الأحد 05 يوليو 2026 09:56:34 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

الاستخبارات السيبرانية واتجاهات التهديدات

الأسلحة الصامتة في وحدة تحكم المسؤول لديك هي سطح الاختراق الحقيقي

نظرة أقرب على أساليب العيش على الأرض توضّح لماذا يحتاج المدافعون إلى مراقبة أدوات ويندوز الموثوقة بقدر مراقبتهم للبرمجيات الخبيثة.

من السهل البحث عن ملف تنفيذي مارق. أما من الأصعب اعتبار PowerShell وWMIC وnetsh وCertutil وMSBuild جزءًا من نموذج التهديد نفسه. وهذه هي النقطة المقلقة وراء تحليل أمني حديث: ففي كثير من البيئات، لا يكون سطح الهجوم الأهم ملفًا جديدًا على القرص، بل البرمجيات المدمجة التي يعتمد عليها المسؤولون بالفعل.

حقائق سريعة

  • تعيد أساليب العيش على الأرض استخدام الأدوات الشرعية بدلًا من إدخال برمجيات خبيثة واضحة.
  • تُعد PowerShell وWMIC وnetsh وCertutil وMSBuild جميعها أدوات ويندوز مزدوجة الاستخدام.
  • يجري إزالة WMIC من الإصدارات الأحدث من ويندوز، لكن سطح إدارة WMI الأساسي لا يزال قائمًا.
  • قد تبدو Certutil وMSBuild مريبة فقط عندما يتطابق سطر الأوامر والعملية الأم والسياق.
  • تعدّ عملية وضع خط أساس سلوكي أكثر فائدة من اعتبار كل ملف ثنائي موثوق آمنًا على قدم المساواة.

لماذا تهم الأدوات الموثوقة

هذا ما يجعل العيش على الأرض فعالًا إلى هذا الحد: فغالبًا ما تسمح الجهات المدافعة لهذه الأدوات افتراضيًا لأنها ضرورية للإدارة والأتمتة واستكشاف الأخطاء وإصلاحها. ويمكن قلب هذه الثقة نفسها ضد المؤسسة بمجرد أن يثبت المهاجم موطئ قدم له. قد يكون الملف الثنائي نفسه عاديًا؛ لكن الخطر يظهر من كيفية تشغيله، والحساب الذي يشغله، وما الذي يحاول الوصول إليه بعد ذلك.

تُعد PowerShell أوضح مثال. في الاستخدام المشروع، هي غلاف أوامر وبيئة برمجة نصية لإدارة ويندوز. أما في الاستخدام المريب، فتنبع فائدتها للمهاجم من مرونتها: إذ يمكنها ربط الأوامر، واستدعاء إجراءات بعيدة، والاندماج في الضجيج الإداري المعتاد. وnetsh حالة أخرى تتداخل فيها المنفعة مع إساءة الاستخدام. فهي تدير إعدادات الشبكة، ما يعني أن تغييرات التوجيه أو قواعد الجدار الناري أو الواجهات قد تكون روتينية في سياق ما ومثيرة للقلق بشدة في سياق آخر.

تُظهر Certutil وMSBuild لماذا يحتاج المدافعون إلى أكثر من قوائم السماح. تنتمي Certutil إلى خدمات الشهادات، لكن يمكن أيضًا استخدامها بطرق تدعم مرحلة التجهيز أو نقل الملفات. أما MSBuild فهو أداة تطوير، لكن يمكن إساءة استخدام عملية البناء فيه لتنفيذ تعليمات برمجية مضمّنة في ملفات المشروع. ولا يجعل أيٌّ من ذلك هذه الملفات الثنائية خبيثة بحد ذاتها، لكنه يعني أنها تستحق مراقبة دقيقة أينما لا تكون مطلوبة بشكل صارم.

وتضيف WMIC تعقيدًا أخيرًا. فالواجهة وسيطة يجري التخلص منها تدريجيًا في إصدارات ويندوز الأحدث، لكن قدرة الإدارة الكامنة وراءها لم تختف. وهذا مهم لأن إلغاء أمر واحد لا يزيل سير العمل الذي يحتاج المدافعون إلى مراقبته. بل على العكس، قد يدفع المنطق الإداري نفسه إلى مسارات أخرى، خصوصًا الإدارة المعتمدة على PowerShell.

بالنسبة للمدافعين، فإن الدرس العملي واضح: جرد هذه الأدوات، ووضع خط أساس للاستخدام الطبيعي، والتنبيه على سطور الأوامر غير المعتادة، والعمليات الأم غير المعتادة، والتوقيت غير المتوقع. فالملف الثنائي الموثوق يكون «آمنًا» فقط إلى أن يبدأ في التصرف كمسار اختراق.

أما الدرس الأوسع، فليس أن على المسؤولين التوقف عن استخدام الأدوات الأصلية. بل إن الدفاع الحديث يجب أن يقيس الثقة بدلًا من افتراضها. إذ أصبح سطح الهجوم يشمل الآن البرمجيات الموجودة أصلًا داخل نظام التشغيل.

الخلاصة

لا تزال البرمجيات الخبيثة مهمة، لكن الخطر الأكثر هدوءًا يكون غالبًا أداة المسؤول التي لا تبدو عدائية أبدًا حتى تُساء استخدامها. وستكون المؤسسات التي تتكيف بسرعة هي تلك التي تراقب الأدوات الشرعية بالصرامة نفسها التي تراقب بها الملفات المشبوهة.

TECHCROOK

مفتاح أمان مادي: يضيف مفتاح الأمان المادي طبقة مقاومة للتصيد الاحتيالي إلى عمليات تسجيل دخول المسؤولين والوصول عن بُعد. وهي طريقة عملية لتعزيز حماية الحسابات عندما تكون أدوات ويندوز الموثوقة ووحدات التحكم ذات الامتيازات قيد الاستخدام المنتظم.

مقالة TECHCROOK ذات الصلة: مفتاح أمان مادي

WIKICROOK

  • العيش على الأرض: استخدام أدوات النظام المدمجة في أنشطة عدائية بدلًا من إسقاط برمجيات خبيثة واضحة.
  • PowerShell: غلاف سطر أوامر ولغة برمجة نصية في ويندوز تُستخدم للأتمتة والإدارة.
  • WMIC: أداة سطر أوامر قديمة لإدارة Windows Management Instrumentation يجري إزالتها أو التخلص التدريجي منها في إصدارات ويندوز الأحدث.
  • Certutil: أداة شهادات في ويندوز يمكن أيضًا إساءة استخدامها لسلوكيات الترميز أو نقل الملفات.
  • MSBuild: أداة بناء من مايكروسوفت يمكنها تجميع المشاريع، وفي بعض السياقات، تنفيذ تعليمات برمجية مضمّنة.