DEEP#DOOR: باب خلفي بايثون يسرق بيانات اعتماد بنوك SAMA

كشف باحثو Securonix في 30 أبريل 2026 عن إطار باب خلفي مكتوب بالكامل بلغة Python يحمل اسم DEEP#DOOR، يجمع بين قدرات تهرّب متقدمة من اكتشاف منتجات EDR وحملة شاملة لسرقة بيانات الاعتماد من المتصفحات والسحابة ومفاتيح SSH. ما يميّز هذا التهديد ليس حداثته فحسب، بل اعتماده على خدمة الأنفاق المفتوحة bore.pub للتواصل مع خوادم الأوامر، وهو ما يجعل اكتشافه عبر الجدران النارية التقليدية في بنوك SAMA شبه مستحيل.

تشريح DEEP#DOOR: كيف يعمل الباب الخلفي البايثوني

يبدأ الهجوم بسكربت دفعي مشوّش (obfuscated batch) يحتوي على كود Python مدمج داخله، مما يقلل المؤشرات الشبكية ويسمح بإعادة بناء الحمولة في الذاكرة وعلى القرص أثناء التنفيذ. بعد التنفيذ، يُثبّت المهاجم البقاء (persistence) عبر ثلاث آليات متوازية: مدخلات في مجلد بدء التشغيل، مفاتيح registry run، ومهام مجدولة في Task Scheduler. هذا التكرار يجعل الإزالة بمسح واحد غير كافية ويتطلب استجابة حوادث منهجية.

الجانب الأخطر من زاوية مدير SOC في بنك سعودي هو قناة C2: يستخدم DEEP#DOOR خدمة bore.pub – وهي بنية tunneling مفتوحة المصدر مكتوبة بلغة Rust – لتمرير حركة الأوامر عبر اتصالات صادرة تبدو شرعية. هذا يُفشل قواعد حظر النطاقات السوداء التقليدية ويُحوّل اكتشاف القناة إلى مشكلة سلوكية لا توقيعية.

محرك سرقة بيانات الاعتماد: الخطر الأكبر على بيئة البنوك

القدرة الأكثر تدميراً في DEEP#DOOR هي محرك حصاد بيانات الاعتماد الواسع، الذي يستهدف بشكل ممنهج: كلمات السر المخزّنة في متصفحات Chrome وEdge وFirefox، رموز مصادقة السحابة (AWS، Azure، GCP)، ملفات .env الحساسة في مستودعات المطورين، مفاتيح SSH الخاصة في %USERPROFILE%/.ssh، وبيانات اعتماد Wi-Fi المخزّنة في netsh wlan. لمؤسسة مالية تُشغّل بيئة DevOps هجينة، هذا يعني أن جهاز مطوّر واحد مخترق قد يُسلّم مفاتيح الإنتاج بأكملها للمهاجم.

أبعد من المراقبة، يحتوي البرنامج على وظائف تخريبية تشمل تعطّل النظام والكتابة فوق سجل الإقلاع (MBR overwrite) – وهو ما يُحوّل الحادثة من اختراق إلى عملية wiper كاملة بضغطة زر واحدة من المهاجم.

تقنيات التهرّب: لماذا تفشل أدوات EDR التقليدية

يدمج DEEP#DOOR مكدساً كاملاً من تقنيات مكافحة التحليل: كشف الـ sandbox والـ debugger والآلات الافتراضية، تعطيل AMSI وETW عبر الـ patching، فك ربط NTDLL (NTDLL unhooking)، التلاعب بـ Microsoft Defender، تجاوز SmartScreen، تعطيل تسجيل PowerShell، مسح سطر الأوامر، وختم الطوابع الزمنية (timestamp stomping). هذا يعني أن أي بنك سعودي يعتمد فقط على تواقيع Defender أو سياسات PowerShell الافتراضية يقدّم لـ DEEP#DOOR طريقاً مفتوحاً.

التأثير على المؤسسات المالية السعودية الخاضعة لرقابة SAMA

يضع إطار SAMA CSCC في الضابط 3.3.5 (Cybersecurity Event Logs Management) ضرورة جمع وحماية سجلات أحداث الأمن السيبراني – وهو بالضبط ما يستهدفه DEEP#DOOR بمسح سطر الأوامر وتعطيل تسجيل PowerShell. كما أن الضابط 3.3.14 (Cybersecurity Incident Management) يُلزم البنوك بقدرة كشف فعّالة، وهي قدرة تُعطّلها تقنيات unhooking وAMSI patching المُستخدمة هنا.

على صعيد NCA ECC 2:2024، يقع التهديد ضمن الضابط 2-10-3 (Threat Detection and Response) والضابط 2-7-1 (Privileged Access Management) – لأن سرقة مفاتيح SSH ورموز السحابة تُمثّل تجاوزاً مباشراً لضوابط الوصول المتميز. وفي سياق PDPL، فإن أي اختراق يكشف بيانات اعتماد تُتيح الوصول إلى بيانات شخصية للعملاء يُولّد التزاماً بالإبلاغ خلال 72 ساعة.

التوصيات والخطوات العملية لفرق SOC السعودية

1. حظر خدمات الأنفاق المفتوحة: أضف *.bore.pub، *.ngrok.io، *.localtunnel.me، و*.serveo.net إلى قواعد منع DNS وSWG على مستوى البوابة. لا توجد مبررات تشغيلية لاستخدام هذه الخدمات داخل بيئة بنكية إنتاجية.
2. كشف سلوكي لا توقيعي: فعّل قواعد Sigma لاكتشاف python.exe الذي يُنفّذ من مسارات غير قياسية مثل %TEMP% أو %APPDATA%، وارتباط ذلك بإنشاء مهام مجدولة أو تعديل registry run keys.
3. حماية أسرار المطورين: طبّق فحوصات GitGuardian أو TruffleHog على endpoints المطورين، واعتمد git-secrets كـ pre-commit hook إجباري. اربط مفاتيح SSH الإنتاجية بـ HSM أو YubiKey، ولا تسمح بمفاتيح خاصة على القرص بصيغة plaintext.
4. تحصين PowerShell وLogging: فعّل Script Block Logging (EventID 4104) وModule Logging مركزياً عبر GPO، وأرسل السجلات إلى SIEM خارج الخادم لمنع المسح المحلي. حظر تنفيذ PowerShell من سياقات userland غير الموقّعة.
5. تدوير رموز السحابة دورياً: طبّق سياسة تدوير AWS access keys وAzure service principals كل 90 يوماً، واستخدم IAM Identity Center أو OIDC federation بدلاً من المفاتيح طويلة العمر داخل بيئات CI/CD.
6. EDR قادر على كشف unhooking: راجع قدرة منصة EDR الحالية على كشف NTDLL unhooking وAMSI patching – هذه ميزات أساسية وليست متقدمة في 2026، وأي EDR لا يدعمها لا يصلح لبيئة بنكية.
7. تمارين Tabletop: أجرِ تمرين استجابة حوادث يحاكي سيناريو DEEP#DOOR على جهاز مطوّر وصل المهاجم منه إلى مفاتيح إنتاج AWS، واختبر زمن الاكتشاف والاحتواء.

الخلاصة

يُمثّل DEEP#DOOR تحوّلاً واضحاً في تكتيكات الجريمة السيبرانية: من برمجيات خبيثة معتمدة على ثنائيات مُجمَّعة (compiled binaries) إلى أُطر سكريبت Python مرنة تتجنب التواقيع وتستغل خدمات شرعية. بالنسبة لبنوك SAMA ومؤسسات القطاع المالي السعودي، الرسالة واضحة: الدفاع التوقيعي وحده لم يعد كافياً، والكشف السلوكي مع حوكمة الأسرار والتحكم بقنوات الخروج هي خط الدفاع الفعّال الوحيد.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وNCA ECC، يشمل مراجعة قواعد كشف الأنفاق المفتوحة وحوكمة أسرار المطورين.