تواجه الفرق الأمنية التي تعمل على حماية بيئات لينكس الآن تهديداً متطوراً مصمماً لتفادي الكشف التقليدي. تم اكتشاف إطار عمل برمجيات خبيثة جديد خالٍ من الملفات يُدعى ShadowHS، وهو يعمل بالكامل في الذاكرة، مما لا يترك أثراً دائماً على القرص بينما يؤسس سيطرة طويلة الأمد على الأنظمة المخترقة.
على عكس التهديدات التقليدية لنظام لينكس التي تركز على تحقيق مكاسب مالية سريعة من خلال التعدين الخفي أو نشر برامج الفدية، فإن هذا الإطار المتقدم يعطي الأولوية للتخفي والتحكم الذي يوجهه المشغل. يمثل ShadowHS تطوراً هاماً في تكتيكات ما بعد الاستغلال لنظام لينكس.
ShadowHS: التهديد الخالي من الملفات في بيئات لينكس
تستخدم البرمجيات الخبيثة إطار عمل تحميل مشفر متعدد المراحل، يقوم بفك تشفير حمولته باستخدام تشفير AES-256-CBC، ثم ينفذها مباشرة من خلال واصفات ملفات الذاكرة دون الكتابة أبداً إلى نظام الملفات. هذا النموذج التنفيذي الخالي من الملفات يجعل التحليل الجنائي صعباً للغاية، حيث تترك البرمجيات الخبيثة الحد الأدنى من القطع الأثرية ليكتشفها المحققون.
بمجرد تفعيله، يقوم الإطار بمسح عدواني للضوابط الأمنية، وتحديد أدوات الدفاع، وتقييم البيئة بعناية قبل تمكين الإجراءات ذات المخاطر الأعلى. اكتشف باحثو Cyble سلسلة الاختراق هذه أثناء أنشطة مراقبة التهديدات الأخيرة. يبني الإطار على نسخة سلاح من أداة hackshell، محولاً الأداة الأصلية إلى منصة شاملة لما بعد الاختراق.
تكشف التحليلات أن ShadowHS يتضمن قدرات كامنة لسرقة بيانات الاعتماد، الحركة الجانبية، تصعيد الامتيازات، والتسلل السري للبيانات عبر آليات نفق في مساحة المستخدم تتجاوز ضوابط جدار الحماية وحلول مراقبة نقطة النهاية. تُظهر البرمجيات الخبيثة استهدافاً واضحاً للبيئات المؤسسية ذات البنية التحتية الأمنية المتقدمة.
الكشف عن الضوابط الأمنية المتقدمة
تتحقق روتيناته الاستكشافية الشاملة من وجود منصات EDR التجارية مثل CrowdStrike Falcon، و Cortex XDR، و Elastic Agent، بالإضافة إلى وكلاء الأمن السحابي وأدوات OT/ICS (التشغيل الآلي والتحكم الصناعي). تسمح هذه الوعي البيئي للمشغلين بتكييف تكتيكاتهم بناءً على الوضع الدفاعي لكل نظام مخترق، مع الحفاظ على الأمن التشغيلي طوال دورة حياة الاختراق.
في حين أن سلوك وقت التشغيل يظل مقيداً عمداً لتجنب الكشف، فإن تحليل الكود يكشف عن مجموعة واسعة من الوظائف الكامنة التي يمكن للمشغلين تنشيطها عند الطلب. تشمل هذه وحدات التعدين الخفي التي تدعم XMRig و GMiner، وأدوات الاستطلاع المستندة إلى SSH لفحص الشبكة، وروتينات تفريغ الذاكرة القادرة على استخراج بيانات الاعتماد من العمليات النشطة. يتميز الإطار أيضاً بمنطق مناهضة المنافسة الذي يزيل آثار الإصابات البرمجية الخبيثة الأخرى، مما يضمن وصولاً حصرياً إلى الموارد المخترقة.
عمليات الذاكرة فقط والتنفيذ الخالي من الملفات
تبدأ سلسلة الإصابة بمحمل shell مشفر يحتوي على حمولات مشفرة بشكل كبير تظهر خصائص إنتروبيا عالية. يتحقق هذا المحمل من تبعيات وقت التشغيل الحرجة بما في ذلك OpenSSL و Perl و gunzip قبل المتابعة بعمليات فك التشفير. يشير غياب آليات التراجع إلى النشر المستهدف بدلاً من حملات الاستغلال الجماعي العرضي.
يتم إعادة بناء الحمولة من خلال خط أنابيب معقد متعدد المراحل يتضمن ترجمة علامات Perl، وفك تشفير AES المستند إلى بيانات الاعتماد، وتجاوز إزاحات البايت، وفك ضغط gzip. يتم تنفيذ الثنائي الناتج مباشرة من واصفات الملفات المجهولة التي يمكن الوصول إليها عبر مسارات نظام الملفات /proc، مع التزييف في الوقت نفسه لمعاملات argv لخداع طبيعته الحقيقية من قوائم العمليات وأدوات المراقبة.
تثبت تقنية التنفيذ هذه فعاليتها العالية ضد الحلول الأمنية التقليدية التي تعتمد على المسح المستند إلى الملفات أو اكتشاف التوقيع. من خلال العمل حصرياً في الذاكرة وتجنب القطع الأثرية الدائمة لنظام الملفات، يعمل ShadowHS على تعقيد جهود الاستجابة للحوادث بشكل كبير مع الحفاظ على وصول المشغل التفاعلي إلى الأنظمة المخترقة طوال عمليات الاختراق الممتدة.