كشفت أبحاث أمنية حديثة عن حملة برمجيات خبيثة جديدة متطورة تستخدم حصان طروادة للوصول عن بعد يُعرف باسم PureRAT، لاختراق أنظمة ويندوز بشكل خفي. يتميز هذا التهديد بقدرته على إخفاء الشفرات الضارة داخل ملفات صور PNG عادية، وتنفيذها بالكامل في الذاكرة دون ترك آثار على القرص، مما يجعل اكتشافها تحدياً كبيراً لأدوات الأمان التقليدية. تتزايد هذه التقنيات التي تعرف بالتنفيذ بلا ملفات، وتشير إلى تطور أساليب الجهات التهديدية لتفادي الكشف.
تبدأ عملية الإصابة من خلال ملف اختصار ضار (.lnk)، وهو عنصر يبدو بريئاً للمستخدم ويمكن أن يشبه ملفات فتح التطبيقات العادية. عند فتح هذا الاختصار، يتم تشغيل أمر PowerShell مخفي بصمت دون علم المستخدم. يقوم هذا الأمر بالاتصال بخادم خارجي لجلب ملف صورة PNG يحتوي على حمولة خبيثة تم تضمينها باستخدام تقنية إخفاء المعلومات (Steganography). تبدو الصورة طبيعية للعين المجردة، لكنها في الواقع تخفي ملفاً تنفيذياً محمولاً (PE) مشفراً بترميز Base64، جاهزاً لفك تشفيره وتحميله في ذاكرة النظام.
حملة PureRAT: تفاصيل آلية الاختراق
يقف وراء هذا الاكتشاف باحثون من شركة Trellix، الذين قاموا بتحليل متعمق لهذه الحملة. لاحظوا استخدام تقنيات تعتيم متعددة الطبقات في سلسلة الإصابة. على سبيل المثال، يتم تعتيم محمل المراحل الثانوية الذي يعتمد على PowerShell بشكل كبير، مع إضافة بيانات غير مفيدة في البداية والنهاية لخداع الباحثين وتجنب التحليل الآلي. كما أن البرنامج الضار يفحص بيئات VMware و QEMU للكشف عن بيئات التحليل الافتراضية، ويتم إنهاؤه فوراً إذا تم اكتشافه.
بعد تشغيل البرنامج الضار بالكامل، يقوم بعملية مسح للجهاز المضيف (Host Fingerprinting). يتضمن ذلك جمع تفاصيل حول منتجات الأمان المثبتة، ومعرفات الأجهزة، وصلاحيات المستخدم. يتجاوز البرنامج الضار آلية التحكم في حساب المستخدم (UAC) باستخدام أداة cmstp.exe، ويستخدم تقنية “تلبيس العمليات” (Process Hollowing) ليتم تنفيذه ضمن عملية msbuild.exe الشرعية، مما يمنحه مظهراً موثوقاً به. تتواصل الحمولة الخبيثة مع خادم القيادة والتحكم (C2) عبر مستمع ديناميكي لاستقبال الأوامر، مما يتيح للمهاجمين نشر إضافات لأغراض مثل تسجيل ضغطات المفاتيح، أو المراقبة، أو الوصول عن بعد إلى سطح المكتب.
آلية عمل PureRAT المتقدمة
يكمن جوهر أسلوب PureRAT في الجمع بين تقنية إخفاء المعلومات في الصور والتنفيذ في الذاكرة. بعد أن يحفز ملف .lnk الأمر المخفي في PowerShell، يقوم البرنامج النصي بتنزيل ملف PNG من خادم المهاجم. تحتوي هذه الصورة على ملف PE مشفر بـ Base64 مخبأ بداخلها. يحدد البرنامج النصي مؤشرات بداية ونهاية الحمولة، يستخرجها، يطبق استبدالاً للأحرف، يعكس البيانات، يفك تشفيرها باستخدام Base64، ثم يحولها إلى مصفوفة بايت. بعد ذلك، يتم تحميل مصفوفة البايت هذه مباشرة في الذاكرة كوحدة .NET مجمعة باستخدام System.Reflection.Assembly.Load().
كل العمليات الخبيثة تحدث داخل ذاكرة عملية PowerShell، وبالتالي تظل عملية msbuild.exe الأصلية على القرص سليمة وخالية من أي تغيير، وتحتفظ بوضعها كملف ويندوز شرعي وموقع. هذا يسمح لـ PureRAT بالتهرب من الكشف القائم على فحص الملفات. تعمل الوحدة النمطية DLL المضمنة في ملف GeneratedPy.png كمحمل للمرحلة التالية، وهي محمية بتعتيم .NET Reactor. تقوم الدالة Main باستدعاء روتين فك تشفير Triple DES، والذي يستمد المفتاح ومتجه التهيئة من سلاسل Base64 مشفرة موجودة داخل الملف.
بعد فك التشفير، يتم تنفيذ البايتات كوحدة .NET في الذاكرة، لتكتمل بذلك سلسلة التسليم عديمة الملفات. لتقليل التعرض لتهديدات مماثلة لـ PureRAT، يُنصح باتباع الخطوات التالية:
- تعزيز أمان نقاط النهاية من خلال سياسات تنفيذ صارمة لبرامج PowerShell النصية و VBS، وتكوين الحماية للكشف عن الأنشطة في الذاكرة مثل Process Hollowing وتحميل الكود الانعكاسي.
- مراقبة وتقييد استخدام ملفات الويندوز المضمنة مثل cmstp.exe و msbuild.exe، والتي يتم استغلالها في هذه السلسلة الهجومية.
- حظر نطاقات (C2) وعناوين IP المعروفة باستخدام مصادر معلومات التهديدات، ومراقبة حركة المرور بحثاً عن اتصالات على منافذ غير قياسية.
- تطبيق التحديثات الأمنية بانتظام لسد الثغرات التي يستغلها المهاجمون أثناء الوصول الأولي.
- تدريب المستخدمين على التعرف على مخاطر فتح ملفات الاختصار (.lnk) غير المتوقعة أو مرفقات البريد الإلكتروني، حتى تلك التي تبدو قادمة من مصادر موثوقة.