قاتل صياد متخصص البرمجيات الخبيثة شهدت القدرة على تحديد وتعطيل أدوات الأمن السيبراني الرئيسية مثل جدران الحماية من الجيل التالي وبرامج مكافحة الفيروسات وحلول الكشف والاستجابة لنقطة النهاية (EDR) زيادة في الحجم بمقدار أربعة أضعاف خلال عام 2023، مما يدل على تحول كبير في قدرة الجهات الفاعلة في مجال التهديد على تحييدها. دفاعات المؤسسة.
هذا وفقًا لآخر أخبار Picus Security سنوي تقرير بيكوس الأحمر، والتي قامت بتحليل أكثر من 600000 عينة ضارة تمت ملاحظتها خلال هذه الفترة، وقامت بتعيين ما متوسطه 11 تقنية لكل برنامج ضار لأكثر من سبعة ملايين ميتري ATT&CK التقنيات.
وقال سليمان أوزارسلان، المؤسس المشارك لشركة Picus Security ونائب رئيس وحدة الأبحاث التابعة للشركة Picus Labs، والتي قامت بتجميع التقرير: “إننا نشهد طفرة في البرامج الضارة شديدة المراوغة والعدوانية والتي تشترك في خصائص الغواصات القاتلة”. بيانات.
“تمامًا كما تتحرك هذه الغواصات بصمت عبر المياه العميقة وتشن هجمات مدمرة لهزيمة دفاعات أهدافها، تم تصميم البرامج الضارة الجديدة ليس فقط للتهرب من أدوات الأمان ولكن أيضًا لإسقاطها بشكل فعال. نعتقد أن مجرمي الإنترنت يغيرون أسلوبهم استجابةً للتحسن الكبير الذي طرأ على أمن الشركات المتوسطة، والأدوات المستخدمة على نطاق واسع والتي توفر إمكانات أكثر تقدمًا لاكتشاف التهديدات.
“قبل عام، كان من النادر نسبيًا أن يقوم الخصوم بتعطيل الضوابط الأمنية. والآن، يظهر هذا السلوك في ربع عينات البرامج الضارة ويتم استخدامه تقريبًا من قبل كل مجموعات برامج الفدية ومجموعة التهديدات المتقدمة المتقدمة.
“إننا نشهد طفرة في البرامج الضارة شديدة المراوغة والعدوانية والتي تشترك في خصائص الغواصات القاتلة”
سليمان أوزرسلان، بيكوس للأمن
يمثل استخدام البرامج الضارة القاتلة تقنية Mitre ATT&CK التي يتم تتبعها باسم T1562 Impair Defences، والنمو الهائل في استخدامها جعلها ثالث أكثر تقنيات Mitre ملاحظة في عام 2023.
وقال بيكوس إن النمو كان أكثر دقة من خلال إعادة استخدام أدوات الأمن السيبراني كأدوات ضارة. على سبيل المثال، في عام 2023، قام طاقم برنامج الفدية LockBit بتحويل الأداة المساعدة TDSSKiller لمكافحة الجذور الخفية من Kaspersky إلى سلاح لقتل برامج أمان نقطة النهاية – بما في ذلك مايكروسوفت ديفندر.
يعد الارتفاع الكبير في البرمجيات الخبيثة القاتلة جزءًا من اتجاه أوسع للجهات الفاعلة في مجال التهديد التي تعمل على تحسين فرصها في شن هجمات ناجحة من خلال التهرب من الدفاعات السيبرانية لضحاياها – 70% من البرمجيات الخبيثة التي تم تحليلها من أجل التقرير تستخدم الآن تقنيات التخفي لتجنب الكشف وتثبيت الثبات والحفاظ عليه. . لاحظ بيكوس تضاعف استخدام الملفات أو المعلومات المبهمة، المصممة لإعاقة فعالية الأدوات الأمنية والتهرب من الكشف والاستجابة للحوادث والتحليل الجنائي اللاحق.
وقال حسين كان يوسيل، قائد الأبحاث الأمنية في شركة Picus Security: “قد يكون من الصعب للغاية اكتشاف ما إذا كان الهجوم قد أدى إلى تعطيل أدوات الأمان أو إعادة تكوينها لأنها قد تبدو وكأنها لا تزال تعمل كما هو متوقع”.
“إن منع الهجمات التي قد تعمل تحت الرادار يتطلب استخدام ضوابط أمنية متعددة مع نهج دفاعي متعمق. يجب أن يكون التحقق من الأمان نقطة انطلاق للمؤسسات لفهم مدى استعدادها بشكل أفضل وتحديد الثغرات.
“ما لم تقم منظمة ما بمحاكاة الهجمات بشكل استباقي لتقييم رد فعلها إدر, XDR [extended detection and response], سيم [security information and event management]والأنظمة الدفاعية الأخرى التي قد يتم إضعافها أو القضاء عليها بواسطة البرمجيات الخبيثة القاتلة، فإنها لن تعرف أنها معطلة إلا بعد فوات الأوان.
فيما يلي تكتيكات وتقنيات وإجراءات Mitre ATT&CK العشرة الأكثر شيوعًا (TTPs) والتي تظهر في بيانات Picus:
حقن العمليات T1055 – يُستخدم لتعزيز قدرة الجهة التهديدية على البقاء غير مكتشفة وربما رفع امتيازاتها عن طريق حقن تعليمات برمجية ضارة في عملية مشروعة، وبالتالي إخفاء ما يحدث بالفعل.
T1059 Command and Scripting Interpreter – يُستخدم لتنفيذ الأوامر والبرامج النصية والملفات الثنائية على النظام الضحية، مما يمكّن جهات التهديد من التفاعل مع النظام المخترق، أو استرداد المزيد من الحمولات والأدوات، أو تجاوز الإجراءات الدفاعية.
T1562 إضعاف الدفاعات – استخدام البرمجيات الخبيثة القاتلة كما هو مفصل.
اكتشاف معلومات النظام T1082 – يُستخدم لجمع البيانات حول النظام المخترق، مثل إصدار نظام التشغيل ومعرف kernel ونقاط الضعف المحتملة، من خلال الاستفادة من الأدوات المدمجة.
بيانات T1486 مشفرة للتأثير – تستخدمها خزائن برامج الفدية وماسحات البيانات.
T1003 OS Credential Dumping – يُستخدم للحصول على تسجيلات الدخول إلى الحساب وبيانات الاعتماد للوصول إلى الموارد والأنظمة الأخرى في بيئة الضحية.
بروتوكول طبقة التطبيقات T1071 – يُستخدم لمعالجة بروتوكولات الشبكة القياسية، مما يمكّن المهاجمين من التسلل إلى الأنظمة وسرقة البيانات عن طريق الدمج في حركة مرور الشبكة العادية.
T1547 التمهيد أو تنفيذ تسجيل الدخول التلقائي – يُستخدم لتكوين إعدادات النظام لتشغيل البرامج تلقائيًا عند بدء تشغيل الأنظمة أو تسجيل دخول المستخدمين، بهدف الحفاظ على التحكم أو تصعيد الامتيازات.
T1047 Windows Management Instrumentation (WMI) – يُستخدم لتنفيذ الأوامر والحمولات الضارة على مضيفي Windows المخترقين من خلال استغلال أداة إدارة بيانات وعمليات WMI.
T1027 الملفات أو المعلومات المبهمة – تُستخدم لإخفاء محتويات ملف ضار أو قابل للتنفيذ أثناء النقل عن طريق تشفيره أو تشفيره أو ضغطه.
وقال أوزارسلان إنه من أجل مكافحة البرمجيات الخبيثة القاتلة، والبقاء في مواجهة بعض TTPs الأخرى التي من المقرر أن يستمر استخدامها بشكل جيد في عام 2024، تحتاج المؤسسات إلى بذل المزيد من الجهد للتحقق من صحة دفاعاتها ضد إطار عمل Mitre ATT&CK وتبنيها. استخدام التعلم الآلي كمساعد إذا لزم الأمر.
يمكن أن يكون التقرير الكامل، والذي يتضمن قدرًا كبيرًا من التفاصيل حول تقنيات Mitre ATT&CK الأكثر شيوعًا تم تنزيله من Picus Security هنا.
