داخل صورة تبدو بريئة تمامًا، سواء كانت منظرًا طبيعيًا خلابًا أو صورة فكاهية، قد يختبئ شيء خطير، ينتظر اللحظة المناسبة للهجوم.
لا توجد أسماء ملفات غريبة، ولا تحذيرات من برامج مكافحة الفيروسات، مجرد صورة غير ضارة تخفي بداخلها حمولة ضارة قادرة على سرقة البيانات، وتنفيذ البرمجيات الخبيثة، والسيطرة على نظامك دون ترك أي أثر.
هذه هي تقنية الإخفاء (Steganography)، وهي سلاح سري يستخدمه مجرمو الإنترنت لإخفاء الأكواد الضارة داخل ملفات تبدو غير ضارة. من خلال تضمين البيانات داخل الصور، يتمكن المهاجمون من تجنب الاكتشاف، مع الاعتماد على سكريبتات أو عمليات منفصلة لاستخراج الحمولة المخفية وتنفيذها.
ما هي تقنية الإخفاء في الأمن السيبراني؟
الإخفاء هو ممارسة إخفاء البيانات داخل ملف أو وسيط آخر. وعلى عكس التشفير الذي يقوم بتشفير البيانات لجعلها غير قابلة للقراءة، فإن الإخفاء يخفي الأكواد الضارة داخل الصور أو مقاطع الفيديو أو ملفات الصوت، مما يجعل اكتشافها بواسطة أدوات الأمان التقليدية شبه مستحيل.
في الهجمات السيبرانية، يقوم المهاجمون بتضمين الأكواد الخبيثة داخل ملفات الصور، والتي يتم استخراجها لاحقًا وتنفيذها على جهاز الضحية.
لماذا يستخدم المهاجمون تقنية الإخفاء؟
- تجاوز أدوات الأمان: الأكواد المخفية داخل الصور تتجاوز برامج مكافحة الفيروسات وجدران الحماية.
- عدم الحاجة إلى ملفات مشبوهة: لا يضطر المهاجمون إلى استخدام ملفات تنفيذية واضحة.
- نسبة اكتشاف منخفضة: عمليات الفحص الأمني التقليدية نادرًا ما تبحث عن البرمجيات الخبيثة داخل الصور.
- إيصال الحمولة الضارة بطريقة خفية: يظل البرمجيات الخبيثة غير مرئية حتى يتم استخراجها وتنفيذها.
- تخطي فلاتر البريد الإلكتروني: لا يتم اكتشاف الصور الضارة كجزء من هجمات التصيد الاحتيالي التقليدية.
- طريقة هجوم متعددة الاستخدامات: تُستخدم في التصيد الاحتيالي، وتسليم البرمجيات الضارة، وسرقة البيانات.
كيف يستخدم XWorm تقنية الإخفاء لتجنب الاكتشاف؟
دعونا نلقي نظرة على حملة برمجيات خبيثة تم تحليلها داخل منصة ANY.RUN Interactive Sandbox، والتي توضح كيف يتم استخدام تقنية الإخفاء في هجوم برمجي متعدد المراحل.
المرحلة الأولى: الهجوم يبدأ بملف PDF خادع
يبدأ الهجوم بملف PDF مرفق في رسالة تصيد احتيالي. يحتوي هذا المستند على رابط خبيث يخدع المستخدم لتنزيل ملف .REG (ملف سجل Windows).
بمجرد فتح الملف، يقوم بتعديل سجل النظام (Registry)، وزرع سكريبت مخفي يتم تنفيذه تلقائيًا عند إعادة تشغيل الكمبيوتر.
المرحلة الثانية: زرع سكريبت مخفي في سجل النظام
عند تشغيل ملف .REG، يقوم بصمت بحقن سكريبت داخل مفتاح التشغيل التلقائي (Autorun) في سجل Windows. يضمن ذلك أن البرمجيات الخبيثة ستعمل تلقائيًا عند إعادة تشغيل النظام.
في هذه المرحلة، لم يتم تنزيل أي برامج ضارة فعلية بعد، فقط سكريبت خامد ينتظر التنشيط، مما يجعل الهجوم أكثر خداعًا.
المرحلة الثالثة: تنفيذ PowerShell
بعد إعادة تشغيل النظام، يقوم السكريبت الموجود في السجل بتشغيل PowerShell، والذي يقوم بتنزيل ملف VBS من خادم بعيد.
في بيئة التحليل ANY.RUN، يمكن رؤية هذه العملية عند النقر على powershell.exe، حيث يظهر اسم الملف الذي يتم تنزيله.
حتى هذه اللحظة، لا يوجد أي برامج ضارة واضحة، فقط سكريبت يقوم بتنزيل ملف يبدو غير ضار. ولكن في الخطوة التالية، يتم استخدام تقنية الإخفاء لإخفاء الحمولة الضارة داخل صورة.
المرحلة الرابعة: تفعيل تقنية الإخفاء
بدلاً من تنزيل ملف تنفيذي، يقوم سكريبت VBS بجلب ملف صورة. لكن داخل هذه الصورة، يتم إخفاء حمولة ضارة بصيغة DLL.
عند تحليل الصورة في منصة ANY.RUN، يمكن تحديد موقع الكود الخبيث المخفي عند الإزاحة 000d3d80 داخل الملف.
عند فحص الصورة باستخدام تحليل HEX، يظهر بوضوح علامة BASE64_START، وبعدها نجد الرمز “TVq”، وهو توقيع بصيغة Base64 لملف تنفيذي. يؤكد ذلك أن تقنية الإخفاء قد استُخدمت لإخفاء حمولة XWorm داخل الصورة، مما يسمح لها بتجاوز آليات الحماية حتى يتم استخراجها وتنفيذها.
المرحلة الخامسة: نشر XWorm داخل النظام
في الخطوة الأخيرة، يتم تنفيذ ملف DLL المستخرج، مما يؤدي إلى حقن XWorm داخل AddInProcess32، وهو أحد عمليات النظام.
ما الذي يمكن أن يفعله المهاجم بعد نجاح الهجوم؟
- سرقة البيانات الحساسة
- تنفيذ أوامر عن بُعد
- نشر برمجيات خبيثة إضافية
- استخدام الجهاز المصاب كنقطة انطلاق لمزيد من الهجمات
كيفية اكتشاف التهديدات المخفية قبل فوات الأوان؟
أصبحت هجمات الإخفاء تمثل تحديًا متزايدًا للشركات، حيث أن أدوات الأمن التقليدية غالبًا ما تفشل في اكتشاف البرامج الضارة المخفية داخل الصور وملفات الوسائط الأخرى. وهذا يتيح لمجرمي الإنترنت تجاوز الاكتشاف، وسرقة البيانات، واختراق الأنظمة دون إثارة أي إنذارات.
كيف تساعد منصة ANY.RUN في مواجهة هذه التهديدات؟
من خلال استخدام منصة التحليل التفاعلي ANY.RUN، يمكن لفرق الأمن السيبراني تتبع كل مرحلة من مراحل الهجوم بصريًا، واكتشاف الحمولة المخفية، وتحليل الملفات المشبوهة في الوقت الفعلي.
مزايا ANY.RUN:
تحليل التهديدات بسرعة: احصل على نتائج أولية في 10 ثوانٍ فقط، مما يسهل اكتشاف الهجمات مبكرًا.
تحسين التعاون: شارك نتائج التحليل فورًا، واعمل مع فريقك في جلسات مباشرة لتسريع المهام.
تسهيل التحقيقات: استخدم الواجهة التفاعلية والأعلام التلقائية لاكتشاف التهديدات بسهولة.
استخراج رؤى قابلة للتنفيذ: استفد من بيانات التهديدات (IOCs) وخرائط MITRE ATT&CK لتحسين الاستجابة.
تعزيز الاستجابة الأمنية: تحسين نقل البيانات من فرق SOC Tier 1 إلى SOC Tier 2 بفضل التقارير التفصيلية.
