تتوسع جهود الجهات الفاعلة في مجال برمجيات الفدية لتجاوز تقنيات تجاوز برامج الحماية endpoints security، متجاوزةً بذلك الأساليب القديمة التي كانت تعتمد على استغلال برامج التشغيل (drivers) الضعيفة. هذا التطور يعكس تنامي أهمية أدوات الـ EDR killers في الهجمات الحديثة.
لسنوات، كانت تقنية “أحضر برنامج تشغيلك الضعيف الخاص” (BYOVD) هي الطريقة الأساسية التي يستخدمها المهاجمون لتعطيل أدوات الأمان قبل إطلاق حمولاتهم المشفرة للملفات. ومع ذلك، أصبحت الصورة اليوم أكثر تعقيدًا.
تطور أساليب تجاوز برامج الحماية في هجمات برمجيات الفدية
تستخدم الجهات التهديدية الآن أدوات قائمة على النصوص البرمجية، وتسيء استخدام برامج مكافحة برامج التجسس (anti-rootkit) الشرعية، وتلجأ إلى طرق لا تتطلب برامج تشغيل على الإطلاق لإسكات منتجات الأمان قبل بدء عملية التشفير.
يعكس هذا التحول أولوية تشغيلية رئيسية: تحتاج الجهات التابعة لبرمجيات الفدية إلى نافذة زمنية قصيرة وموثوقة لتشغيل برامج التشفير الخاصة بها دون أن يتم إيقافها.
بدلاً من محاولة جعل برامج التشفير غير مرئية لبرامج الأمان، وهو أمر صعب ويستغرق وقتًا طويلاً، يفضل المهاجمون تعطيل الحماية الأمنية بالكامل. لذلك، أصبحت أدوات EDR killers، المصممة خصيصًا لتعطيل برامج الكشف والاستجابة لنقاط النهاية (EDR)، جزءًا أساسيًا من كل هجوم برمجيات فدية حديث تقريبًا.
تؤكد الأبحاث المستندة إلى بيانات ESET والتحقيقات الفعلية في الحوادث تسارع هذا الاتجاه عبر مجموعات برمجيات الفدية الكبيرة والصغيرة على حد سواء. حدد محللو WeLiveSecurity وتتبعوا ما يقرب من 90 أداة EDR killers مستخدمة بنشاط في البرية، تغطي ما يقرب من كل عصابة برمجيات فدية تعمل اليوم.
من بين هذه الأدوات، 54 أداة تعتمد على BYOVD وتسيء استخدام 35 برنامج تشغيل ضعيفًا مميزًا، بينما 7 أدوات قائمة على النصوص البرمجية، و 15 أداة تسيء استخدام برامج مكافحة برامج التجسس الشرعية أو البرامج المتاحة مجانًا. يوضح البحث بوضوح أن منظومة EDR killer قد نضجت لتصبح سوقًا منظمًا ومرتكزًا على التجارة، حيث يتم شراء هذه الأدوات وبيعها وتكييفها لاستهداف مجموعة واسعة من بائعي الأمان.
تأثير التطور على الضحايا
التبعات الناتجة عن هذا التحول خطيرة. تواجه الضحايا هجمات يتم فيها جعل الأدوات الأمنية عديمة الجدوى قبل تشغيل برنامج التشفير. على سبيل المثال، لوحظ استخدام مجموعات مثل Akira و Medusa و Qilin و RansomHouse و DragonForce لأدوات EDR killers تجارية تم الحصول عليها من الأسواق السوداء.
أداة تجارية واحدة، AbyssKiller، التي تجمع بين rootkit ABYSSWORKER وحمولة HeartCrypt، أصبحت واحدة من أكثر أدوات EDR killers التجارية شيوعًا في البرية. أداة أخرى، CardSpaceKiller، تظهر باستمرار في هجمات Akira و Medusa و MedusaLocker، ويتم تعبئتها باستخدام خدمة VX Crypt packer-as-a-service.
التخفي من الكشف: حيث تكمن البراعة الحقيقية
على عكس برامج التشفير، التي تركز بالكامل على تشفير الملفات، أصبحت أدوات EDR killers هي الوسيلة الأساسية للتخفي من الدفاعات في عمليات برمجيات الفدية. يستثمر المهاجمون براعتهم التقنية في هذا المجال بدلاً من برامج التشفير نفسها، لأن تعطيل برامج الأمان بشكل مباشر أبسط وأكثر موثوقية من جعل الحمولة غير قابلة للاكتشاف.
هذا التقسيم المتعمد للعمل خلق فئة من الأدوات التي تتميز بالقوة والوصول، حتى للمهاجمين ذوي المهارات التقنية المحدودة. تشمل التقنية الشائعة فصل أداة القتل عن برنامج التشغيل الذي تستغله وتقديمهما بشكل مستقل. يقوم المهاجم بتثبيت برنامج التشغيل يدويًا أولاً، ويتأكد من تحميله بنجاح، قبل تنفيذ أداة EDR killer.
يتم تعبئة الأدوات التجارية باستخدام منتجات مثل VX Crypt و HeartCrypt، والتي تضيف تشويشًا على مستوى البنية، وسلوكًا مضادًا للآلات الافتراضية، وإعادة تعبئة مستمرة للتغلب على الكشف الثابت. تُستخدم أدوات حماية التعليمات البرمجية مثل VMProtect و Themida بانتظام أيضًا.
تذهب بعض الأدوات إلى أبعد من ذلك بتخزين برامج التشغيل المشفرة أو shellcode في ملفات منفصلة على القرص، مما يبقي المكونات الحيوية بعيدًا عن المدافعين. يستخدم SmilingKiller، الذي لوحظ خلال تغلغل LockBit و Dire Wolf، تسطيح تدفق التحكم لجعل تعليمة برمجية معقدة.
تعتمد CardSpaceKiller على استدعاء عن طريق التجزئة (call-by-hash) وتشويش السلاسل النصية، بينما تقوم EDRKillShifter، التي طورتها مجموعة RansomHub التي لم تعد موجودة، بحماية الأقسام الرئيسية من تعليماتها البرمجية بكلمة مرور.
تنشر عصابة Warlock عشرات من أدوات EDR killers لكل اختراق حتى تنجح واحدة، وتظهر العينات الأخيرة أنماطًا متوافقة مع إنشاء التعليمات البرمجية بمساعدة الذكاء الاصطناعي. يجب على المؤسسات التعامل مع حظر برامج التشغيل كخطوة أولى ضرورية ولكنها غير كافية.
يجب على فرق الأمان مراقبة أحداث تثبيت برامج التشغيل المشبوهة واستخدام قوائم الحظر المحدثة لتحديد برامج التشغيل الضعيفة المعروفة. يعتبر استراتيجية الكشف متعددة الطبقات من خلال مزود خدمة الكشف والاستجابة المدارة (MDR) أو فريق SOC الداخلي أمرًا بالغ الأهمية، حيث يتكيف المهاجمون في الوقت الفعلي.
يقلل تقييد الوصول ذي الامتيازات العالية والحفاظ على تجزئة الشبكة من الوقت الذي يحتاجه المهاجمون لنشر هذه الأدوات. تضمن بيانات نقاط النهاية القوية احتفاظ المدافعين بالرؤية حتى عند تعطيل طبقة واحدة من الحماية.