يثبت نوع جديد شديد التخفي من برامج الفدية، يُدعى Crytox، قدرة متسقة على تجاوز حلول الكشف والاستجابة للنقاط الطرفية (EDR) ومضادات الفيروسات (AV) التقليدية. وفقًا لتحليل مفصل من شركة الأمن السيبراني Halcyon، فإن تقنية التهرب الأساسية للبرنامج الضار تعتمد على إساءة استخدام الملفات الثنائية المعيشية (LOLBins)، وتحديدًا أداة PowerShell. من خلال الاستفادة من هذه الأداة الأصلية الموثوقة في نظام Windows، ينفذ Crytox حمولاته الضارة مباشرة في الذاكرة، وهي طريقة تترك غالبًا آثارًا جنائية ضئيلة على القرص وتتجنب الكشف القائم على التوقيعات. يؤكد هذا النهج اتجاهًا متزايدًا بين الجهات الفاعلة المهددة المتطورة التي تستغل أدوات النظام المشروعة لدمج النشاط الضار مع حركة المرور الإدارية العادية، مما يجعل الكشف صعبًا للغاية على فرق الأمان المعتمدة على الأدوات التقليدية.
تسلسل هجوم Crytox منهجي ومصمم للتخفي. غالبًا ما يتم اكتساب الوصول الأولي من خلال حملات التصيد أو استغلال الثغرات الأمنية المواجهة للعامة. بمجرد الدخول إلى الشبكة، يستخدم برنامج الفدية نصوص PowerShell لتعطيل برامج الأمان، تصعيد الامتيازات، والانتقال جانبياً. يتمثل الجانب الرئيسي من تهربه في استخدام أوامر مشفرة ومموهة، يصعب على أدوات التحليل الثابت فك شفرتها. من خلال تنفيذ إجراءات التشفير الأساسية بالكامل داخل مساحة الذاكرة المتطايرة (RAM) عبر PowerShell، يتجنب Crytox كتابة الملف التنفيذي الضار على محرك الأقراص الثابتة. لا تتجنب تقنية الهجوم عديمة الملفات هذه فحوصات مضادات الفيروسات التي تراقب عمليات كتابة الملفات المشبوهة فحسب، بل تعقد أيضًا تحقيقات الطب الشرعي بعد الحوادث، حيث تختفي المكونات الحرجة للبرنامج الضار عند إعادة تشغيل النظام.
يؤكد تقرير Halcyon أن Crytox يمثل أكثر من مجرد عائلة أخرى لبرامج الفدية؛ فهو عرض لفجوة دفاعية أوسع. يجعل الاستخدام الواسع والمشروع لـ PowerShell في البيئات المؤسسية لإدارة النظام والأتمتة من غير العملي حظره تمامًا. وبالتالي، يتم ضبط العديد من حلول EDR للسماح بأنشطة PowerShell الشائعة، مما يخلق تمويهًا مثاليًا للتهديدات مثل Crytox. يستغل مشغلو برامج الفدية هذه الثقة باستخدام البرامج النصية المتقدمة لإجراء الاستطلاع، تفريغ بيانات الاعتماد عبر أدوات مثل Mimikatz، وفي النهاية، نشر الحمولة المشفرة للملفات. يوضح هذا حاجة ماسة لاستراتيجيات أمنية تتجاوز القوائم البسيطة للسماح/الرفض لأدوات النظام وتركز بدلاً من ذلك على التحليلات السلوكية.
للدفاع ضد مثل هذه التهديدات المتقدمة، يجب على المؤسسات اعتماد وضع أمني متعدد الطبقات. توصي Halcyon بتعزيز أمن النقاط الطرفية بحلول مصممة خصيصًا للكشف عن منع الاستخدام الضار لـ LOLBins من خلال التحليل السلوكي والتعلم الآلي. يشمل ذلك مراقبة أنشطة PowerShell غير الطبيعية، مثل تنفيذ النصوص المشفرة بشدة، أو الاتصالات بوجهات الشبكة المشبوهة، أو محاولات تعطيل عمليات الأمان. علاوة على ذلك، فإن سياسات التحكم في التطبيقات القوية، ومراجعات إدارة وصول الامتيازات بانتظام، والتدريب الشامل للمستخدمين للتعرف على محاولات التصيد، هي إجراءات تكميلية أساسية. يؤكد استمرار تهديدات مثل Crytox أن مستقبل أمن النقاط الطرفية يكمن في فهم النية والسلوك، وليس فقط البحث عن الملفات الضارة المعروفة.
