مهاجمان سایبری ابزارهای پیشرفته EDR Killer را به پلتفرم باج‌افزار به‌عنوان سرویس اضافه کردند

افزایش استفاده از EDR Killer در اکوسیستم حملات باج‌افزاری باعث شده مدل‌های دفاعی مبتنی بر سامانه‌های تشخیص و پاسخ در Endpoint یا به عبارتی EDR با سطح جدیدی از تهدید و پیچیدگی مواجه شوند. بر اساس گزارش جدید شرکت امنیتی ESET، مهاجمان اکنون با استفاده از قابلیت‌های پیشرفته EDR Killer قادرند پیش از مرحله اجرای نهایی باج‌افزار، بسیاری از راهکارهای امنیتی سازمانی را به‌طور مؤثر غیرفعال کرده و مسیر نفوذ را برای اجرای حمله هموار کنند.

در همین راستا، این قابلیت که به‌تازگی در قالب مدل باج‌افزار به‌عنوان سرویس (RaaS) در اختیار همکاران عملیاتی قرار گرفته است، نشان می‌دهد این ابزار پیشرفته در حال تبدیل شدن به یک بخش کلیدی در زنجیره حملات مدرن باج‌افزاری است؛ بخشی که نقش مستقیم در کاهش اثربخشی کنترل‌های امنیتی سازمانی ایفا می‌کند.

استفاده پلتفرم باج‌افزاری The Gentlemen از EDR Killer

بر اساس تحقیقات شرکت امنیتی ESET، یکی از فعال‌ترین گروه‌های باج‌افزاری حال حاضر یعنی The Gentlemen، از زمان آغاز فعالیت خود در سال گذشته، با تکیه بر مدل RaaS و ارائه مدل تقسیم درآمد 90/10 به نفع همکاران عملیاتی، به‌سرعت به یکی از موفق‌ترین پلتفرم‌های باج‌افزاری تبدیل شده است.

نفوذ یک مهاجم ناشناس در ماه می به سرورهای این گروه منجر به افشای بخشی از داده‌های داخلی شد. تحلیل این اطلاعات توسط پژوهشگران امنیتی، از ساختار عملیاتی پیچیده آن‌ها پرده برداشت و تأیید کرد که ابزارهای EDR Killer نقش محوری و حیاتی در اجرای بیشتر حملات این پلتفرم ایفا می‌کنند. طبق برآوردها، تاکنون حدود 300 حمله باج‌افزاری از طریق زیرساخت این گروه انجام شده است.

تکامل ابزارهای EDR Killer و چالش‌های عملیاتی مهاجمان

استفاده از ابزارهای EDR Killer برای دور زدن یا از کار انداختن عامل‌های امنیتی (Security Agents) در محیط‌های کلاینت و سرور، پدیده‌ای نوظهور محسوب نمی‌شود؛ با این حال، به مرور زمان بر تعداد و پیچیدگی این ابزارها افزوده شده است. با وجود این تکامل، چالش اصلی مهاجمان و همکاران عملیاتی آن‌ها در اکوسیستم باج‌افزاری این است که همچنان ناچارند برای هر کمپین، ابزار اختصاصی خود را توسعه دهند. با توجه به تنوع گسترده محصولات EDR که توسط تیم‌های دفاعی در سازمان‌ها به‌کار گرفته می‌شود، توسعه و حفظ کارایی این ابزارها به یکی از پرهزینه‌ترین و پیچیده‌ترین مراحل عملیاتی برای مهاجمان تبدیل شده است.

فریم‌ورک اختصاصی GentleKiller

اطلاعات افشاشده تأیید می‌کند که این گروه یک فریم‌ورک اختصاصی EDR Killer با نام GentleKiller توسعه داده است. این فریم‌ورک، همکاران عملیاتی را از دغدغه توسعه ابزارهای اختصاصی بی‌نیاز می‌کند و دسترسی آن‌ها را به مجموعه‌ای غنی از تکنیک‌ها و متدهای پیشرفته EDR Killer فراهم می‌سازد. علاوه بر این، ادغام ابزارهای شناخته‌شده شخص‌ثالث نظیر HexKiller، ThrottleBlood و HavocKiller در این زیرساخت، قدرت تهاجمی این پلتفرم را به‌طور چشمگیری افزایش داده است.

دموکراتیزه شدن حملات باج‌افزاری

به گفته پژوهشگران ESET، در اختیار قرار گرفتن این ابزارها برای همکاران عملیاتی باعث شده اجرای حملات پیشرفته حتی برای مهاجمان کم‌تجربه نیز امکان‌پذیر شود.

بر اساس این گزارش، ارائه این قابلیت‌ها عملاً موانع ورود به اکوسیستم باج‌افزار را کاهش داده است. همکاران عملیاتی علاوه بر ابزار رمزگذاری فایل‌ها، یک مجموعه کامل از ابزارهای موردنیاز برای انجام نفوذ را نیز در اختیار دارند. در نتیجه، تعداد مهاجمان فعال افزایش یافته و استقرار و اجرای باج‌افزار در شبکه‌های قربانی با ثبات و تکرارپذیری بیشتری انجام می‌شود.

تکنیک BYOVD

این فریم‌ورک که در هشت نسخه توسعه یافته، قابلیت استقرار سریع نمونه‌های اثبات‌مفهوم (PoC) مبتنی بر تکنیک BYOVD (درایور آسیب‌پذیر خود را بیاورید) را به‌عنوان یکی از قابلیت‌های کلیدی خود ارائه می‌دهد. این روش با بارگذاری یک درایور آسیب‌پذیر در حافظه، امکان دستیابی به سطح دسترسی کرنل را برای مهاجم فراهم می‌کند. علاوه بر این، این فناوری شامل مجموعه‌ای از تکنیک‌های دورزدن است که برای عبور از بیش از 400 فرآیند امنیتی مرتبط با EDR در 48 توسعه‌دهنده مختلف طراحی شده‌اند.

منطق عملکرد BYOVD ساده اما بسیار مخرب است. مهاجم پس از دستیابی به دسترسی ادمین در سیستم هدف، یک درایور قدیمی اما معتبر (دارای امضای دیجیتال) را که حاوی آسیب‌پذیری‌های شناخته‌شده است، بارگذاری می‌کند. این اقدام، سطح دسترسی مهاجم را از ادمین به سطح کرنل افزایش داده و به او اجازه می‌دهد تا درایورهای امنیتی EDR را مستقیماً هدف قرار دهد.

آسیب‌پذیری محصولات EDR در برابر نسل جدید تکنیک‌های دور زدن، مدت‌هاست در جامعه امنیت سایبری مورد توجه قرار گرفته است. پژوهشی که در سال 2024 توسط شرکت امنیتی Trellix منتشر شد، بر این ضعف اساسی تأکید داشت. همچنین، گزارش اوایل سال جاری شرکت Huntress نیز شواهد ملموسی از حملات واقعی ارائه داد؛ حملاتی که در آن‌ها مهاجمان با بهره‌گیری از تکنیک BYOVD، درایورهای قدیمی و آسیب‌پذیر را بارگذاری کرده و عملاً سامانه‌های امنیتی EDR را غیرفعال کردند.

به گفته پژوهشگران، بزرگ‌ترین چالش دفاعی این است که ابزارهای EDR Killer به‌جای اتکا به بدافزارهای پیچیده، از درایورهای قانونی اما آسیب‌پذیر استفاده می‌کنند؛ درایورهایی که به دلیل ماهیت مجاز خود همچنان در بسیاری از محیط‌های سازمانی به‌کار گرفته می‌شوند و همین موضوع شناسایی و مقابله با آن‌ها را برای تیم‌های امنیتی به‌طور قابل توجهی دشوار می‌سازد.

راهکارهای دفاعی

کارشناسان امنیت سایبری برای کاهش ریسک این نوع حملات، مجموعه‌ای از اقدامات کلیدی را توصیه می‌کنند. مهم‌ترین آن‌ها فعال‌سازی قابلیت‌های امنیتی سطح سیستم‌عامل مانند یکپارچگی کد محافظت‌شده توسط هایپروایزر (HVCI) و یکپارچگی کد در حالت کرنل (KMCI) است؛ مکانیزم‌هایی که از بارگذاری درایورهای قدیمی، ناامن یا دستکاری‌شده جلوگیری کرده و سطح حمله را به‌طور مؤثری محدود می‌کنند.

همچنین سازمان‌ها باید سیاست‌های سخت‌گیرانه مجوزدهی و مسدودسازی درایورها (Driver Allow/Block) را پیاده‌سازی کنند، قوانین سفارشی متناسب با معماری و نیازهای زیرساختی خود تعریف نمایند، به‌صورت مداوم درایورهای غیرضروری را ممیزی (audit) و حذف کنند و در نهایت، درایورهای آسیب‌پذیر را به‌روزرسانی کرده یا به‌طور کامل از چرخه استفاده خارج سازند.

در صورتی که نصب این نوع درایورها در محیط سازمانی به‌درستی کنترل و مسدود شود، بسیاری از سناریوهای مبتنی بر EDR Killer عملاً کارایی خود را از دست خواهند داد.

منابع

https://www.csoonline.com/article/4187329/threat-actor-adds-advanced-edr-killer-tools-to-ransomware-as-a-service-platform.html