كيف أصبحت صورة JPEG مُسلّحة آليةَ تسليم لنسخة ScreenConnect مُحصّنة بطروادة
ملف صورة يبدو بريئًا، وسلسلة PowerShell في Windows، وأداة وصول عن بُعد مُعاد تغليفها، تشكّل تذكيرًا بأن أخطر الحمولات تصل غالبًا بأسماء ملفات عادية.
لا يتعيّن على ملف يبدو كأنه JPEG أن يتصرّف كصورة. في هذه الحالة، يرتبط ملف الإغراء بمسار اختراق في Windows ينتهي بإصدار مُحصّن بطروادة من ConnectWise ScreenConnect، وهي أداة دعم عن بُعد مشروعة يمكن إساءة استخدامها بمجرد وصولها إلى جهاز. الخطر الحقيقي ليس في وسم الصورة ذاته، بل في قناة التحكم التي يساعد على إعدادها.
حقائق سريعة
- يُستخدم ملف JPEG مُسلّح كجزء من سلسلة تسليم في Windows.
- توصَف الحمولة بأنها نسخة مُحصّنة بطروادة من ConnectWise ScreenConnect.
- يستخدم مسار الاختراق سلسلة PowerShell متعددة المراحل.
- النتيجة الموصوفة هي وصول وتحكم متخفيان، وليس اختراقًا كاملًا مؤكّدًا.
- أدوات الوصول عن بُعد المشروعة هدف معروف للإساءة لأنها قد تمتزج مع حركة مرور تقنية المعلومات العادية.
النمط التقني وراء ملف الإغراء
أهم تفصيل هنا هو أن ملف JPEG ليس سوى خطوة واحدة في سلسلة أوسع. بحد ذاته، لا يثبت نوع الملف كيف يبدأ الهجوم: فقد يكون تمويهًا، أو عنصرًا معاد تسميته، أو مرحلة مصممة لدفع المستخدم أو العملية إلى الاستمرار. ما يهم هو الجمع بين التمويه الموجّه للمستخدم والتنفيذ البرمجي على Windows.
تُعد PowerShell عنصرًا محوريًا لأنها أصلية بالفعل ضمن المنصة وتُستخدم على نطاق واسع في الإدارة. وهذا يجعلها جسرًا مفيدًا للمهاجمين الذين يريدون إطلاق نشاط لاحق من دون إسقاط محمّل مخصّص يثير الشبهات بوضوح. عمليًا، ينبغي للمدافعين التفكير في تسلسل العمليات، وتنفيذ السكربتات، والاتصالات الصادرة، وليس فقط في امتدادات الملفات.
تغيّر ScreenConnect الصورة مرة أخرى. فهي منتج دعم عن بُعد مشروع يضم ميزات يستخدمها المسؤولون في العمليات العادية، بما في ذلك الوصول عن بُعد والدعم غير المراقب. وعندما تظهر نسخة مُحصّنة بطروادة ضمن سلسلة برمجيات خبيثة، يكون الخطر أن تبدو حركة المرور الناتجة كإدارة تقنية معلومات روتينية بدلًا من نشاط اقتحام. لهذا السبب تجذب الأدوات ذات الاستخدام المزدوج المهاجمين بشدة: إذ يمكنها توفير تحكم تفاعلي مع الاندماج في سير العمل الموثوق.
حتى وقت كتابة هذا التقرير، لا تكشف المعلومات العامة بالكامل عن تسلسل الإطلاق الدقيق، أو النطاق الكامل للأنظمة المتأثرة، أو ما إذا كانت الاستمرارية قد تحققت. المعلومات المتاحة تدعم تحليلًا للمخاطر، لا ادعاءً قاطعًا بحدوث اختراق واسع.
ما الذي ينبغي للمدافعين مراقبته
من منظور دفاعي، تسلّط السلسلة الضوء على بعض المؤشرات العملية. تستحق أنشطة PowerShell غير المتوقعة المراجعة، خصوصًا عندما تؤدي إلى برمجيات وصول عن بُعد جديدة. وينطبق الأمر نفسه على أدوات الإدارة عن بُعد التي لا تندرج ضمن مخزون معتمد. على نقاط النهاية في Windows، غالبًا ما يكون الجمع بين حدث ملف بدأه المستخدم، وتنفيذ سكربت، وجلسة تحكم عن بُعد جديدة أهم من أي تنبيه منفرد.
أدرِج برامج الوصول عن بُعد المعتمدة في الجرد، وطبّق مصادقة قوية، وقيّد الوصول المميّز إلى أصغر مجموعة عملية من الحسابات. وحيثما أمكن، راقب أدوات الوصول عن بُعد التي جرى تثبيتها حديثًا، والعمليات الفرعية المشبوهة، والاتصالات الصادرة التي لا تتوافق مع نشاط الدعم المعتاد. الهدف ليس حظر الإدارة كلها؛ بل جعل الإدارة غير المصرح بها بارزة بوضوح.
الخلاصة
هذه الحالة تذكير مفيد بأن المهاجمين لا يحتاجون دائمًا إلى ثغرات استثنائية. أحيانًا، ما يحتاجونه فقط هو نوع ملف مألوف، وطبقة سكربت موثوقة، وبرمجية موجودة أصلًا في كثير من بيئات المؤسسات. والدرس الأوسع بسيط: في سلاسل الاقتحام الحديثة، غالبًا ما تكون الثقة هي الهدف، وقد تكون أول علامة تحذير ملفًا يبدو بريئًا وهو بعيد كل البعد عن البراءة.
TECHCROOK
hardware security key: جهاز صغير USB أو NFC يُستخدم للمصادقة القوية متعددة العوامل على حسابات المسؤولين والوصول عن بُعد. وهو وسيلة عملية لتقليل الاعتماد على كلمات المرور وحدها عند حماية الحسابات القادرة على التحكم في نقاط النهاية، وأدوات الدعم، وغيرها من الأنظمة الحساسة.
WIKICROOK
- Trojanized: برنامج مشروع جرى تعديله لإضافة وظائف خبيثة إليه.
- PowerShell: غلاف إدارة ونظام لغة سكربت في Windows يسيء المهاجمون استخدامه كثيرًا للتنفيذ المرحلي.
- Remote-access tool: برمجية تُستخدم للدعم أو الإدارة المشروعين ويمكن أيضًا إساءة استخدامها للتحكم غير المصرح به.
- User execution: نمط هجوم يفتح فيه شخص ملفًا أو يتفاعل معه، ما يبدأ السلسلة الخبيثة.
- Process lineage: العلاقة بين العمليات الأب والابن أثناء التشغيل، وتُستخدم غالبًا لرصد سلاسل السكربت المشبوهة.
