عندما يصبح مساعد Windows مخبأً
ثنائي Microsoft مشروع، وDLL محمّل جانبيًا، وRAT مقيم في الذاكرة يوضحون كيف يمكن للمهاجمين تحويل سلوك التحميل العادي إلى مسار تسليم خفي.
يُدرَّب المدافعون عن Windows على البحث عن الملفات المشبوهة، لكن هذه الحالة تذكير بأن الحركة الأكثر خطورة غالبًا هي تلك التي تبدو عادية. استخدمت حملة مرتبطة بوسم Dropping Elephant الملف Fondue.exe، وهو ثنائي Microsoft مشروع، كجزء من سلسلة تحميل DLL جانبي انتهت إلى حصان طروادة للوصول البعيد مقيم في الذاكرة. هذه التركيبة مهمة لأنها تمزج التنفيذ الموثوق، وإساءة استخدام أداة التحميل، وبرمجيات خبيثة قليلة الاعتماد على الملفات في مسار واحد مدمج.
حقائق سريعة
- Fondue.exe هو أداة Windows مشروعة من Microsoft، وليس أداة برمجيات خبيثة مصممة لهذا الغرض.
- يعمل التحميل الجانبي لـ DLL عندما يقوم تطبيق بتحميل DLL بالاسم ويبحث Windows أولًا في المواقع القريبة.
- وُصفت الحمولة النهائية في هذه السلسلة بأنها حصان طروادة للوصول البعيد يعمل بالكامل في الذاكرة.
- يمكن أن يقلل التنفيذ المعتمد على الذاكرة من الآثار على القرص ويحوّل الاكتشاف نحو قياس العمليات والسلوك.
- نُسب النشاط في المعلومات المتاحة إلى Dropping Elephant، وهو وسم تتم متابعته ضمن منظومة التهديدات الأوسع.
كيف تعمل هذه الإساءة
الخدعة الأساسية ليست منتج Microsoft معطوبًا. بل هي إساءة استخدام للثقة. صُمم Fondue.exe لمساعدة Windows على تمكين الميزات الاختيارية، لكن إذا قام برنامج بتحميل DLL من دون مسار كامل محدد، فقد يبحث Windows في عدة أدلة قبل العثور على الملف المطلوب. يخلق هذا السلوك فرصة لتحميل DLL شقيق خبيث بدلًا من ملف سليم.
من منظور دفاعي، هذا هو سبب بقاء التحميل الجانبي جذابًا: قد يبدو الملف التنفيذي عاديًا، بينما تختبئ المنطقية الخبيثة داخل مكتبة مرافقة. في حالات مشابهة، غالبًا ما يضطر المدافعون إلى فحص أحداث تحميل الصور، وسلاسل العمليات الأب-الابن، ومسارات التنفيذ غير المعتادة بدلًا من الاعتماد على سمعة الملف فقط.
ترفع المرحلة الثانية المستوى مرة أخرى. فالحمولة التي تعمل بالكامل في الذاكرة تترك آثارًا جنائية تقليدية أقل من تلك التي تُكتب على القرص. وهذا لا يجعلها غير مرئية، لكنه يدفع المدافعين إلى الصيد الواعي للذاكرة، وقياس البرامج النصية والعمليات، والضوابط التي تراقب العبث بأطر الفحص مثل AMSI وETW أو وسائل الحماية المرتبطة بها في Windows عندما تكون هذه العناصر موجودة في البيئة.
تدعم المعلومات المتاحة تحليلًا للمخاطر، لا بيانًا حاسمًا عن كل نظام متأثر أو عدد الضحايا أو مستوى الاختراق اللاحق. وحتى وقت كتابة هذا التقرير، لم تحدد المعلومات العامة بالكامل النطاق الكامل للحملة أو ما إذا كانت جميع التأثيرات المزعومة قد لوحظت بالطريقة نفسها عبر البيئات المختلفة.
لماذا يستمر هذا النمط في النجاح
لا يحتاج المهاجمون إلى هزيمة Windows بضربة واحدة درامية. يمكنهم ربط قطع عادية معًا: ثنائي موثوق، ودليل قابل للكتابة، ومسار بحث عن DLL، وimplant محمّل في الذاكرة. يكفي ذلك لجعل مسار التنفيذ يندمج مع النشاط المشروع، خاصةً حيث تركز قواعد نقاط النهاية على أسماء الملفات المعروفة بالشر بدلًا من سلوك التحميل المشبوه.
الدرس عملي: قلل غموض البحث عن DLL، وقيّد صلاحيات الكتابة حول الثنائيات الموثوقة، وراقب العمليات الأصل غير المعتادة أو الأدوات المساعدة التي تُشغَّل من مواقع غير مألوفة. في عمليات التسلل الحديثة إلى Windows، غالبًا لا تكون حدود الثقة هي الملف التنفيذي الموقّع نفسه، بل كل ما يقف بجانبه.
الخلاصة
تُعد هذه الحالة مثالًا واضحًا على كيفية تحويل المهاجمين لسهولة المنصة إلى وسيلة للتخفي. الخطر الحقيقي ليس في وجود أدوات مساعدة لـ Windows، بل في أنه يمكن وضعها في سياق خاطئ وجعلها تخدم غرضًا خاطئًا. بالنسبة للمدافعين، الخطوة الرابحة هي التعامل مع سلوك أداة التحميل باعتباره إشارة أمنية، لا مجرد تفصيل تقني.
WIKICROOK
- التحميل الجانبي لـ DLL: أسلوب يقوم فيه برنامج موثوق بتحميل مكتبة خبيثة لأن Windows يبحث عن ملفات DLL في مواقع متوقعة.
- Fondue.exe: أداة Windows مشروعة من Microsoft تُستخدم لتمكين الميزات الاختيارية، ويمكن إساءة استخدامها كمضيف لأداة التحميل.
- حصان طروادة للوصول البعيد (RAT): برمجية خبيثة تمنح المشغل تحكمًا عن بُعد في نظام مخترق.
- برمجيات خبيثة مقيمة في الذاكرة: شيفرة خبيثة تعمل في RAM بدلًا من حفظها كملف عادي على القرص.
- AMSI: واجهة فحص في Windows تساعد أدوات الأمان على فحص البرامج النصية والشيفرة أثناء التشغيل.




