التخفي داخل السجل: كيف تتفوق أداة Swarmer على دفاعات ويندوز

العنوان الفرعي: أداة اختراق جديدة تستغل ميزات منسية في ويندوز لتتجاوز الأمن الحديث وتستمر دون اكتشاف.

إنه ذلك النوع من الحيل السيبرانية الذي يُبقي فرق تقنية المعلومات مستيقظة طوال الليل: أداة تحوّل غرائب سجل ويندوز القديمة إلى سلاح ضد المدافعين، فتُدخل البرمجيات الخبيثة دون أن تُحدث إلا أقل أثر على رادار الأمن. أداة Swarmer التي كُشف عنها مؤخرًا تفعل ذلك تمامًا، إذ تستغل ميزة مؤسسية قديمة لتحقيق الاستمرارية على أنظمة ويندوز - مع إبقاء أدوات كشف نقاط النهاية في الظلام.

حقائق سريعة

تسيء Swarmer استخدام ملفات تعريف المستخدم الإلزامية وملفات NTUSER.MAN لتحقيق استمرارية خفية.
تعدّل خلايا السجل (hives) دون اتصال، متجاوزة واجهات برمجة تطبيقات ويندوز القياسية ومتفادية مراقبة EDR.
لا يحتاج المهاجمون إلى صلاحيات المسؤول - يمكن للمستخدمين غير المميّزين نشر ملفات تعريف خبيثة.
الكشف صعب: أدوات المراقبة القياسية مثل Process Monitor وسجلات ETW لا تُظهر أي عبث بالسجل.
ينبغي على المدافعين مراقبة ملفات NTUSER.MAN غير المتوقعة والاستخدام المريب لـ Offreg.dll.

الثغرة الإرثية: استغلال ملفات تعريف ويندوز

لسنوات، اعتمد خبراء الأمن على أدوات الكشف والاستجابة على نقاط النهاية (EDR) لرصد تغييرات السجل المشبوهة. فأي محاولة لإضافة برنامج إلى مفتاح “Run” الكلاسيكي في ويندوز، على سبيل المثال، تُطلق تنبيهات بفضل المراقبة الصارمة لواجهات برمجة تطبيقات السجل. لكن مبتكري Swarmer وجدوا منفذًا خلفيًا: نظام “ملف تعريف المستخدم الإلزامي” قليل الاستخدام، وهو بقايا من ماضي ويندوز المؤسسي.

صُممت الملفات الإلزامية، التي تُنشر عبر ملفات NTUSER.MAN، لفرض إعدادات سطح مكتب متسقة. لكن عبر إعداد ملف NTUSER.MAN مخصص، يستطيع المهاجم استبدال خلية سجل المستخدم بالكامل عند تسجيل الدخول - دون الحاجة إلى صلاحيات المسؤول أو استدعاءات API صاخبة. والنتيجة: يمكن زرع برمجيات خبيثة لتعمل عند بدء التشغيل، مع التحليق تحت رادار معظم أدوات EDR.

كيف تعمل Swarmer

سير عمل Swarmer مبسّط لكنه خبيث. أولًا، تُصدّر بيانات سجل المستخدم. ثم تُحقن إدخالات بدء تشغيل خبيثة داخل البيانات المُصدّرة. وأخيرًا، تستخدم مكتبة السجل غير المتصل الخاصة بمايكروسوفت (Offreg.dll) لتحويل البيانات إلى ملف NTUSER.MAN ثنائي. ولأن جميع التغييرات تتم دون اتصال، ولأن Offreg.dll لا تخضع لمراقبة دقيقة لدى معظم أدوات الأمن، فهناك القليل من الدلائل على وجود خطأ ما - حتى تسجيل الدخول التالي، حين تُختطف جلسة المستخدم.

الأداة مبنية بلغة C# ويمكن تشغيلها كملف تنفيذي مستقل أو كوحدة PowerShell. كما تدعم التكامل مع بنية القيادة والتحكم، ما يتيح للمهاجمين أتمتة العملية وتقليل بصمتهم الرقمية على الأجهزة المخترقة.

لماذا يهم هذا

Swarmer تذكير صارخ بكيف يمكن للميزات الإرثية أن تتحول إلى التزامات أمنية اليوم. فالتقنية لا تتجاوز المراقبة الحديثة فحسب - بل تُسلّح الأدوات ذاتها المخصصة لإعداد النظام واستعادته. بالنسبة للمدافعين، تعني اليقظة مراقبة أدلة ملفات التعريف بحثًا عن ملفات NTUSER.MAN في غير موضعها، والتشكيك في أي استخدام غير مفسر لـ Offreg.dll.

ومع تعمّق جهات التهديد في زوايا ويندوز المنسية، يجب على فرق الأمن التكيف - قبل أن تتحول بقايا الأمس إلى خرق الغد.

WIKICROOK

سجل ويندوز: سجل ويندوز هو قاعدة بيانات في نظام تشغيل ويندوز تخزن إعدادات النظام والمستخدم والتطبيقات، وهو عنصر حاسم للتهيئة والأمن.
NTUSER.MAN: NTUSER.MAN هو ملف في ويندوز يفرض إعدادات سجل إلزامية للمستخدمين، ويمنع حفظ التغييرات بعد كل جلسة تسجيل دخول.
الكشف والاستجابة على نقاط النهاية (EDR): الكشف والاستجابة على نقاط النهاية (EDR) هي أدوات أمنية تراقب الحواسيب بحثًا عن نشاط مريب، لكنها قد تفوّت هجمات قائمة على المتصفح لا تترك ملفات.
Offreg.dll: Offreg.dll هي مكتبة في ويندوز لتحرير السجل دون اتصال، مفيدة لاستعادة النظام والتحقيقات الجنائية الرقمية، وأحيانًا تستغلها البرمجيات الخبيثة لإجراء تغييرات خفية.
آلية الاستمرارية: آلية الاستمرارية هي طريقة تستخدمها البرمجيات الخبيثة للبقاء نشطة على النظام، متجاوزة إعادة التشغيل ومحاولات الإزالة من قبل المستخدمين أو أدوات الأمن.