🗓 الجمعة - 20 مارس 2026، 12:50 صباحًا |
⏱ 3 دقيقة |
👁 4 مشاهدة
تكشف تقارير أمنية أن أدوات تعطيل EDR تعتمد على BYOVD لاستغلال 34 برنامج تشغيل موقع وإسكات الحماية قبل هجمات الفدية الرقمية.ما هي تقنية BYOVD ولماذا تهم هجمات الفدية؟تعتمد هجمات الفدية الحديثة، خصوصاً بنموذج RaaS، على تسريع الاختراق، لذلك تلجأ العصابات إلى تقنية BYOVD التي تسمح بجلب برنامج تشغيل ضعيف لكنه موقع رسمياً.هذا الأسلوب يمنح المهاجمين صلاحيات النواة بسرعة، ويقلل الحاجة إلى تعديل مشفرات الفدية في كل إصدار جديد، ما يجعل التشغيل أكثر استقراراً للجهات التابعة.وبما أن المشفرات تُحدث باستمرار، فإن فصل أداة التعطيل يخفف كلفة التطوير ويضمن ثبات السلوك عند كل حملة.كيف تمنح صلاحيات النواة Ring 0؟عند تحميل برنامج التشغيل الضعيف، يحصل المهاجم على وصول كامل للذاكرة والأجهزة، وهو ما يعرف بصلاحيات Ring 0، ثم يبدأ بتعطيل آليات الحماية الأساسية.تحميل برنامج تشغيل موقع لكنه قابل للاستغلالرفع الصلاحيات إلى النواة Ring 0إنهاء عمليات المراقبة والحماية النشطةالتلاعب بآليات الاستدعاء داخل النواةتجاوز نموذج الثقة في برامج التشغيللماذا تعتمد أدوات تعطيل EDR على برامج تشغيل موقعة؟بحسب متابعة تيكبامين، رُصد نحو 90 أداة قتل، منها 54 تعتمد على برامج تشغيل موقعة وضعيفة، وهو ما يفسر انتشار أدوات تعطيل EDR بسبب موثوقية الطريقة.الاعتماد على التعريفات الموقعة يستغل نموذج الثقة في ويندوز، لأن النظام يفترض أن التوقيع يعني الأمان، بينما تسمح الثغرات بالتحكم في النواة دون إنذار.ما الذي يجعل برامج التشغيل القديمة خطرة؟تتفاقم المخاطر عندما تبقى التعريفات القديمة في البيئات الإنتاجية، أو عندما تستخدم الشركات أدوات لم تُحدّث منذ سنوات.تعريفات قديمة من مصنعي العتادإصدارات سابقة من مضادات الفيروساتأدوات مراقبة الأداء وإدارة الأجهزةبرامج نسخ احتياطي بامتيازات عاليةحزم دعم الطابعات والملحقات القديمةكيف تعمل أدوات القتل على إسكات الحماية؟تعمل أدوات القتل كعنصر خارجي يسبق تشغيل مشفرات الفدية، فتقوم بإغلاق عمليات المراقبة لتسهيل التشفير، وقد تُدمج أحياناً مع المشفر نفسه كما حدث في عائلة Reynolds.يطورها عادة مطورو برمجيات خبيثة أو وسطاء وصول أو فرق اختراق مأجورة، ما يزيد من توفرها في السوق الإجرامي.إلى جانب الثغرات، توجد نسخ تعتمد على سكربتات إدارية مثل taskkill وnet stop وsc delete، وبعضها يستخدم الوضع الآمن لتقليل خدمات الحماية.أساليب شائعة داخل السلاسل الهجوميةإغلاق عمليات EDR عبر أوامر الإدارةإيقاف الخدمات الحساسة وإعادة تشغيلهاحذف أو تعطيل التعريفات عبر sc deleteتشغيل النظام في الوضع الآمن لتقليل الحمايةإخفاء الآثار عبر تنظيف السجلاتما المخاطر على الشركات وكيف تستجيب؟تواجه المؤسسات مخاطر مزدوجة؛ فتعطيل الدفاعات يفتح المجال للتجسس وسرقة البيانات قبل التشفير، كما يزيد احتمالات التحرك الجانبي داخل الشبكات.الاستجابة الفعالة تبدأ بمراجعة سياسات السائقين وتفعيل تقنيات العزل، إضافة إلى تحديث قواعد الحظر ومراقبة تحميل التعريفات الموقعة.كما يفيد تشغيل النسخ الاحتياطي غير المتصل وخطط التعافي، لأن تجاوز الحماية قد يحدث حتى مع أفضل الممارسات.تحديثات دورية لقائمة حظر برامج التشغيلتفعيل العزل HVCI والتحقق من سلامة الذاكرةمراقبة أي تحميل لتعريفات جديدة على الخوادماعتماد قوائم سماح للتعريفات الموثوقة فقطتقليل الصلاحيات الإدارية ومراجعتها دورياًنسخ احتياطي غير متصل وخطط تعافٍ سريعةفي النهاية، يوضح هذا المشهد أن تعطيل EDR لم يعد خطوة ثانوية، بل أصبح جزءاً أساسياً من سلاسل الهجوم، لذا تنصح تيكبامين بتوحيد المراقبة والاستجابة السريعة لحماية الأعمال.