كشف باحثون في مجال الأمن السيبراني عن برمجيات خبيثة متطورة تعتمد على لغة بايثون، تستغل تقنيات حقن العمليات للتخفي داخل ملفات ويندوز الشرعية. يمثل هذا التهديد تطوراً جديداً في استراتيجيات الهجمات عديمة الملفات، حيث يجمع بين تشفير متعدد الطبقات واستخدام أدوات النظام الموثوقة للتهرب من الكشف.
قدرة هذه البرمجيات الخبيثة على التظاهر بأنها ملفات غير ضارة، مع نشر بيئة تشغيل بايثون كاملة، تعد تقدماً كبيراً في آليات التسليم التي تتحدى النُهج الأمنية التقليدية. خلال تحليل روتيني في مختبرات K7 Labs، تمكن الباحثون من تحديد هذا التهديد الجديد الذي يستخدم قطعة بيانات بحجم 65 ميجابايت، تتكون في الغالب من بيانات حشو مع جزء صغير من كود بايثون المصنف (pyc) في نهايتها.
يحتوي هذا الجزء المصنف على الشفرة الخبيثة الفعلية، المصممة لحقن عمليات في ملفات ويندوز التنفيذية الشرعية. تُظهر العينة عدة ميزات متقدمة، بما في ذلك الترميز متعدد الطبقات، والتظاهر بأنواع مختلفة من الأرشيف، وتضمين بيئة تشغيل بايثون مع ملف تنفيذي موقّع يبدو شرعياً عند المراقبة العابرة.
آلية عمل البرمجيات الخبيثة المتقدمة
أشار محللو الأمن السيبراني في K7 Labs إلى أن تأثير البرمجيات الخبيثة يتجاوز العدوى الأولية، حيث تنشئ اتصالات مستمرة مع خادم التحكم والسيطرة (C2) تستمر حتى بعد إنهاء البرنامج الذي بدأها. تبدأ سلسلة العدوى ببرنامج إسقاط (PE dropper) يقوم بإعادة بناء سكربت دفعي (batch script) من خلال فك تشفير وقت التشغيل باستخدام عمليات SIMD. يقوم هذا السكربت بإسقاط ملف config.bat في مجلد المستخدم العام، والذي يقوم بدوره بتنزيل ملف متخفٍ في هيئة صورة PNG من التخزين السحابي.
في الواقع، هذا الملف الذي يبدو كملف PNG هو عبارة عن أرشيف RAR، وهي خدعة بسيطة ولكنها فعالة تتجاوز المرشحات الأمنية التي تتعامل مع ملفات الصور كملفات غير ضارة. يقوم سكربت الدفعة باستخراج هذا الأرشيف باستخدام الأمر tar المدمج، مما يكشف عن ثلاثة مكونات: AsusMouseDriver.sys (ملف RAR محمي بكلمة مرور متخفٍ كملف نظام)، و Interput.json (تمت إعادة تسميته إلى Install.bat)، وملف WinRAR شرعي يستخدم للمزيد من الاستخراج.
تفاصيل آلية الإصابة
بمجرد التنفيذ، يقوم مترجم بايثون بمعالجة وسائط سطر الأوامر “dcconsbot” و “dcaat” لتشغيل سلسلة فك تشفير متطورة من خلال فك تشفير Base64، فك ضغط BZ2، فك ضغط Zlib، وأخيراً تحميل Marshal لإعادة بناء البايت كود (bytecode) لبايثون في الذاكرة. تستهدف هذه الشفرة فوراً cvtres.exe، وهي أداة شرعية من Microsoft لتحويل الموارد، لعملية الحقن.
تعتمد آلية الإصابة الأساسية على عملية استخراج متعددة المراحل ومنسقة بعناية، مما يدل على فهم المهاجمين العميق لداخلية ويندوز وسلوك الأدوات الأمنية. بعد تنفيذ برنامج الإسقاط الأولي، يقوم سكربت config.bat بإنشاء C:DragonAntivirus كمجلد عمل قبل تنزيل الأرشيف المتخفي. ثم يقوم سكربت Install.bat بإعادة تسمية ملف WinRAR المضمن ويستخدمه لاستخراج أرشيف AsusMouseDriver.sys المحمي بكلمة مرور مع كلمة مرور محددة مسبقاً في C:UsersPublicWindowsSecurityA. يحتوي هذا المجلد على ntoskrnl.exe المزيف (وهو في الواقع بيئة تشغيل بايثون مجمعة) وعلى حاوية Libimage التي تحتوي على الشفرة المكتشفة.
يتم فتح ملف PDF وهمي لصرف انتباه المستخدمين بينما يتم تنفيذ الشفرة الخبيثة بصمت، والتي تقوم بتحليل ملف الصورة من خلال روتين فك التشفير متعدد الطبقات قبل حقنها في cvtres.exe وإنشاء اتصالات C2 مشفرة.
تجعل قدرة البرمجيات الخبيثة على الاختباء داخل عمليات Microsoft الشرعية، مع الحفاظ على قنوات اتصال مشفرة، منها خطيرة بشكل خاص على بيئات الشركات حيث قد تفشل تقنيات الكشف التقليدية القائمة على التوقيع في تحديد التهديد.