عندما يعمي برنامج الفدية نظام الإنذار أولًا
يشير حزمة أدوات Gentlemen المُبلّغ عنها، المبنية حول HexKiller وThrottleBlood وHavocKiller، إلى تهديد أكثر خطورة: عصابات برامج الفدية التي تحاول إسكات EDR قبل بدء التشفير.
ليس الجزء الأكثر كاشفية في برامج الفدية الحديثة دائمًا هو أداة التشفير. أحيانًا يكون هو الخطوة التي تسبقه: الجهد الهادئ لإعماء المدافع. يصف تحليل حديث مرتبط بعملية برامج الفدية كخدمة Gentlemen حزمة مصممة لتعطيل برامج الحماية قبل تشغيل الحمولة الرئيسية، مع أسماء مكونات تشمل HexKiller وThrottleBlood وHavocKiller. وهذا مهم لأنه بمجرد تقليل رؤية نقطة النهاية، يمكن لبقية التسلل أن يتحرك بسرعة أكبر وبمقاومة أقل.
حقائق سريعة
- يُوصف Gentlemen بأنه عملية برامج فدية كخدمة مرتبطة بحزمة قاتل EDR.
- تجمع الحزمة المُبلّغ عنها ثلاثة مكونات مسماة: HexKiller وThrottleBlood وHavocKiller.
- يمكن لإضعاف الدفاع قبل التشفير أن يقلل من التنبيهات وخيارات الاستجابة وسرعة الاحتواء.
- النمط التقني المحتمل هو BYOVD، أو إحضار برنامج تشغيل ضعيف خاص بك، حيث يتم إساءة استخدام برنامج تشغيل مشروع لقتل عمليات الأمان.
- تُعد قياسات تحميل برامج التشغيل وتنبيهات الحماية من العبث من بين أعلى الإشارات قيمة في هذا النوع من الهجمات.
لماذا يهم مفتاح الإيقاف
EDR ليس مجرد برنامج مكافحة فيروسات باسم جديد. إنه الطبقة التي يمكنها اكتشاف السلوك المشبوه، ودعم الاستجابة الحية، ومساعدة المستجيبين على احتواء الحادثة في الوقت الفعلي. إذا تمكن المهاجمون من العبث بهذه الطبقة أولًا، فقد لا يحتاجون إلى سلسلة استغلال مثالية. ما يحتاجونه فقط هو وصول كافٍ لإسكات الإنذارات قبل البدء في التحرك أفقيًا أو إطلاق التشفير.
ولهذا السبب يعد النمط التقني وراء العديد من أدوات قتل AV وEDR خطيرًا إلى هذا الحد. في إساءة الاستخدام من نوع BYOVD، يمكن تحميل برنامج تشغيل موقّع لأنه يبدو مشروعًا، حتى لو كان يحتوي على خلل يمكن للمهاجمين تسليحه. تصبح الثقة المرتبطة بالتوقيع جزءًا من المشكلة. عندها يمكن استخدام برنامج التشغيل كأداة بدائية لقتل العمليات ضد أدوات الأمان، مع بقاء أدلة أحيانًا في أحداث النواة أو تغييرات الخدمات أو سجلات العبث بنقاط النهاية.
ينبغي التعامل بحذر مع HexKiller وHavocKiller إلى أن يتم ربطهما بشكل مستقل بملفات ثنائية أو تقنيات محددة. لكن حتى التسميات تروي قصة: عصابات برامج الفدية تقوم بشكل متزايد بتغليف إضعاف الدفاع كوحدة قابلة لإعادة الاستخدام، وليس كحيلة مرتجلة. ومن منظور دفاعي، هذا هو التحول الحقيقي. لم تعد الهجمة تتعلق فقط بالاختراق وتشفير البيانات. بل تتعلق بتقليص نافذة رد فعل المدافع.
المعلومات المتاحة تدعم تحليلًا للمخاطر، لا ادعاءً قاطعًا بأن كل عملية نشر ستتبع المسار نفسه. يمكن أن يختلف المسار التقني الدقيق بحسب المشغل والبيئة المستهدفة والصلاحيات المتاحة. ومع ذلك، يظل الدرس ثابتًا عبر الحملات: إذا اختفت أداة أمان فجأة، فيجب التعامل مع ذلك الحدث على أنه إشارة هجوم، لا مجرد إزعاج تشغيلي.
الدروس الدفاعية
ينبغي للفرق مراقبة تحميلات برامج التشغيل غير المتوقعة، وإنشاء الخدمات المشبوه، وتغييرات سياسات Defender، والإيقاف المفاجئ للعمليات على نقاط النهاية التي تشغّل عادةً برمجيات الحماية. وحيثما تسمح ضوابط المنصة بذلك، يمكن لحظر برامج التشغيل الضعيفة المعروفة، وتشديد حدود الامتيازات، والإبقاء على تمكين الحماية من العبث أن يقلل التعرض. كما أن التقسيم مهم أيضًا، لأن أي نقطة عمياء ولو كانت قصيرة قد تصبح طريقًا إلى تشفير أوسع إذا امتد موطئ قدم واحد أكثر من اللازم.
الخلاصة
الدرس الأوسع بسيط: مشغلو برامج الفدية لا يحققون الربح فقط من سرقة البيانات والتشفير. إنهم يقومون أيضًا بتحويل إخماد الرؤية إلى صناعة. وفي مثل هذه البيئة، قد يكون أول تنبيه جدير بالثقة هو ذلك الذي يخبرك بأن طبقة الحماية لديك قد صمتت.
TECHCROOK
محرك نسخ احتياطي خارجي: يظل محرك النسخ الاحتياطي المنفصل خطًا أساسيًا عمليًا للدفاع ضد برامج الفدية. احتفظ بنسخة واحدة على الأقل غير متصلة بالإنترنت أو مفصولة عند عدم الاستخدام، واستخدم نسخًا احتياطية بإصدارات متعددة عندما يكون ذلك ممكنًا. إذا تم العبث بأدوات نقطة النهاية، فقد تكون النسخة الاحتياطية النظيفة أسرع طريق إلى الاستعادة.
WIKICROOK
- EDR: الكشف والاستجابة لنقاط النهاية، وهي طبقة أمان تكتشف التهديدات وتدعم التحقيق والاحتواء على نقاط النهاية.
- BYOVD: إحضار برنامج تشغيل ضعيف خاص بك، وهي طريقة هجوم تستغل برنامج تشغيل مشروعًا لكنه معيب للحصول على قدرات خطيرة على مستوى النواة.
- RaaS: برامج الفدية كخدمة، نموذج إجرامي يبني فيه المشغلون البرمجية الخبيثة ويقوم الشركاء بالتسلل مقابل حصة من الأرباح.
- الحماية من العبث: ضابط دفاعي مصمم لمنع التغييرات غير المصرح بها على إعدادات الأمان وحمايات نقاط النهاية.
- قياسات تحميل برامج التشغيل: سجلات تُظهر متى يتم تحميل برنامج تشغيل جهاز، وتُستخدم غالبًا لاكتشاف النشاط المشبوه أو المسيء على مستوى النواة.




