ذكاء البيانات التوليدية

الأمن السيبراني

كود القشرة المخادع: توفر ألياف Windows تنفيذ تعليمات برمجية مقاومة لـ EDR

إعادة نشرها من قبل أفلاطون
إعادة نشرها من قبل أفلاطون

التاريخ:

المشاهدات: 0

تمثل ألياف Windows، وهي مكونات غير معروفة في نظام التشغيل Windows، مسارًا غير موثق إلى حد كبير لتنفيذ التعليمات البرمجية والذي يوجد حصريًا في وضع المستخدم - وبالتالي يتم تجاهله إلى حد كبير من قبل منصات الكشف والاستجابة لنقطة النهاية (EDR).. على هذا النحو، من الممكن أن يستغلها المهاجمون للهبوط خلسة على أجهزة الكمبيوتر ونشر حمولات ضارة.

هذا وفقًا لدانيال جاري، الباحث الأمني ​​المستقل، الذي وضع هجومين جديدين لإثبات المفهوم (PoC) باستخدام الألياف في جلسة في بلاك هات آسيا يوم الخميس.

ويوضح أن الألياف هي بديل لـ "الخيوط" القياسية التي يستخدمها Windows لتنفيذ التعليمات البرمجية من نظام التشغيل أو أحد التطبيقات.

يقول لـ Dark Reading: "تشبه الخيوط العمال، بشكل أساسي، ضمن عملية Windows أو تطبيق ما، وكانت تقليديًا دائمًا هي الطريقة التي تنفذ بها التعليمات البرمجية وتنجز الأمور". "ولكن هناك طريقة أكثر تخصصًا للقيام بذلك، من خلال الألياف."

الألياف: مسار نظام التشغيل Windows المنسي والمهمل

توجد الألياف، عند استخدامها، داخل الخيوط - فهي في الأساس نسخ أصغر حجمًا وأكثر خفة الوزن من مفهوم الخيوط الأكبر. تم تطوير الألياف في البداية في الوقت الذي كانت فيه وحدات المعالجة المركزية (CPU) تحتوي على عدد أقل من النوى المتاحة لها ولا يمكنها استيعاب سوى عدد قليل من الخيوط. على مستوى عالٍ، كان الأصغر وسيلة لتوسيع السعة، من خلال السماح للمطورين بتقسيم أعباء العمل ضمن سلسلة رسائل واحدة وجعل العمليات أكثر كفاءة.

يوضح جاري: "ولكن مع ازدياد قوة أجهزة الكمبيوتر، وتوافر المزيد من الذاكرة التي يمكن اللعب بها، أصبحت الألياف زائدة عن الحاجة إلى حد ما في الغالبية العظمى من السيناريوهات". "لهذا السبب لم يسمع الكثير من الأشخاص عنها حقًا وهي غامضة بعض الشيء، ولكنها تخدم بعض الأغراض لبعض التطبيقات القديمة وطريقة لنقل البرامج من أنظمة التشغيل الأخرى إلى Windows. ولا تزال بعض عمليات Windows نفسها تستخدم الألياف في الواقع.

وبالتالي، تتمتع الألياف بالشرف المشكوك فيه لكونها وظيفة أساسية في Windows ووظيفة يتم التغاضي عنها من قبل فرق الأمان. للتمهيد، يشير جاري إلى أن آليات الكشف التقليدية في منصات EDR ومحركات مكافحة الفيروسات تميل إلى تجاهلها - مما يجعلها وسيلة تسلل مثالية لتنفيذ التعليمات البرمجية الضارة.

يقول جاري: "تتم مراقبة الخيوط بشكل مكثف من قبل وكلاء EDR، الذين ينظرون إلى طلبات النظام وعمليات رد الاتصال لوضع kernel لالتقاط القياس عن بعد وإرساله إلى محرك القواعد لإنشاء الكشف". "لكن الألياف موجودة فقط في وضع المستخدم ولا تظهر في مجموعة النواة، لذلك لا يتم تسجيل قياسها عن بعد بواسطة EDRs."

توجد بالفعل بعض التقنيات مفتوحة المصدر للاستفادة من حالة الألياف تحت الرادار. على سبيل المثال، يقدم إثبات المفهوم (PoC) لعام 2022 تفاصيل طريقة لـ إخفاء كود القشرة الضار داخل الأليافوبالتالي التهرب من غالبية محركات AV.  

وقد أنشأ آخرون أساليب ل اخفاء مكدس المكالمات، والتي تمكن المهاجمين من إخفاء مسار تنفيذ ضار داخل سلسلة - في هذه الحالة، ألياف - خلف ألياف خاملة مختلفة حميدة، تتجنب أيضًا اكتشافها. تستفيد هذه التقنية من حقيقة أنه إذا كانت الألياف قيد الاستخدام، فهناك دائمًا ألياف نشطة، ثم ألياف خاملة يتم إيقاف تشغيلها بها. تمت إضافة قدرة الإخفاء هذه إلى مجموعة Artefact Kit الخاصة بـ Cobalt Strike في عام 2022.

حدود جديدة في تنفيذ الألياف الضارة

انطلق جاري لاستكشاف ما إذا كان من الممكن تحسين تقنيات الألياف الضارة الموجودة، وتوصل إلى اثنين من نقاط الاتصال الجديدة، يطلق عليهما اسم Phantom Thread وPoison Fiber.

أساليب الألياف العدائية الحالية لها عيوب معينة بالنسبة للمهاجمين: لا يزال من الممكن استخدام بعض المؤشرات للكشف عن EDR، ولا يتم إخفاء الضرر من مجموعة استدعاءات الاستدعاء المضمنة القائمة على الأحداث. أي مجموعة من الألياف الخاملة، والتي توجد لها عدة تقنيات، من شأنها إزالة إخفاء مكدس المكالمات.

Phantom Thread هو أسلوب إخفاء مكدس المكالمات من الجيل التالي الذي يزيل قدرة عمليات فحص الذاكرة على استهداف الألياف من خلال جعل تلك الألياف تتنكر في شكل خيوط. يتضمن ذلك إنشاء ألياف، ثم ترقيعها بحيث تُعرف ذاتيًا على أنها خيط. ومن ثم يصبح من الممكن إزالة أي مؤشرات مكدسة للألياف وإخفاء الألياف بشكل أساسي من أي مسح تمامًا.

يقوم PoC الثاني، Poison Fiber، بتعداد أي عمليات قيد التشغيل في Windows، والنظر في الخيوط المستخدمة ثم ما إذا كان أي من هذه الخيوط يستخدم الألياف. يشرح جاري قائلاً: "ثم "يقدم لك فرصة لحقن حمولتك أو كود القشرة الخاص بك في ألياف خاملة".

ويقول: "يمكنك تشغيل ليف واحد فقط لكل خيط في المرة الواحدة، مما يعني أن لديك دائمًا ليفًا خاملًا آخر متوقفًا في مكان آخر على المكدس". "عندما ننفذ التعليمات البرمجية الخاصة بنا باستخدام Poison Fiber، يؤدي ذلك إلى حقن التعليمات البرمجية الخاصة بنا في ألياف خاملة، لذلك لا يتعين علينا تعليق الخيط من أجل حقن كود القشرة، وهو مؤشر ضخم للنشاط الضار. ولأننا قمنا بحقن الحمولة في ألياف خاملة، يقوم التطبيق بتشغيل التنفيذ لنا، ولا نبدأ التنفيذ بأنفسنا. تتمتع هذه التقنية بميزة إضافية تتمثل في السماح بتنفيذ التعليمات البرمجية عن بعد (RCE) أيضًا.

استيقظ على إمكانات الخصومة التي توفرها الألياف

على الرغم من أنها لا تزال غامضة إلى حد ما، إلا أن الألياف يجب أن تكون مدرجة في قائمة فرق الأمن لنواقل الهجوم، كما يحذر جاري، الذي لم يقم بعد بإصدار إثباتات المفهوم (PoCs) المتطورة أو التفاصيل الدقيقة حول الأساليب علنًا. وهو يرى أن الأمر مجرد مسألة وقت قبل أن يجد الآخرون طرقًا للتغلب على عيوب طرق تنفيذ الألياف مفتوحة المصدر الحالية.  

ويقول: "إن طريقة التنفيذ البديلة للألياف تعتبر ذات قيمة بالنسبة للمهاجمين لأنها تساعدنا على تجنب مصادر القياس عن بعد التقليدية التي نحصل عليها من خلال الخيوط، ولا سيما عمليات رد اتصال kernel". "الألياف ليست تكتيكًا لتصعيد الامتيازات، وليست بمثابة تجاوز للتحكم في وصول المستخدم (UAC). ولكنها تسمح بتسليم الحمولة التي تحظى بقدر أقل بكثير من الاهتمام والاهتمام من مجتمع الأمان. من السهل حقًا تنفيذ الألياف، ولكن من الصعب اكتشافها. وهذا يجعلها مثالية لأي طفل لاستخدامها في مهاجمة الشركات.

ينصح جاري بالتنفيذ منتجات EDR الناضجة التي يمكن اختبارها باستمرار مقابل التقنيات الناشئة مثل هذه.

يقول: "تحدث إلى أعضاء فريقك الأحمر حول طرق الألياف مفتوحة المصدر المستخدمة في البرية". "قم بإجراء بعض الأبحاث لمعرفة ما يستمتع به المهاجمون، وما هو شائع في البرية، ثم أرسل ذلك مرة أخرى إلى فريق البحث الخاص بك ومطوري منتجات EDR لديك. سيساعد ذلك في بناء دفاعات أفضل وربما يجعل حياة صائدي التهديدات لديك أسهل قليلاً أيضًا.

بقعة_صورة

أحدث المعلومات الاستخباراتية

بقعة_صورة

حقوق النشر @ 2024 Plato Technologies Inc.

الدردشة معنا

أهلاً! كيف يمكنني مساعدك؟