ويندوز يكتسب راكبًا صامتًا جديدًا: SprySOCKS يدخل النواة
باب خلفي ارتبط طويلًا بلينكس أصبح الآن له إصدارات لويندوز، ويقال إن أحدها يستخدم برنامج تشغيل على مستوى النواة لإخفاء نفسه عن أدوات الرؤية العادية.
عندما ينتقل البرمجيات الخبيثة عبر حدود نظام التشغيل، ينبغي على المدافعين الانتباه. يظهر SprySOCKS، وهو باب خلفي ارتبط سابقًا بنشاط لينكس، الآن بصيغة ويندوز عبر نسختين تحملان الاسمين WIN_DRV و WIN_PLUS. وأهم تفصيل هنا هو استخدام WIN_DRV لبرنامج تشغيل في وضع النواة، وهو مكوّن منخفض المستوى يمكن أن يجعل النشاط العدائي أصعب بكثير في الاكتشاف من وضع المستخدم.
حقائق سريعة
- أصبح لدى SprySOCKS الآن نسخ لويندوز تحمل الوسمين WIN_DRV و WIN_PLUS.
- كلا النسختين تحتفظان ببروتوكول SprySOCKS الأصلي ومجموعة الأوامر نفسها.
- يقال إن WIN_DRV يستخدم برنامج تشغيل في وضع النواة لإخفاء العمليات والملفات وحركة المرور الشبكية.
- ارتبطت العائلة في الأبحاث بـ FishMonger، التي تُتبع أيضًا باسم Earth Lusca أو TAG-22.
- يمتد الانتقال من لينكس فقط إلى ويندوز ليزيد من نطاق تشغيل العائلة.
لماذا تهم نسخة ويندوز
القصة الرئيسية ليست مجرد وجود عينة جديدة. بل إن سير العمل نفسه لدى المشغل يمكن الآن استخدامه عبر منصات مختلفة مع الحفاظ على البروتوكول الأساسي للباب الخلفي ومعالجة الأوامر كما هي. وهذا يجعل إصدارات ويندوز أكثر من مجرد إعادة كتابة بسيطة. إنها تبدو كامتداد متعمد لمجموعة أدوات قائمة.
من منظور المدافع، يعد عنصر برنامج التشغيل في النواة هو الحد الأشد خطورة. تعمل مكونات نواة ويندوز بامتيازات مرتفعة، ما يعني أنها تستطيع التأثير في ما تعتقد أدوات الطرفية أنها تراه. وإذا استُخدم برنامج تشغيل لإخفاء العمليات أو الملفات أو النشاط الشبكي، فإن واجهة المستخدم التي تبدو نظيفة لا تعني بالضرورة أن الجهاز نظيف. ولهذا فإن الرؤية على مستوى النواة، وفحوص سلامة الإقلاع، وضوابط برامج التشغيل، كلها مهمة جدًا في سير العمل الاستجابي.
تكمن المخاطرة الأوسع في الارتباك التشغيلي. قد ترى أدوات مراقبة الشبكة شيئًا، وتعرض عوامل الطرفية شيئًا آخر، بينما تكون قوائم الملفات أو العمليات مختلفة تمامًا. وفي هذا النوع من التباين، يحتاج المستجيبون للحوادث إلى ربط القياسات بدلًا من الوثوق برؤية واحدة للنظام. وحتى وقت كتابة هذا النص، لم تكن المعلومات العامة قد حددت بالكامل النطاق الكامل للنشر، أو فعالية خصائص الإخفاء، أو ما إذا كانت جميع البيئات المتأثرة تشترك في مسار التحميل نفسه.
تتوافق إرشادات أمان مايكروسوفت بشأن Secure Boot و Trusted Boot و ELAM مع نموذج التهديد هذا بشكل جيد. كما يعالج MITRE ATT&CK تحميل برامج التشغيل الخبيثة كمسار معترف به لويندوز من أجل الثبات والتنفيذ. هذه الضوابط لا تحل كل شيء، لكنها ترفع كلفة الاختباء في مساحة النواة وتزيد فرص اكتشاف العبث مبكرًا.
بالنسبة للفرق التي تدافع عن أساطيل ويندوز، فالعبرة عملية: راجع قوائم السماح لبرامج التشغيل، وراقب نشاط .sys غير المتوقع، وقارن بيانات سلامة الإقلاع مع قياسات الطرفية. إن قدرة عائلة باب خلفي على الانتقال من لينكس إلى ويندوز مع الحفاظ على منطقها الأساسي تذكرنا بأن الخصوم يقدّرون قابلية النقل. والنواة هي المكان الذي تصبح فيه هذه القابلية أصعب ما يكون في الفحص.
الخلاصة
يمثل SprySOCKS علامة تحذير مفيدة للمدافعين المعاصرين. فالبرمجيات الخبيثة متعددة المنصات لا تحتاج إلى إعادة ابتكار تصميمها بالكامل لتصبح أكثر خطورة؛ أحيانًا يكفيها مجرد محمل جديد ومكان إخفاء أعمق. وفي ويندوز، يمكن أن يكون هذا المكان هو النواة نفسها، ولهذا فإن الرؤية أسفل مستوى المستخدم لم تعد خيارًا.
TECHCROOK
USB flash drive: يعد محرك مخصص أمرًا مفيدًا لوسائط الإنقاذ دون اتصال، وجرد برامج التشغيل، والتشخيص النظيف. إن تخصيص واحد لأعمال الاستعادة قد يجعل مقارنة حالة النظام أسهل عندما تكون الأدوات العادية مضللة.
WIKICROOK
- باب خلفي: برمجية خبيثة توفر وصولًا عن بُعد إلى نظام مخترق مع تجاوز المصادقة العادية.
- برنامج تشغيل في وضع النواة: مكوّن في ويندوز يعمل بامتيازات عالية ويمكنه التأثير في كيفية رؤية نظام التشغيل للعمليات والأجهزة.
- القيادة والسيطرة (C2): القناة التي يستخدمها المهاجمون لإرسال التعليمات إلى البرمجيات الخبيثة واستقبال البيانات منها.
- Secure Boot: حماية عند بدء التشغيل تساعد على ضمان تحميل البرامج الموثوقة فقط أثناء عملية الإقلاع.
- Rootkit: برمجية إخفاء مصممة لإخفاء النشاط الخبيث عبر العمل على مستوى منخفض داخل النظام.
