كشف باحثون في مجال الأمن السيبراني عن طريقة جديدة للهجوم تعتمد على استغلال نسخ تجريبية مجانية من أدوات كشف التهديدات والاستجابة لها (EDR)، بهدف تعطيل برامج الحماية المثبّتة على الأجهزة المستهدفة، وهي طريقة أُطلق عليها توصيف “صدام أدوات الحماية مع بعضها”
وفي ورقة بحثية نُشرت على منصة Medium، أوضح الباحثان إزرا وودز ومايك مانرود أن الجهات المهاجمة تقوم بتثبيت برنامج أمني بديل باستخدام صلاحيات المسؤول المحلي، ومن ثم تُعدل إعداداته لحظر تشغيل برامج الحماية الأصلية، دون أن تُطلق أنظمة الكشف أي إنذارات أو تولد إشارات تنبيهية.
استخدام مشروع لأداة موثوقة لإيقاف الحماية
أظهر الباحثان في تجاربهما أن برنامج Cisco Secure Endpoint قادر على تعطيل كل من CrowdStrike Falcon وElastic Defend، دون أن يترك أي أثر يُنبّه فرق الأمن إلى وجود خلل. ويكمن أسلوب الهجوم في إزالة الاستثناءات الأمنية، ثم إدراج توقيع البرامج المنافسة ضمن قائمة التطبيقات المحظورة.
وقد نجح المهاجمون في تخطي خاصية حماية العبث (Tamper Protection)، التي تُفترض أن تمنع أي تعديل غير مصرح به على إعدادات الأمان.
وظائف موسعة للهجوم تتجاوز الإيقاف المؤقت
وتشير الدراسة إلى أن قدرات الهجوم لا تقتصر فقط على تعطيل برامج الحماية، بل تتعداها إلى التحكم الكامل في البرنامج المستغل. ففي إحدى الحالات التي شملت برنامج ESET، تمكن الباحثون من السيطرة على ميزة التشفير الكامل للقرص من خلال واجهة مُخترقة، كما لاحظوا أن بعض أدوات EDR تمتلك خصائص مشابهة لأدوات الإدارة عن بُعد (RMM)، مما يتيح للمهاجم تنفيذ أوامر وتحكم عن بُعد.
ورغم أن هذا الهجوم يتطلب صلاحيات إدارية محلية، إلا أنه يُعد أقل تعقيدا مقارنة بتقنيات تقليدية مثل استغلال تعريفات تشغيل ضعيفة (BYOVD) أو تعديل روابط المكتبات الديناميكية (DLL unhooking).
صعوبة في الكشف والتمييز
يمثل هذا النمط من الهجمات تحديا خاصا لفرق الأمن، نظرا لأن أدوات الحماية المستخدمة في الهجوم تكون موقعة رقميا ومُعترفا بها كبرامج شرعية. ولا يصدر عنها نشاط ضار واضح خلال عملية التعطيل، ما يجعل الأجهزة المستهدفة تبدو وكأنها خارج الخدمة لأسباب طبيعية.
وأوضح الباحثان أن انقطاع الاتصال من جهاز محمي لا يعني بالضرورة وجود عطل فني، بل قد يكون نتيجة مباشرة لهجوم من هذا النوع.
توصيات للدفاع والاختبار
نصح الباحثان المؤسسات باتخاذ خطوات استباقية لمواجهة هذا التهديد، من بينها:
- تفعيل حلول التحكم بالتطبيقات لمنع تثبيت برامج أمنية غير مصرح بها.
- تطوير مؤشرات مخصصة للهجوم (Indicators of Attack) لرصد حالات تثبيت أدوات الحماية المشبوهة.
- استخدام جدران حماية ذكية وبوابات إلكترونية لتقييد الوصول إلى مواقع تحميل البرامج الأمنية غير المصرح بها.
كما دعا التقرير فرق الأمن إلى إجراء اختبارات داخل بيئة معزولة، لرصد الفجوات في أنظمة الكشف الحالية، ومراقبة كيفية ظهور هذا الهجوم في بيانات التليمترية.
