بالإضافة إلى ذلك، يلتقط أحد ملحقات المتصفح الخبيثة كلمات المرور ورموز الجلسات أثناء إدخالها من قبل المستخدم، وتستمر هذه العملية حتى تتم إزالتها.
قامت البرمجية الخبيثة أيضًا بكتابة أكثر من 40 ملف تثبيت مموه على أقراص USB المتصلة، بما في ذلك اختصارات وهمية لمتصفحات شهيرة وبرامج أمان، وكل منها جاهز لبدء إصابة كاملة على أي جهاز يتم استخدامه.
تكمن إحدى الخطوات الأكثر إثارة للقلق في زرع اشتراك حدث WMI (Windows Management Instrumentation) مخفي أثناء الاختراق الأولي. وهو ما يجعل النظام عرضة لإعادة الإصابة بنفسه تلقائيًا ودون أي تدخل من المستخدم، لأنه يعمل خارج مسارات الإصلاح القياسية.
في إحدى الحالات التي تم تأكيدها، تم تشغيل هذا الاشتراك بعد ثلاثة أيام من ظهور النظام نظيفًا، حيث أعادت البرمجية الخبيثة quietly إسقاط filemanager.exe في مجلد التنزيلات الخاص بالمستخدم.
استغلال الذكاء الاصطناعي وتقنيات التخفي
تتجنب DeepLoad الكشف على كل مستوى، مما يصعب اكتشافها باستخدام الأدوات الأمنية التقليدية. يتم تعبئة برنامج التحميل PowerShell الخاص بها بآلاف المتغيرات غير ذات المعنى، مما يجعل البرنامج النصي يبدو نشطًا دون أداء أي عمل حقيقي.
يقع منطق فك التشفير الفعلي، وهو روتين فك تشفير XOR بسيط، في أسفل البرنامج، ويقوم بفك تشفير Shellcode في الذاكرة، مما يعني أن الحمولة المفكوكة لا تلمس القرص الصلب مطلقًا.
وقد أشار باحثو ReliaQuest إلى ثقتهم العالية بأن الذكاء الاصطناعي هو من قام بإنشاء طبقة التعتيم هذه. هذا يعني أنه يمكن إعادة بناء ونشر متغيرات جديدة بسرعة قبل أن تتمكن فرق الدفاع من تعديل تغطية الكشف الخاصة بهم.
بمجرد تشغيل البرمجية، يستخدم برنامج التحميل ميزة Add-Type في PowerShell لتجميع DLL حقن جديد في الوقت الفعلي، مما ينتج عنه DLL باسم عشوائي لا يمكن لأدوات الكشف المستندة إلى التوقيعات مطابقته.
ثم تختار البرمجية الخبيثة عملية نظام ويندوز موثوقة لحقن الكود فيها. ففي الأنظمة التي تم التحقيق فيها، تم اختيار عملية LockAppHost.exe، وهي عملية شاشة قفل ويندوز.
نظرًا لأن LockAppHost.exe لا يبدأ عادةً اتصالات صادرة، فإن معظم أدوات الأمان ليست مهيأة لمراقبته. ومن خلال حقن APC (Asynchronous Procedure Call)، تقوم البرمجية الخبيثة بوضع Shellcode في ذاكرة هذه العملية وتشغيلها عند استئنافها، دون ترك أي حمولة مفكوكة على القرص.
ينصح الخبراء فرق الأمن بتمكين تسجيل مقاطع PowerShell النصية، حيث إنها تلتقط الأوامر المفكوكة وقت التشغيل وتتجاوز التعتيم.
يجب مراجعة جميع اشتراكات أحداث WMI على الأنظمة المتأثرة وإزالتها بشكل صريح قبل إعادة أي جهاز إلى الإنتاج، حيث يمكن لاشتراك باقٍ إعادة تنفيذ الهجوم بعد أيام من التنظيف.
كما يجب تغيير جميع بيانات الاعتماد التي يمكن الوصول إليها من نظام مصاب مؤكد – كلمات المرور المحفوظة، رموز الجلسات، والحسابات النشطة – فورًا.
ويجب فحص جميع أقراص USB المتصلة بالنقاط الطرفية المتأثرة قبل إعادة استخدامها. ويجب إزالة ملحقات المتصفح التي تقع خارج مسارات النشر المعتمدة من قبل قسم تقنية المعلومات من الأنظمة المتأثرة.
ويجب أن يتحول رصد النقاط الطرفية من المسح المستند إلى الملفات إلى الكشف السلوكي وقت التشغيل باستخدام بيانات EDR (Endpoint Detection and Response) وفحص الذاكرة.