قتلة EDR: كيف تعطّل مجموعات الفدية أنظمة الحماية قبل أن تبدأ هجومها

لم تعد مجموعات الفدية تكتفي بتشفير البيانات والمطالبة بفدية — بل أصبحت تُعطّل أنظمة الكشف والاستجابة للنقاط الطرفية (EDR) بشكل منهجي قبل تنفيذ أي حمولة خبيثة. في 2026، تحوّلت أدوات "قتل EDR" من تكتيك نادر إلى مكوّن قياسي في كل عملية فدية متقدمة، مما يضع المؤسسات المالية السعودية أمام تحدٍّ جديد لم تُصمَّم معظم بنيتها الدفاعية لمواجهته.

ما هي أدوات قتل EDR وتقنية BYOVD؟

أدوات قتل EDR هي برمجيات متخصصة تهدف إلى إيقاف أو تعطيل حلول الكشف والاستجابة للنقاط الطرفية التي تعتمدها المؤسسات كخط دفاع رئيسي. التقنية الأكثر شيوعاً هي BYOVD — اختصار لـ Bring Your Own Vulnerable Driver — حيث يُسقط المهاجم تعريفاً (Driver) شرعياً لكنه يحتوي ثغرة معروفة على الجهاز المستهدف، ثم يُثبّته ويستغل الثغرة للحصول على صلاحيات على مستوى النواة (Kernel). بمجرد الوصول إلى هذا المستوى، يستطيع المهاجم إنهاء أي عملية حماية تعمل على الجهاز دون أن تتمكن أدوات EDR من المقاومة.

كشف تحليل حديث أن 54 أداة لقتل EDR تستغل 35 تعريفاً موقّعاً رقمياً من شركات معروفة. هذه التعريفات ليست برمجيات خبيثة بذاتها — بل أدوات شرعية تحمل توقيعات رقمية صالحة من Microsoft أو من الشركات المصنّعة، لكنها تحتوي ثغرات تسمح بقراءة أو كتابة الذاكرة الفيزيائية مباشرة.

حملات Qilin وWarlock: تعطيل 300 أداة حماية

رصد باحثون من Cisco Talos وTrend Micro حملات نشطة من مجموعتي Qilin وWarlock تستخدم BYOVD بشكل متطور. في حملات Qilin، يبدأ الهجوم بملف DLL خبيث باسم msimg32.dll يُحمَّل عبر تقنية DLL Side-Loading، ثم يُطلق سلسلة عدوى متعددة المراحل. الحمولة تُفكّ تشفيرها بالكامل في الذاكرة دون كتابتها على القرص، مما يتجاوز معظم آليات الفحص التقليدية.

بعد التفعيل، تستخدم البرمجية تعريفين هما rwdrv.sys (من أداة ThrottleStop) وhlpdrv.sys للوصول إلى الذاكرة الفيزيائية وإنهاء العمليات المرتبطة بأكثر من 300 تعريف EDR من جميع مزوّدي الحماية تقريباً. كما تُعطّل آلية Event Tracing for Windows وتُبطل خطّافات وضع المستخدم (User-Mode Hooks) لمنع أي رصد.

أما مجموعة Warlock فتتبنّى نهجاً مشابهاً مع إضافات تشمل استخدام TightVNC للتحكم المستمر، وتعريف NSecKrnl.sys الموقّع من NSec في هجوم BYOVD لإنهاء منتجات الحماية على مستوى النواة. تستعين المجموعة أيضاً بأدوات مثل PsExec للتنقل الجانبي، وVisual Studio Code مع أنفاق Cloudflare لقنوات التحكم والسيطرة.

سوق سوداء متنامية: EDR Killer كخدمة

المقلق أكثر هو ظهور سوق تجاري لأدوات قتل EDR. أدوات مثل DemoKiller وAbyssKiller وCardSpaceKiller تُباع كخدمات جاهزة لفروع مجموعات الفدية الكبرى مثل Qilin وMedusa وAkira. هذا يعني أن قدرة تعطيل EDR لم تعد حكراً على المهاجمين المتقدمين — بل أصبحت متاحة لأي جهة تدفع الثمن. أحد المهاجمين الهواة في الجزائر استطاع بناء برنامج فدية ضرب 85 هدفاً في شهره الأول باستخدام هذه الأدوات الجاهزة.

كما ظهرت تقنيات جديدة لا تعتمد على التعريفات أصلاً: بعض الأدوات تتداخل مع اتصالات EDR أو تُعلّق العمليات دون الوصول إلى النواة، وتقنيات syscall المباشرة وغير المباشرة تتجاوز خطّافات واجهات برمجة التطبيقات في وضع المستخدم بالكامل. على أنظمة Linux، يستغل وكيل RingReaper واجهة io_uring في النواة لتنفيذ عمليات غير مرئية لأدوات EDR التقليدية.

التأثير المباشر على المؤسسات المالية السعودية

إطار SAMA CSCC يُلزم المؤسسات المالية بنشر حلول EDR كجزء من ضوابط الحماية الإلزامية في نطاق Cyber Defense. لكن هذا الإلزام يفترض أن أدوات EDR تعمل فعلاً — وهو افتراض لم يعد صحيحاً عندما يكون أول فعل للمهاجم هو تعطيلها. المؤسسة التي تعتمد على EDR كطبقة حماية وحيدة أو رئيسية تجد نفسها مكشوفة تماماً بمجرد نجاح هجوم BYOVD.

ضوابط NCA ECC تتطلب أيضاً مراقبة مستمرة للأحداث الأمنية وقدرات استجابة فعّالة. لكن عندما تُعطَّل البنية التحتية للمراقبة نفسها، تفقد فرق SOC الرؤية الكاملة ولا تكتشف الاختراق إلا بعد فوات الأوان — عادةً عند تشفير الملفات أو نشر البيانات المسروقة. كما أن قانون حماية البيانات الشخصية PDPL يفرض غرامات على تسرّب البيانات، والمؤسسة التي عُطّل نظام حمايتها دون أن تكتشف ذلك تواجه مسؤولية مضاعفة.

التوصيات والخطوات العملية

1. تطبيق قوائم حظر التعريفات الضعيفة: استخدم قائمة Microsoft Vulnerable Driver Blocklist وفعّلها عبر WDAC أو HVCI على جميع الأجهزة. راجع القائمة دورياً وأضف أي تعريفات جديدة تظهر في حملات BYOVD.
2. مراقبة تحميل التعريفات في وقت حقيقي: أنشئ قواعد كشف في SIEM تُنبّه عند تحميل أي تعريف غير مُعتمد على مستوى النواة، خاصة rwdrv.sys وhlpdrv.sys وNSecKrnl.sys.
3. الدفاع متعدد الطبقات: لا تعتمد على EDR وحده. اجمع بين NDR (كشف واستجابة الشبكة) وتقنيات الخداع السيبراني (Deception Technology) وتحليل السلوك لضمان رؤية شاملة حتى لو عُطّلت طبقة واحدة.
4. تفعيل Credential Guard وVBS: تقنيات الأمان القائمة على المحاكاة الافتراضية (VBS) وCredential Guard تُصعّب على المهاجمين استغلال التعريفات الضعيفة للوصول إلى الذاكرة الفيزيائية.
5. اختبار اختراق يحاكي BYOVD: أدرج سيناريوهات تعطيل EDR عبر BYOVD في تمارين Red Team الدورية لقياس قدرة فريقك على الكشف والاستجابة عندما تُعطَّل أدوات الحماية الرئيسية.
6. مراجعة صلاحيات التعريفات: طبّق مبدأ الحد الأدنى من الصلاحيات على تحميل التعريفات في بيئات الإنتاج، واستخدم سياسات Code Integrity لمنع تثبيت تعريفات غير مُوقّعة أو مُعتمدة.

الخلاصة

تحوّل أدوات قتل EDR من تقنية نادرة إلى معيار صناعي في عمليات الفدية يُعيد رسم معادلة الدفاع السيبراني. المؤسسات المالية السعودية التي استثمرت ملايين في حلول EDR تحتاج اليوم إلى إعادة تقييم استراتيجيتها الدفاعية والتأكد من أن تعطيل طبقة واحدة لا يعني انهيار المنظومة بأكملها. الدفاع العميق متعدد الطبقات ليس ترفاً — بل ضرورة تنظيمية وتشغيلية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واختبار فعالية طبقات الحماية لديك أمام تقنيات BYOVD.