الجمعة 26 يونيو 2026 09:14:46 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookالفريقAppاتصال
ArabicEnglishItaliano
الأبحاث، الاستغلالات والأمن الهجومي

المهاجمون وجدوا الفجوات الهادئة بين مكدسات ويندوز وعين EDR

22 يونيو 2026 14:40الأبحاث، الاستغلالات والأمن الهجوميأمريكا الشمالية / الولايات المتحدة الأمريكيةDEBUGSAGE

تقنية جديدة تركز على ويندوز تضع الكشف القائم على تتبع مكدس الاستدعاءات تحت الضغط وتوضح لماذا تحتاج حماية نقاط النهاية إلى أكثر من خط رؤية واحد.

مقدمة

تعد LACUNA Chain تذكيرا مفيدا بأن مؤلفي البرمجيات الخبيثة الحديثة لا يحاولون دائما التغلب على دفاعات نقاط النهاية مواجهةً لمواجهة. أحيانا يبحثون عن اللحظات التي تتوقع فيها أداة الأمان قصة نظيفة بينما يقدم نظام التشغيل شيئا أكثر فوضوية. في هذه الحالة، ليست النقطة المثيرة للاهتمام مجرد وجود تقنية، بل إنها تستهدف طريقة كشف ما زال كثير من المدافعين يثقون بها: فحص مكدس الاستدعاءات.

هذا مهم لأن مكدسات الاستدعاءات تستخدم غالبا للحكم على ما إذا كان سلوك العملية يبدو طبيعيا أو مشبوها أو خبيثا بشكل واضح. وإذا تعذر إعادة بناء المكدس بثقة، تصبح القياسات عن بُعد أضعف وتصبح عملية التحقيق أصعب.

حقائق سريعة

  • يوصف LACUNA Chain بأنه إطار هجوم موجه إلى الإفلات من EDR.
  • ترتبط التقنية بسلوك DLL في Windows وبثغرات فك ترميز المكدس.
  • يعتمد الكشف القائم على مكدس الاستدعاءات على قدرة أدوات التفكيك على إعادة بناء مسارات التنفيذ.
  • تزداد أهمية الترابط السلوكي عندما تكون أدلة المكدس غير مكتملة.
  • تدعم المعلومات المتاحة تحليلا للمخاطر، لا ادعاء شاملا بشأن كل إعداد لنقاط النهاية.

كيف تعمل النقطة العمياء

من منظور تقني، يعمل EDR القائم على مكدس الاستدعاءات بشكل أفضل عندما يمكن لمنتج الأمان تتبع إجراء مشبوه عبر سلسلة موثوقة من استدعاءات الدوال. وهذا يمنح المحللين سياقا: ما الذي أطلق ماذا، وما الوحدة المشاركة، وما إذا كان التسلسل يبدو كسلوك تطبيق طبيعي أو كشيء أكثر مراوغة.

المشكلة هي أن بيئات Windows قد تكون معقدة. لا ينتج عن تحميل DLL وحدود الوحدات والانتقالات أثناء التشغيل دائما آثار واضحة. وإذا صممت تقنية حول الأماكن التي لا تستطيع أدوات التفكيك رؤيتها بوضوح، فقد يتوقف المكدس عن كونه خريطة موثوقة. هذا لا يعني أن الكشف يفشل تماما، لكنه قد يقلل الثقة في أحد أكثر الإشارات قابلية للقراءة لدى المدافعين.

حتى وقت كتابة هذا التقرير، لم تحدد المعلومات العامة بالكامل السبب التقني الجذري، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق.

لماذا ينبغي للمدافعين الاهتمام

الدرس الأوسع ليس أن EDR عديم الفائدة. بل إن أي مصدر واحد للقياسات عن بُعد يمكن أن يتعرض للضغط أو التشويه أو التجاوز في بعض البيئات. وعندما تكون بيانات المكدس ضعيفة، يحتاج المدافعون إلى التداخل: نسب العمليات، وسياق تحميل الوحدات، وتحليل سطر الأوامر، والتوقيت، والأنماط السلوكية التي يمكن ربطها معا لتكوين صورة أقوى.

هذا مهم بشكل خاص في الاستجابة للحوادث، حيث يمكن أن يؤدي غياب تتبع المكدس إلى إبطاء الفرز وطمس الحدود بين سلوك البرمجيات السليم والحرفة الهجومية النشطة. لا يحتاج المهاجمون إلى إسكات كل مستشعر. غالبا ما يكفيهم فقط جعل مستشعر موثوق يبدو غير مؤكد بما يكفي لتأخير الإجراء.

الخلاصة

يسلط LACUNA Chain الضوء على حقيقة عملية في دفاع نقاط النهاية: الرؤية لا تكون قوية إلا بقدر قوة الافتراضات التي تقف وراءها. وعندما تكون تلك الافتراضات ضيقة جدا، يبحث المهاجمون عن الشقوق. والخلاصة الدائمة بسيطة - الكشف المرن يأتي من الأدلة المتعددة الطبقات، لا من الثقة في إشارة واحدة أنيقة لتروي القصة كاملة.

WIKICROOK

  • EDR: الكشف والاستجابة لنقاط النهاية، وهو برنامج أمني يراقب نقاط النهاية بحثا عن نشاط مشبوه.
  • مكدس الاستدعاءات: سلسلة استدعاءات الدوال النشطة التي يستخدمها البرنامج أثناء التنفيذ.
  • أداة فك التفكيك: مكون يعيد بناء إطارات المكدس لأغراض التصحيح أو التحليل.
  • DLL: مكتبة ارتباط ديناميكي، وهي وحدة Windows مشتركة تحملها التطبيقات أثناء التشغيل.
  • الترابط السلوكي: دمج عدة إشارات ضعيفة لتحديد النشاط المحتمل أنه خبيث.
DEBUGSAGE
الكاتبDEBUGSAGE

الأبحاث، الاستغلالات والأمن الهجومي