تتجه هجمات برامج الفدية (Ransomware) إلى ما هو أبعد من مجرد البرمجيات الخبيثة التقليدية. فالمهاجمون اليوم يعملون بدقة الأعمال المنظمة، مستخدمين أدوات ويندوز الموثوقة لإزالة الدفاعات الأمنية بهدوء قبل حتى وصول برامج الفدية.
هذا التحول يجعل حملات برامج الفدية الحديثة أكثر صعوبة في الكشف وأكثر تدميراً بشكل كبير.
الأدوات التي أصبحت محور هذا التهديد لم تُصمم أبداً للجريمة. فبرامج مثل Process Hacker وIOBit Unlocker وPowerRun وAuKill، بنيت في الأصل لمساعدة فرق تكنولوجيا المعلومات على إدارة العمليات، وفتح الملفات، واستكشاف أخطاء النظام اليومية.
لكن المهاجمين أعادوا استخدامها لإنهاء برامج مكافحة الفيروسات وأنظمة الكشف والاستجابة للنهايات الطرفية (EDR) بهدوء، قبل توزيع حمولات برامج الفدية.
وبما أن هذه الأدوات تحمل توقيعات رقمية وتُستخدم على نطاق واسع في بيئات الشركات، فإن معظم الأنظمة الأمنية تتعامل مع نشاطها كعمل إداري عادي، مما يترك أثراً ضئيلاً.
المهاجمون يستغلون أدوات ويندوز لتعطيل مكافحة الفيروسات
كشفت الأبحاث الأخيرة عن نمط متزايد في استخدام أدوات نظام التشغيل الأصلية عبر برامج الفدية.
حدد باحثو Seqrite هذا الاتجاه المتنامي، مشيرين إلى أن إساءة استخدام الأدوات المشروعة منخفضة المستوى أصبحت سمة مميزة لحملات برامج الفدية الحالية، بما في ذلك LockBit 3.0 وBlackCat، بالإضافة إلى Dharma وPhobos وMedusaLocker.
تكشف الأبحاث أن هذه الجهات الفاعلة في مجال التهديدات لا تعتمد فقط على برامج مالوير مخصصة. بل إنها تدرس أهدافها بعناية، وتحدد نقاط الضعف الأمنية، وتسلح الأدوات نفسها المصممة للحفاظ على صحة النظام.
إن تعطيل أنظمة مكافحة الفيروسات ليس خطوة ثانوية في هذه الهجمات، بل هو جزء متعمد وحاسم من الخطة الشاملة. عندما تكون برامج الأمان نشطة، يمكنها منع الحمولة الخبيثة عند التشغيل، والتقاط سلوك التشفير غير الطبيعي، وتنبيه الفرق الأمنية في الوقت الفعلي.
من خلال إيقاف هذه الدفاعات أولاً، يخلق المهاجمون نافذة صامتة يمكن لبرامج الفدية أن تعمل فيها بحرية ودون انقطاع.
هذه الاستراتيجية تقدمت بشكل كبير على مر السنين، متحولة من أوامر سطر الأوامر الأساسية التي استخدمتها التهديدات المبكرة مثل CryptoLocker وWannaCry، إلى معالجة برامج التشغيل على مستوى النواة التي شوهدت في حملات Conti وLockBit 2.0، والآن إلى وحدات قتل برامج مكافحة الفيروسات المعبأة مسبقاً والمضمنة مباشرة في مجموعات برامج الفدية كخدمة (RaaS).
يشمل نطاق هذا التهديد المؤسسات بجميع أحجامها – من الشركات الصغيرة إلى المؤسسات الكبيرة – ويتبع مسار الهجوم باستمرار تسلسلاً مدروساً يستغل الأدوات الموثوقة في كل مرحلة لتجنب الكشف.
المراحل المتقدمة لهجمات برامج الفدية
بمجرد أن يتمكن المهاجمون من الوصول إلى النظام، فإنهم يتبعون عملية من مرحلتين تقوم بتفكيك آلية الأمان بشكل منهجي قبل تشغيل حمولة برامج الفدية.
في المرحلة الأولى، الهدف هو بالكامل تحييد برامج مكافحة الفيروسات وتصعيد الامتيازات. تستخدم أدوات مثل IOBit Unlocker حذوفات برامج مكافحة الفيروسات باستخدام واجهة برمجة تطبيقات NtUnlockFile، بينما يُعاد استخدام TDSSKiller – وهي أداة أصلية لإزالة البرامج الخبيثة – لإلغاء تحميل برامج تشغيل نواة مكافحة الفيروسات، مما يمنعها من إعادة التحميل.
يقوم Process Hacker بإنهاء عمليات مكافحة الفيروسات عن طريق استغلال SeDebugPrivilege، بينما تقوم Atool_ExperModel بحذف إدخالات بدء تشغيل برامج مكافحة الفيروسات في السجل، وإزالة المهام المجدولة وكسر الاستمرارية بالكامل.
في المرحلة الثانية، يصل الهجوم إلى نقطته الأكثر خطورة. بمجرد تحييد برامج الأمان، يحول المهاجمون تركيزهم إلى سرقة بيانات الاعتماد، ومعالجة النواة، ونشر برامج الفدية.
يقوم YDArk بتعليق ردود النداء على مستوى النواة للحفاظ على الاستمرارية الخفية، بينما تقوم PowerRun بتنفيذ حمولة برامج الفدية بامتيازات النظام الكاملة.
يقرأ Mimikatz ذاكرة LSASS لاستخراج بيانات اعتماد المسؤول المخزنة مؤقتاً، مما يتيح الحركة الجانبية عبر الشبكة.
يقوم Unlock_IT بمسح إدخالات السجل وآثار التحقيق لتنظيف الأدلة، بينما تقوم AuKill بإنهاء جميع عمليات EDR المتبقية بشكل صريح.
مع اكتمال المرحلتين، تكون البيئة مهيأة بالكامل للتشفير الصامت واسع النطاق للملفات دون وجود دفاعات متبقية للتدخل.
يجب على المؤسسات فرض المصادقة متعددة العوامل على جميع الحسابات ذات الامتيازات، وتمكين القائمة البيضاء للتطبيقات لمنع الأدوات غير المعتمدة، ومراقبة أوامر الإنهاء المشبوهة بشكل نشط مثل sc stop، net stop، وtaskkill.
يجب على فرق الأمن تدقيق تغييرات السجل المرتبطة بتكوينات مكافحة الفيروسات والبدء، وتقييد الوصول إلى أدوات المسؤول منخفضة المستوى للأفراد الموثوق بهم فقط، وتدريب محللي SOC على التعرف على العلامات المبكرة لتحييد الدفاعات.
يجب عزل أي نقطة نهاية متأثرة على الفور لمنع الحركة الجانبية واحتواء التأثير.