كشف تقرير أمني حديث عن حملة واسعة النطاق يتم فيها استغلال أدوات القرصنة، حيث نجح المهاجمون في تحويل برنامج تشغيل أمني خاص بنظام ويندوز إلى سلاح فعال لتعطيل برامج الحماية قبل نشر برامج الفدية والبرمجيات الخبيثة للحصول على وصول عن بعد.
تعتمد هذه الهجمات على برنامج التشغيل “truesight.sys” الذي توفره شركة Adlice Software كجزء من برنامجها لمكافحة الفيروسات RogueKiller. وقد تم اكتشاف استخدام أكثر من 2,500 نسخة موقعة بشكل شرعي من هذا البرنامج لتعطيل حلول اكتشاف نقاط النهاية والاستجابة (EDR) وبرامج مكافحة الفيروسات على أنظمة ويندوز بطريقة خفية.
برامج حماية معرضة للخطر بسبب أدوات القرصنة
جذبت هذه التقنية الانتباه عندما كشف باحثون من شركة Check Point عن كيفية استغلال المهاجمين للقواعد القديمة الخاصة بتوقيع برامج التشغيل لتحميل برامج تشغيل قديمة موقعة قبل عام 2015 على أجهزة ويندوز 11 الحديثة.
وبذلك، تمكنوا من تشغيل برنامج التشغيل TrueSight المعرض للثغرات بامتيازات كاملة في نواة النظام، على الرغم من أن ضوابط الأمان الخاصة بمايكروسوفت كانت تهدف إلى منع برامج التشغيل الخطرة. والنتيجة هي طريقة موثوقة لإنهاء عمل أدوات الأمان قبل تسليم أي حمولة خبيثة.
بعد ظهور هذا النشاط بفترة وجيزة، لاحظ محللون من MagicSword أن استغلال برنامج التشغيل قد انتشر بالفعل عبر مجموعات تهديد ومناطق متعددة، مع ظهور نسخ جديدة من برنامج التشغيل أسبوعًا بعد أسبوع. وأظهرت بياناتهم أن الجهات الفاعلة ذات الدوافع المالية ومجموعات التهديد المتقدمة المستمرة (APT) كانت تتبنى جميعها نفس الأسلوب لتمهيد الطريق لبرامج الفدية أو برامج التجسس عن بعد على الأجهزة المخترقة.
الآلية لتعطيل برامج الحماية
يكمن جوهر هذه العملية في القدرة على إنهاء أي عملية أمنية تقريبًا على النظام. يكشف برنامج التشغيل TrueSight 2.0.2 المعرض للثغرات عن أمر IOCTL يقبل مدخلات يتحكم فيها المهاجم ويمكنه إنهاء العمليات المختارة بالقوة، بما في ذلك وكلاء EDR المحميون ومحركات مكافحة الفيروسات.
بمجرد تحميل برنامج التشغيل، لم يعد يتعين على البرمجيات الخبيثة مواجهة آليات الحماية في وضع المستخدم، لأنها تعمل مباشرة في نواة ويندوز بنفس الامتيازات التي تتمتع بها البرامج الأمنية الشرعية.
التأثير كبير على المدافعين. مع توقف وكلاء EDR عن العمل على مستوى النواة، تتوقف أجهزة الاستشعار، ولا يتم إطلاق أي تنبيهات، ويمكن لبرامج الفدية أو برامج التجسس عن بعد أن تعمل بأقل قدر من المقاومة. غالبًا ما يلاحظ الضحايا الهجوم فقط عندما تكون الملفات قد تم تشفيرها بالفعل أو تم تسريب البيانات بهدوء.
لا شك أن حجم نسخ برنامج التشغيل المتنوعة ومعدل التهرب العالي ضد برامج مكافحة الفيروسات التقليدية تجعل هذه التقنية خطيرة بشكل خاص على المؤسسات التي تعتمد على الدفاعات القائمة على التجزئة أو التواقيع فقط.
سلسلة العدوى: من التصيد الاحتيالي إلى السيطرة الكاملة
تتبع سلسلة العدوى وراء هذه الهجمات نهجًا مرحليًا يستخدم طرق التسليم الشائعة ولكنه يقترن باستغلال متقدم لبرامج التشغيل. غالبًا ما يبدأ الوصول الأولي برسائل البريد الإلكتروني التصيدية، أو مواقع التنزيل الوهمية، أو قنوات تيليجرام المخترقة التي تخدع المستخدمين لتشغيل مثبت خبيث. يعمل هذا المثبت الأولي كبرنامج تنزيل ويجلب مكونات إضافية من خوادم يتحكم فيها المهاجمون، وعادة ما تكون مستضافة على البنية التحتية السحابية.
في المرحلة الثانية، تقوم البرمجيات الخبيثة بإعداد الاستمرارية من خلال المهام المجدولة وتحميل جانب DLL، مما يضمن بقاءها بعد إعادة التشغيل واندماجها مع نشاط النظام الطبيعي. ثم تقوم بنشر وحدة قاتلة لـ EDR، وهي شديدة التشفير باستخدام VMProtect لإعاقة الهندسة العكسية. حدد باحثو MagicSword أن هذه الوحدة تستهدف ما يقرب من 200 منتج أمني مختلف، بدءًا من CrowdStrike و SentinelOne إلى Kaspersky و Symantec، والعديد من المنتجات الأخرى، مما يجعل الحملة فعالة عبر بيئات مؤسسية متنوعة.
عندما تكون جاهزة، تقوم الوحدة بتنزيل برنامج التشغيل TrueSight إذا لم يكن موجودًا بالفعل، وتثبته كخدمة ويندوز (يُطلق عليها عادة TCLService)، وترسل طلب IOCTL المصمم لإنهاء العمليات الأمنية قيد التشغيل. مع اختفاء الدفاعات، يتم تشغيل الحمولة النهائية – غالبًا ما تكون برمجية تجسس عن بعد HiddenGh0st أو عائلة برامج فدية – بأقل قدر من الرؤية. من النقرة التصيدية الأولية إلى السيطرة الكاملة على النظام، يمكن أن تكتمل هذه السلسلة في غضون 30 دقيقة فقط، تاركة نافذة صغيرة جدًا للكشف والاستجابة.