بروز برمجيات خبيثة جديدة تستهدف تعطيل برامج مكافحة الفيروسات
بدأ جهة فاعلة في مجال التهديدات السيبرانية، تُعرف باسم AlphaGhoul، في الترويج لأداة جديدة تُدعى NtKiller، مصممة لإيقاف تشغيل برامج مكافحة الفيروسات وأدوات اكتشاف نقاط النهاية بصمت.
تم نشر الإعلان عن الأداة على منتدى سري حيث يتجمع مجرمو الإنترنت لشراء وبيع خدمات القرصنة، ووفقًا للإعلان، تهدف NtKiller إلى مساعدة المهاجمين على التهرب من الكشف أثناء تشغيل برمجياتهم الخبيثة على أجهزة الكمبيوتر المصابة.
NtKiller: تهديد ناشئ لأنظمة الأمن
يمثل ظهور أداة NtKiller تحديًا كبيرًا للمؤسسات التي تعتمد على الأدوات الأمنية التقليدية لمواجهة التهديدات السيبرانية.
يزعم المهاجم أن الأداة قادرة على العمل ضد العديد من الحلول الأمنية الشائعة، بما في ذلك Microsoft Defender وESET وKaspersky وBitdefender وTrend Micro.
الأكثر إثارة للقلق هو الادعاء بأنها يمكنها تجاوز حلول EDR (اكتشاف ومنع نقاط النهاية) على مستوى المؤسسات عند تشغيلها في أوضاع متقدمة.
أشار محللو KrakenLabs إلى قدرة البرمجيات الخبيثة على البقاء مخفية من خلال آليات استمرارية مبكرة في عملية الإقلاع، مما يجعل من الصعب للغاية على فرق الأمن اكتشافها وإزالتها بمجرد تفعيلها.
حددت KrakenLabs أن NtKiller تعمل من خلال هيكل تسعير معياري، حيث تبلغ تكلفة الوظائف الأساسية 500 دولار، بينما تكلف الميزات الإضافية مثل إمكانية التثبيت الجذري (rootkit) وتجاوز UAC (التحكم في حساب المستخدم) 300 دولار إضافية لكل منهما.
يشير نموذج التسعير هذا إلى أن الأداة قد تم تطويرها للبيع التجاري ضمن مجتمع مجرمي الإنترنت، مما يعكس تزايد احترافية هذه الجهات.
القدرات التقنية لأداة NtKiller
تتمتع أداة NtKiller بمجموعة من القدرات التقنية التي تجعلها خطيرة بشكل خاص في أيدي المهاجمين ذوي الخبرة.
تعمل آلية الاستمرارية المبكرة في عملية الإقلاع على تثبيت الأداة أثناء بدء تشغيل النظام، قبل أن تتفعل بالكامل معظم أنظمة المراقبة الأمنية.
يمنحها هذا التوقيت المتقدم ميزة لتنفيذ حمولات خبيثة في بيئة يكون فيها الكشف ضئيلًا.
بالإضافة إلى ذلك، تمنع الحمايات ضد التصحيح (anti-debugging) والتحليل (anti-analysis) الباحثين والأدوات الآلية من فحص سلوك البرامج الضارة، مما يخلق فجوة معرفية كبيرة حول قدراتها الفعلية مقارنةً بادعاءات التسويق.
يمثل خيار تجاوز UAC الصامت ميزة تقنية حرجة أخرى. يسمح تجاوز التحكم في حساب المستخدم للبرامج الضارة بالحصول على امتيازات نظام مرتفعة دون إطلاق تنبيهات قياسية في ويندوز قد تنبه المستخدمين إلى نشاط مشبوه.
بالتزامن مع وظائف التثبيت الجذري، يمكن للمهاجمين الحفاظ على وصول دائم إلى الأنظمة المخترقة مع البقاء غير مرئيين للمراقبة الأمنية القياسية.
من المهم ملاحظة أن هذه القدرات لم يتم التحقق منها بشكل مستقل من قبل باحثين خارجيين، وأن الفعالية الفعلية لأداة NtKiller لا تزال غير واضحة.
يجب على المؤسسات أن تظل يقظة وأن تضمن أن أدواتها الأمنية تتضمن قدرات الكشف السلوكي بما يتجاوز تحديد التواقيع لمواجهة هذه التهديدات الناشئة.