Qilin وWarlock يُعطّلان أكثر من 300 أداة EDR باستخدام تقنية BYOVD — تحذير عاجل للمؤسسات المالية السعودية

كشفت أبحاث حديثة صادرة عن Cisco Talos وTrend Micro في أبريل 2026 أن مجموعتَي برامج الفدية Qilin وWarlock تتبنّيان تقنية متطورة تُعرف بـ BYOVD (Bring Your Own Vulnerable Driver)، تُمكّنهما من تعطيل أكثر من 300 أداة للكشف والاستجابة على النقاط الطرفية (EDR) قبل الشروع في تشفير البيانات. هذا التطور يُلغي فعلياً الاعتماد على EDR كخط دفاع وحيد، ويفرض على المؤسسات المالية السعودية الخاضعة لرقابة SAMA مراجعة عاجلة لاستراتيجياتها الدفاعية.

ما هي تقنية BYOVD وكيف تعمل؟

تقوم تقنية BYOVD على إدخال سائق نواة (Kernel Driver) شرعي لكنه يحمل ثغرات معروفة إلى داخل النظام المستهدف، ثم استغلال صلاحياته على مستوى النواة لإنهاء عمليات أدوات الأمن قبل أن تتمكن من رصد النشاط الخبيث. لا يحتاج المهاجم إلى ثغرة جديدة في نواة النظام — يكفيه سائق موقّع رقمياً يحمل ثغرة قديمة لم تُعالَج. وقد رصدت Microsoft هذا النهج ضمن قائمة التهديدات ذات الأولوية منذ 2023، غير أن التطبيق الواسع النطاق عبر مجموعات RaaS المحترفة يمثّل قفزة نوعية في عام 2026.

التفاصيل التقنية: Qilin وWarlock بالأرقام

في حالة Qilin، يبدأ الهجوم بنشر مكتبة DLL خبيثة باسم msimg32.dll عبر تقنية DLL Side-Loading، تُشغّل بدورها سلسلة إصابة متعددة المراحل. تعتمد المجموعة على سائقَي نواة هما rwdrv.sys وhlpdrv.sys للوصول إلى الذاكرة الفيزيائية وإنهاء أكثر من 300 عملية مرتبطة بأدوات EDR من كبرى الشركات الأمنية. الأخطر من ذلك أن Qilin لا تُسرع في تنفيذ الضربة — بل تقضي في المتوسط ستة أيام في التحرك الجانبي (Lateral Movement) وتحديد البيانات الحساسة قبل تفعيل التشفير. أما Warlock، فيدخل عبر خوادم Microsoft SharePoint غير المُرقَّعة، ويستخدم السائق NSecKrnl.sys بدلاً من الإصدار القديم googleApiUtil64.sys لتعطيل أدوات الأمن على مستوى النواة، ويعتمد على أدوات إدارة مشروعة مثل TightVNC وPsExec وVelociraptor وRclone لاستخراج البيانات قبل التشفير.

التأثير المباشر على المؤسسات المالية السعودية

تُعدّ قطاعات الخدمات المالية من أكثر القطاعات استهدافاً من قِبَل Qilin، إذ صنّفتها الأبحاث ضمن أعلى خمسة قطاعات مستهدفة عالمياً بـ 78 ضحية موثّقة. بالنسبة للبنوك والمؤسسات المالية السعودية الخاضعة لمتطلبات SAMA CSCC وNCA ECC، يطرح هذا التهديد إشكالية جوهرية: القدرة 3.4 (الكشف والاستجابة) في SAMA CSCC تفترض أن EDR يعمل بكفاءة — لكن BYOVD يُسقط هذه الافتراضية. كذلك تُلزم المادة 3.3 من NCA ECC بوجود ضوابط تعويضية (Compensating Controls) عند تعطّل أي طبقة دفاعية، وهو ما يعني أن الاعتماد الأحادي على EDR قد يُشكّل ثغرة في الامتثال التنظيمي ذاته. أما من منظور PDPL، فإن أي تشفير أو تسريب لبيانات العملاء يستوجب إخطار SDAIA خلال 72 ساعة — وهو إطار زمني قد يكون مستحيل التطبيق إذا اكتُشف الاختراق متأخراً بسبب تعطّل أدوات المراقبة.

التوصيات والخطوات العملية

1. تفعيل HVCI (Hypervisor-Protected Code Integrity): تُمكّن هذه الميزة في Windows 11 وWindows Server 2022 من منع تحميل سائقات النواة غير الموقّعة أو المدرجة في قوائم الثغرات — وهي الوسيلة الأكثر فاعلية لمنع BYOVD بشكل مباشر.
2. تطبيق قائمة حظر سائقات Microsoft (WDAC Driver Blocklist): تُحدَّث هذه القائمة دورياً لتشمل سائقات BYOVD المعروفة بما فيها rwdrv.sys وNSecKrnl.sys. تأكّد من تطبيق أحدث إصدار عبر Windows Defender Application Control.
3. ترقيع SharePoint بشكل عاجل: بما أن Warlock يدخل عبر SharePoint غير المُرقَّع، فإن تطبيق التحديثات الأمنية لـ SharePoint Server — بما فيها إصلاحات Patch Tuesday لأبريل 2026 — أولوية قصوى لا تحتمل التأجيل.
4. نشر استراتيجية دفاع متعمق (Defense in Depth): لا يكفي EDR وحده. أضف طبقات مثل Network Detection and Response (NDR)، وتحليل سلوك المستخدم (UEBA)، وعزل الأجهزة المصابة تلقائياً عند رصد سلوك مشبوه على مستوى الشبكة.
5. مراقبة تحميل السائقات عبر SIEM: أعدّ قواعد كشف في SIEM لرصد أي محاولة تحميل سائق نواة خارج نافذة التغيير المعتمدة (Change Window)، وقيّد صلاحيات تحميل السائقات على بيئات الإنتاج.
6. اختبار سيناريو BYOVD في تمرين Red Team القادم: وفق SAMA CSCC الفقرة 3.7، تُلزَم المؤسسات بإجراء اختبارات اختراق دورية — تأكّد من أن نطاق الاختبار يشمل محاكاة هجمات BYOVD وقياس فاعلية ضوابط الكشف الحالية.

الخلاصة

تمثّل هجمات BYOVD عبر Qilin وWarlock تحولاً جذرياً في تكتيكات برامج الفدية: لم يعد التهديد يصطدم بجدار الحماية الطرفية — بل يُزيله من الداخل. المؤسسات المالية السعودية التي تعتمد على EDR كضمانة وحيدة تجد نفسها أمام ثغرة استراتيجية تتجاوز الأدوات التقنية لتمسّ نموذج الحوكمة الأمنية برمّته. الاستجابة الصحيحة ليست استبدال EDR، بل إعادة هيكلة منظومة الدفاع على افتراض أن أي أداة قد تتعطّل — وبناء قدرات كشف واستجابة لا تعتمد على طبقة واحدة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحديد مدى تعرّضك لهجمات BYOVD وغيرها من التهديدات المتقدمة.