الصفحات
بحث
تحذير: أداة خبيثة تعطل 59 برنامج حماية عبر تعريف EnCase
الأمن السيبراني #أمن_سيبراني #ويندوز

تحذير: أداة خبيثة تعطل 59 برنامج حماية عبر تعريف EnCase

منذ ساعة 4 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
4 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

رصد باحثو الأمن السيبراني أداة خبيثة جديدة من نوع "EDR Killer" تستغل تعريفاً قديماً (Driver) لبرنامج التحقيقات الجنائية الرقمية EnCase، بهدف اكتشاف وتعطيل 59 أداة أمنية مختلفة على الأجهزة المستهدفة.

آلية عمل الهجوم الجديد

تعتمد الأداة المكتشفة على تقنية تُعرف باسم "إحضار تعريفك المصاب" (BYOVD)، حيث يقوم المهاجمون بإدخال تعريف شرعي ولكنه يحتوي على ثغرات، لاستخدامه في الوصول إلى مستوى نواة النظام (Kernel-level) وإنهاء عمليات برامج الحماية.

وفي هذه الحالة تحديداً، يستخدم المهاجمون ملفاً تنفيذياً (64-bit) يستغل تعريف "EnPortv.sys" القديم الخاص ببرنامج EnCase، وهو أداة تحقيق رقمي تُستخدم عادةً من قبل جهات إنفاذ القانون لاستخراج البيانات وتحليلها.

لماذا يقبل ويندوز تعريفاً مسحوباً؟

أشار باحثو Huntress إلى أن شهادة التعريف المستخدمة صدرت في عام 2006 وانتهت صلاحيتها في 2010 وتم سحبها لاحقاً. ومع ذلك، لا يزال نظام التشغيل يقبلها بسبب آلية التحقق في ويندوز التي تعتمد على التشفير والطوابع الزمنية بدلاً من قوائم الشهادات المسحوبة (CRLs).

ورغم أن مايكروسوفت أضافت قيوداً في تحديثات ويندوز 10 (الإصدار 1607) تتطلب توقيع تعريفات النواة عبر مركز تطوير الأجهزة، إلا أنه تم وضع استثناء للشهادات الصادرة قبل 29 يوليو 2015، وهو الاستثناء الذي يستغله هذا الهجوم.

تفاصيل الاختراق والتخفي

بدأ الهجوم باختراق الشبكة باستخدام بيانات اعتماد مسربة لشبكة SonicWall SSL VPN، مستغلين غياب المصادقة الثنائية (MFA). بعد الدخول، قام المهاجمون بعمليات استطلاع واسعة للشبكة.

وتُظهر التحليلات أن تعريف النواة الخبيث يتم تثبيته وتسجيله كخدمة أجهزة OEM وهمية، مما يمنحه القدرة على البقاء في النظام حتى بعد إعادة التشغيل (Persistence)، كما يتضح من تحليل الأداة.

تستخدم البرمجية الخبيثة واجهة IOCTL الخاصة بالتعريف لإنهاء عمليات الخدمات الأمنية، متجاوزة حمايات ويندوز المتقدمة مثل "العملية المحمية الخفيفة" (PPL). تستهدف الأداة 59 عملية متعلقة ببرامج EDR ومكافحة الفيروسات، وتنفذ حلقة قتل (Kill loop) كل ثانية لضمان عدم إعادة تشغيل هذه البرامج.

كيف تحمي مؤسستك؟

توصي شركة Huntress باتباع خطوات احترازية عاجلة لمنع هذا النوع من الهجمات:

  • تفعيل المصادقة الثنائية (MFA) على جميع خدمات الوصول عن بعد.
  • مراقبة سجلات VPN بحثاً عن أي نشاط مشبوه.
  • تفعيل ميزة سلامة الذاكرة (Memory Integrity/HVCI) لفرض قائمة حظر التعريفات الضعيفة من مايكروسوفت.
  • نشر قواعد WDAC وASR لحظر التعريفات الموقعة التي تحتوي على ثغرات معروفة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##ويندوز ##هكر ##حماية_البيانات

الأسئلة الشائعة

هي أداة خبيثة صُممت خصيصاً لتعطيل أو تجاوز أدوات الكشف والاستجابة للنقاط النهائية (EDR) وغيرها من حلول الأمان على الأجهزة المخترقة.

يعتمد الهجوم على إدخال تعريف شرعي (Driver) ولكنه يحتوي على ثغرات أمنية إلى النظام، واستخدامه للحصول على صلاحيات عالية (Kernel-level) لتعطيل برامج الحماية.

بسبب استثناء في نظام ويندوز يسمح بقبول الشهادات الصادرة قبل يوليو 2015، ولأن النظام يتحقق من التشفير والطابع الزمني ولا يدقق دائماً في قوائم الشهادات المسحوبة.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!