بررسی یک تهدید جدید: ابزار مخفی برای غیرفعال سازی آنتی ویروس و EDR پیش از حملات باج افزاری

بررسی اجمالی: ظهور تهدیدی نوین علیه حفاظت نقطه پایانی

پژوهشگران حوزه امنیت سایبری به ابزار جدید و زیرزمینی دست یافته‌اند که قادر است نرم‌افزارهای تشخیص و واکنش نقطه پایانی (EDR) و آنتی‌ویروس‌ها را پیش از اجرای باج‌افزارها به‌ طور کامل از کار بیندازد. طبق نتایج تحلیلی اخیر شرکت Sophos، چندین گروه باج‌افزاری در حال حاضر از نسخه پیشرفته این ابزار قاتل EDR استفاده می‌کنند تا محافظت محصولات مطرحی نظیر Sophos، Bitdefender و Kaspersky را غیرفعال کنند. چنین ابزاری، نشان‌دهنده پیشرفتی نگران‌کننده در توسعه بدافزارهایی است که برای دور زدن آنتی‌ویروس‌ و کسب دسترسی سطح بالا طراحی شده‌اند.

سازوکار ابزار قاتل EDR

پوشش‌دهی و مبهم‌سازی

این بدافزارها اغلب با بهره‌گیری از سرویس‌هایی مانند HeartCrypt رمزگذاری و مبهم‌سازی می‌شوند تا شناسایی مبتنی بر امضا و تحلیل‌های خودکار را دور بزنند. مهاجمان از تکنیک‌های گوناگون ضدتحلیل استفاده کرده و حتی درایورهای امضاشده (که برخی دزدیده یا مخدوش شده‌اند) را برای اجرای معتبر بر بستر ویندوز به کار می‌برند.

سو استفاده از ابزارهای بومی و دستکاری برنامه‌های اجرایی

شواهد نشان داده که مهاجمان به جای آن‌که صرفاً درایورهای آسیب‌پذیر را رها کنند، به دستکاری مستقیم فایل‌های اجرایی معتبر روی آورده‌اند. در یک نمونه، آن‌ها کد مخرب را وارد ابزار Clipboard Compare متعلق به نرم‌افزار Beyond Compare کردند و بدین‌ترتیب باینری تولید شد که در ظاهر سالم—but دارای منابع مخرب است. چنین روشی، امکان ساخت نصاب‌ها یا ابزارهایی با ظاهر قانونی را فراهم می‌کند که به‌آسانی مورد سوءظن قرار نمی‌گیرند.

ویژگی‌ها، مقایسه و مزایای ابزار جدید

• اثرگذاری چندپلتفرمی: برخلاف نسخه‌های پیشین مانند EDRKillShifter، این ابزار می‌تواند محصولات EDR و آنتی‌ویروس‌های متعددی را هدف بگیرد و کاربرد خود را برای گروه‌های گوناگون باج‌افزاری افزایش دهد.
• افزایش مخفی‌کاری: استفاده از پوشش‌دهی، مبهم‌سازی کد و اجزای امضاشده، نسبت به تکنیک‌های قبلی، مزیت عملیاتی فراهم آورده است.
• قابلیت استفاده مجدد: این ابزار در جوامع زیرزمینی سایبری به اشتراک گذاشته می‌شود و همین امر، تشویق به بهره‌برداری و بهبود آن نزد مهاجمان را تسهیل می‌کند.

در مقایسه با نسخه اولیه EDRKillShifter (که نخستین بار اواسط سال ۲۰۲۴ دیده شد)، این نسخه جدید تمرکز خود را از اتکای صرف بر درایورهای آسیب‌پذیر به سمت دستکاری فایل‌های اجرایی معتبر تغییر داده که این امر، کار تشخیص و رهگیری را برای مدافعان بسیار مشکل‌تر می‌کند.

موارد استفاده و اهمیت بازار

این ابزار غالباً در مراحل اولیه حملات باج‌افزاری به‌کار می‌رود: شامل دسترسی اولیه، ارتقای سطح دسترسی و غیرفعال‌سازی مکانیزم‌های امنیتی. سازمان‌های فعال در زیرساخت‌های حیاتی، حوزه سلامت، بانکداری و خدمات مدیریت‌شده (MSPها)، به دلیل بازده بالا برای مهاجمان، بیشتر در معرض خطر هستند. ظهور ابزارهای قاتل EDR لزوم تقویت هوش تهدیدات، حفاظت زمان اجرا و روش‌های تشخیص مبتنی بر رفتار را برای فروشندگان امنیت سایبری و تیم‌های واکنش به رخداد یادآور می‌شود.

کاهش خطر: راهکارهای عملی برای تیم‌ها

• فعال‌سازی حفاظت در برابر دستکاری: اطمینان حاصل کنید که محصولات محافظت نقطه پایانی از قابلیت دفاع خودکار یا محافظت در برابر دست‌کاری بهره‌مند هستند تا جلوی تغییرات محلی را بگیرند.
• اجرای اصل کم‌ترین سطح دسترسی و حفاظت از نقش‌ها در ویندوز: رعایت بهداشت حساب‌های کاربری و محدودیت حقوق مدیریتی، احتمال ارتقای دسترسی توسط مهاجمان را کاهش می‌دهد.
• به‌روزرسانی مستمر سیستم‌ها و درایورها: مایکروسافت روند بی‌اعتبارسازی درایورهای قدیمی امضاشده را آغاز کرده است؛ به‌روزرسانی و حذف درایورهای منسوخ، جلوی سوءاستفاده مهاجمان را می‌گیرد.
• پایش تغییرات مشکوک اجرایی و ناهنجاری‌های امضای کد: ابزارهای EDR مبتنی بر رفتار، پایش سلامت درایورها و بررسی یکپارچگی فایل‌ها در شناسایی دستکاری مؤثرند.

جمع‌بندی نهایی

ظهور ابزارهای EDR-killer پیشرفته، همگرایی روزافزون گروه‌های باج‌افزاری و بهره‌برداری از ابزارهای مشروع را نشان می‌دهد. سازمان‌ها باید با سخت‌سازی پیکربندی نقاط پایانی، اعمال کنترل بر سطوح دسترسی و سرمایه‌گذاری بر راهکارهای شناسایی مبتنی بر رفتار، در برابر تهدیدات جدیدی که از سد آنتی‌ویروس عبور می‌کنند، ایمن‌تر شوند.

مطلب مرتبط

Read More

تحلیل ریشه ای حمله سایبری گسترده به مارکس و اسپنسر (M&S)

شفاف‌سازی M&S در خصوص علت اصلی حمله سایبری اخیرمارکس و اسپنسر (M&S) به عنوان یکی از...