أدوات موثوقة، أضرار صامتة: لماذا يواصل مشغلو البرمجيات الخبيثة استعارَة نظام التشغيل

مقدمة

غالبا ما تبحث فرق الأمن عن ملفات غير مألوفة، أو قيم تجزئة غريبة، أو مرفقات تبدو خبيثة بوضوح. أما المشكلة الأصعب فهي العملية التي تبدو طبيعية حتى لا تعود كذلك. تشير لقطة حديثة لاستخبارات التهديدات من الربع الأول من 2026 إلى استخدام أوسع لأدوات النظام المشروعة في حملات نشر البرمجيات الخبيثة، وهي خطوة تساعد المهاجمين على الاندماج في الإدارة العادية وتقليل الضجيج الذي يعتمد عليه المدافعون.

الدرس الأساسي ليس أن البرمجيات الخبيثة أصبحت غير مرئية، بل إن المهاجمين يواصلون محاولة جعل أنشطتهم تبدو مشابهة لسلوك نظام التشغيل المتوقع، حيث يكون الرصد أصعب والاستجابة أبطأ.

حقائق سريعة

• ربط تحليل الربع الأول من 2026 هذا الاتجاه بأكثر من 2.1 مليون تحقيق في البرمجيات الخبيثة والتصيد الاحتيالي.
• وُصفت الحملات بأنها منخفضة الضجيج وعالية القدرة على التهرب.
• استُخدمت أدوات النظام المشروعة للمساعدة في نشر البرمجيات الخبيثة وتجاوز دفاعات المؤسسات التقليدية.
• يندرج هذا النمط ضمن أساليب العيش على الأرض الممتدة منذ فترة طويلة، حيث يعاد توظيف الأدوات الموثوقة في التنفيذ أو التسليم الخبيث.

المتن

من منظور تقني، تعد هذه مشكلة إساءة استخدام للثقة. لا يحتاج المهاجمون دائما إلى إدخال سلاح جديد تماما عندما تستطيع أداة مثبتة مسبقا تنفيذ المهمة نفسها مع لفت انتباه أقل. في بيئات المؤسسات الحديثة، يمكن أن تصبح الملفات التنفيذية الموثوقة ومحركات البرمجة وأدوات تفسير الأوامر مسارات تنفيذ أو أدوات تنزيل أو آليات تمهيد لحمولات ثانوية.

ولهذا يتطابق هذا السلوك بوضوح مع تقنيات MITRE ATT&CK مثل System Binary Proxy Execution، وإساءة استخدام Command and Scripting Interpreter، وIngress Tool Transfer. وبعبارة بسيطة، تصف هذه الفئات الحالات التي تُستخدم فيها الأدوات المدمجة لتشغيل الأوامر أو نقل الحمولات أو تمرير النشاط عبر برامج من غير المرجح أن يحظرها المدافعون مباشرة. ولم تُحدد الأدوات الدقيقة المشاركة في هذا الاتجاه للربع الأول من 2026 في المواد المتاحة، لذا فإن أي ملف تنفيذي محدد سيكون مجرد تخمين.

القيمة التشغيلية للمهاجمين واضحة. فإذا جرى تنفيذ الفعل الخبيث عبر برنامج مشروع، فقد تبدو شجرة العمليات أقل إثارة للريبة، وقد تكون لدى الضوابط القائمة على التوقيع نقاط أقل للاعتماد عليها، ويمكن أن تصبح القوائم البيضاء حاجزا أضعف إذا كانت الأداة نفسها معتمدة مسبقا. هذا لا يجعل النشاط غير قابل للرصد، لكنه ينقل العبء نحو المراقبة القائمة على السلوك.

أما بالنسبة للمدافعين، فغالبا ما تكون الإشارات الأكثر فائدة سياقية لا قائمة على الملفات: سلاسل غير معتادة من العمليات الأب-الابن، أو معاملات سطر أوامر لا تتوافق مع الإدارة المعتادة، أو استرجاع شبكي يتبعه إنشاء ملف، أو تشغيل أداة موثوقة من جلسة مستخدم غير متوقعة. وتكتسب السيطرة على التطبيقات، وتصفية الاتصالات الصادرة، وتشديد حدود الامتياز أهمية لأنها تقلل المساحة التي يمكن فيها إعادة توظيف الأدوات الموثوقة.

تدعم المعلومات المتاحة تحليلا للمخاطر، لا جردا نهائيا للضحايا أو أسماء الأدوات أو الآثار اللاحقة. وما توضحه هو أن الافتراض القديم - أن البرامج "الآمنة" آمنة في كل سياق - لم يعد قائما. ففي حملات العيش على الأرض، تأتي أفضلية المهاجم من جعل السلوك الخبيث يبدو عاديا من الناحية التشغيلية.

الخلاصة

الدرس الأوسع غير مريح لكنه عملي: على المدافعين مراقبة السلوك، لا الملفات التنفيذية فقط. وعندما تصبح الأدوات المشروعة قنوات للتسليم والتنفيذ، فإن البرامج الأمنية التي تعتمد كثيرا على فحوصات السمعة ستفوت النمط الأعمق. إن التنافس الحقيقي يدور حول الثقة، والثقة أصبحت الآن من أكثر الأشياء قيمة التي يمكن للمهاجم استعارتها.

WIKICROOK

• العيش على الأرض: نمط من أساليب العمل يستخدم فيه المهاجمون الأدوات المدمجة أو المشروعة الموجودة بالفعل على النظام.
• System Binary Proxy Execution: إساءة استخدام ملفات نظام التشغيل الموثوقة لتشغيل النشاط الخبيث أو إخفائه.
• Ingress Tool Transfer: استخدام أدوات مشروعة لإدخال الحمولات إلى بيئة الهدف.
• مفسر الأوامر والبرمجة النصية: فئة من الأدوات التي يمكنها تنفيذ الأوامر أو البرامج النصية، مما يجعلها جذابة للإساءة.
• التحكم في التطبيقات: سياسة دفاعية تحد من البرامج أو البرامج النصية المسموح لها بالتشغيل.