المفضّل الجديد لفرق الاختبار الهجومي أم السلاح السري لمجرمي الإنترنت؟ صعود Vshell في الظلال
العنوان الفرعي: أداة مبنية على Go كانت مغمورة يومًا ما تستبدل بسرعة Cobalt Strike كمركز قيادة خفي للقراصنة ومختبري الأمن على حد سواء.
في لعبة القط والفأر المتغيرة باستمرار بين الهجوم السيبراني والدفاع، ظهر لاعب جديد بهدوء تحت الأضواء. Vshell، أداة إدارة عن بُعد مدعومة بلغة Go، تتحول سريعًا إلى السلاح المفضل لكلٍ من مختبري الاختراق ومجرمي الإنترنت - مهددةً بقلب هيمنة Cobalt Strike المألوفة في عمليات ما بعد الاختراق. لكن كيف تحولت هذه الأداة، التي طُرحت في البداية كمنفعة أمنية مشروعة، إلى محبوبة الخصوم المتربصين على حدود العالم الرقمي؟
من المصدر المفتوح إلى ركيزة في عالم الجريمة
رحلة Vshell مثالٌ حي على تقنيات الاستخدام المزدوج. فقد ظهرت لأول مرة في 2021 بوصفها “teamserver” لاختبار الشبكات بشكل مشروع، وسرعان ما لفتت الأنظار بقدراتها القوية في مرحلة ما بعد الاختراق. ولاحظ باحثو الأمن مؤشرات دالة - إشارات إلى Mimikatz، وبنية قيادة وتحكم (C2)، وقدرات الحركة الجانبية - جعلت Vshell ذات قيمة للمجرمين بقدر ما هي لفرق الاختبار الهجومي في الشركات.
ويعكس تطور الأداة مسارًا ثابتًا نحو نضجٍ تشغيلي أكبر. فبحلول 2022، تبنّت Vshell مكدس اتصالات الشبكة الخاص بـ NPS، وهو وكيل بروكسي شائع للإنترانت في الصين، ما جعل ميزات الأنفاق فيها شبه غير قابلة للتمييز عن تلك الموجودة في منتجات أمن هجومي عالية المستوى. كما أن إضافة ميزات مثل انتحال nginx، ومصادقة Digest، والمستمعات المعيارية (TCP، UDP/KCP، WebSocket، DNS، وDNS عبر HTTPS) منحت المهاجمين مرونة للاندماج مع حركة الشبكة الاعتيادية - والتفلت من أساليب الكشف التقليدية.
وتزيد دورة إصدارات Vshell الغموض. فبينما تظل بعض النسخ متاحة مجانًا على GitHub، تتداول نسخ أخرى في منتديات خاصة ناطقة بالماندرين، مع تزايد تقييد أحدث الإصدارات وصعوبة بصمتها. وتواجه فرق الأمن الآن تحدي تتبع هدف متحرك يواصل صقل بصمته التخفيّة وتقليص حضوره العلني.
معضلات الكشف والانتشار العالمي
على الرغم من انخفاض ظهورها، فإن Vshell متورطة بالفعل في حوادث سيبرانية تصدرت العناوين، بما في ذلك عملية DRAGONCLONE وحملات تديرها مجموعات مثل UNC5174. وتكشف عمليات مسح الإنترنت عبر Censys عن مئات المستمعات النشطة لـ Vshell - غالبًا ما تكون متموضعة جنبًا إلى جنب مع لوحات Cobalt Strike - لتعمل كمحاور اتصال للأنظمة المخترقة حول العالم. ويفضّل الإعداد الافتراضي للأداة منفذ TCP 8084، لكن مستمعاتها المعيارية يمكن ضبطها لتفادي المراقبة الأمنية القياسية.
بالنسبة للمدافعين، يطرح صعود Vshell معضلة مقلقة: فالكشف بات يتطلب فحصًا متعدد البروتوكولات، ومراقبة يقظة للمنافذ ذات الأرقام العالية، وعينًا حادة لرصد أنفاق DNS وجلسات WebSocket غير المعتادة. ومع طمس Vshell للحد الفاصل بين الاختبار الهجومي والهجمات الواقعية، يتعين على المؤسسات التكيف وإلا خاطرت بأن تُفاجأ بهذا التهديد سريع النضج.
الخلاصة: هل هي Cobalt Strike التالية؟
يعكس مسار Vshell اتجاهًا أوسع في الهجوم السيبراني: أطر الاستخدام المزدوج أصبحت أصعب رصدًا، وأكثر معيارية، ومفضلة على نحو متزايد لدى المخترقين الأخلاقيين والخصوم على حد سواء. ومع استمرارها في التطور، يجب على المدافعين رفع مستوى لعبتهم - لأن ما كان بالأمس قمة التطور في أدوات ما بعد الاختراق أصبح اليوم خط الأساس للمهاجمين.
WIKICROOK
- أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا عبر خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
- الحركة الجانبية: الحركة الجانبية هي عندما ينتقل المهاجمون، بعد اختراق شبكة ما، بشكل جانبي للوصول إلى مزيد من الأنظمة أو البيانات الحساسة، موسّعين سيطرتهم ونطاق وصولهم.
- الأنفاق: تنقل الأنفاق البيانات بأمان عبر الشبكات المقيّدة من خلال تغليف البروتوكولات، وغالبًا ما تُستخدم لتجاوز الرقابة أو الجدران النارية أو قيود الشبكة.
- مصادقة Digest: تؤمّن مصادقة Digest بيانات اعتماد الويب عبر تجزئتها قبل الإرسال، ما يحمي كلمات المرور من الاعتراض ويقلل المخاطر الأمنية.
- مستمع: المستمع برنامج خفي ينتظر أوامر عن بُعد من القراصنة، ما يتيح تحكمًا غير مصرح به مستمرًا أو سرقة بيانات على نظام مخترق.
