Qilin وWarlock: تقنية BYOVD تُعطّل 300+ أداة EDR وتفتح أبواب البنوك أمام الفدية

رصد باحثو Cisco Talos وTrend Micro خلال الأيام الماضية تطوراً خطيراً في أسلوب عمل مجموعتَي الفدية Qilin وWarlock: كلتاهما باتتا توظّفان تقنية "Bring Your Own Vulnerable Driver" أو BYOVD لتعطيل أكثر من 300 أداة EDR دفعةً واحدة قبل بدء عملية التشفير. هذا التطور لا يُمثّل ترقيةً تقنيةً عادية — بل يعني أن أي مؤسسة تعتمد على طبقة EDR وحدها كخط دفاع رئيسي باتت مكشوفةً بالكامل.

ما هي تقنية BYOVD ولماذا تُقلق خبراء الأمن؟

تقوم تقنية BYOVD على فكرة بسيطة لكن فعّالة: يقوم المهاجم بتثبيت مُشغّل (Driver) شرعي لكنه يحمل ثغرةً معروفة على النظام المخترق. وبما أن هذا المُشغّل موقّع رقمياً من شركة موثوقة، يقبله نظام Windows دون تدقيق، ثم يُستغَل للوصول إلى مستوى النواة (Kernel Level) حيث تُلغى عمليات المراقبة وتُنهى عمليات EDR بلا أثر يُذكر. وتكمن الخطورة تحديداً في أن هذه العملية تحدث قبل بدء التشفير، ما يعني أن أدوات الكشف والاستجابة تكون قد أُسكتت قبل أن يبدأ الهجوم الحقيقي.

التفاصيل التقنية: كيف تعمل كل مجموعة؟

تعتمد مجموعة Qilin على ملف DLL خبيث باسم msimg32.dll يُحقَن عبر أسلوب DLL Side-Loading في عملية شرعية. يبدأ الملف بتحميل مرحلة أولى مشفّرة (PE Loader) مهمّتها تجهيز بيئة التنفيذ، ثم تُفرز المرحلة الثانية التي تُعدّ "قاتل EDR" الفعلي القادر على إنهاء أكثر من 300 عملية تخص منظومات الأمن من كل الشركات الكبرى. أما مجموعة Warlock فتستخدم مُشغّل NSec الضعيف NSecKrnl.sys كسلاح BYOVD؛ حيث يُحمَّل على مستوى النواة لإيقاف خدمات EDR بصمت تام. وفي حملاتها الأخيرة، رُصدت Warlock تستخدم أيضاً PsExec للحركة الجانبية، وTightVNC للتحكم المستمر، وCloudflare Tunnel لإخفاء قنوات الاتصال مع خوادم القيادة والسيطرة C2.

التأثير على المؤسسات المالية السعودية الخاضعة لرقابة SAMA

تُصنّف المؤسسات المالية باستمرار ضمن أكثر القطاعات استهدافاً من قِبَل مجموعات الفدية، وتقنية BYOVD ترفع منسوب الخطر إلى مستوى جديد. فبموجب إطار SAMA CSCC، يُلزَم كل كيان مالي بضمان استمرارية عمليات الكشف والاستجابة حتى أثناء الحوادث، وهو ما تُبطله هذه التقنية تحديداً. كذلك يفرض NCA ECC وجود آليات دفاع متعددة الطبقات (Defense in Depth)، ولو اعتمدت المؤسسة على EDR كطبقتها الوحيدة أو الرئيسية، فإن إسكاته يعني انهيار المنظومة الأمنية بالكامل. إضافةً إلى ذلك، تُوجب متطلبات PDPL والتزامات الإفصاح عن الحوادث الإبلاغَ عن أي تشفير يمسّ بيانات العملاء خلال 72 ساعة من الاكتشاف — وهو سيناريو مؤلم حين يتضح أن أدوات الرصد كانت معطّلةً طوال فترة الاختراق.

التوصيات والخطوات العملية لفرق الأمن

1. تفعيل قواعد WDAC وDriver Blocklist الخاصة بـ Microsoft: احرص على تطبيق Microsoft Vulnerable Driver Blocklist التي تحظر تلقائياً المُشغّلات ذات الثغرات الموثّقة بما فيها NSecKrnl.sys وما شابهه.
2. الانتقال إلى نموذج XDR مع مراقبة النواة: لا يكفي EDR التقليدي وحده؛ انتقل إلى منصات XDR تدمج رصد سلوك المُشغّلات (Driver Behavior Monitoring) مع مراقبة الشبكة والتطبيقات.
3. اعتماد LOLBAS Detection لمواجهة DLL Side-Loading: ضع قواعد كشف خاصة بملفات مثل msimg32.dll عند تحميلها من مسارات غير اعتيادية — فهذا مؤشر مبكر حاسم على هجمات Qilin.
4. تطبيق مبدأ Least Privilege على تثبيت المُشغّلات: قيّد الصلاحيات التي تسمح بتثبيت Drivers جديدة وراجع سياسات AppLocker وWindows Defender Application Control بصفة دورية.
5. مراجعة قنوات C2 الخفية: ابحث عن نفق Cloudflare Tunnel وVSCode Tunnel في سجلات الشبكة — فهذه الأدوات تبدو شرعية لكن Warlock تستخدمها كقناة C2 مخفية.
6. إجراء تمارين Purple Team: اختبر قدرة فريقك على اكتشاف هجوم BYOVD محاكى قبل أن تكتشفه في بيئة إنتاجية فعلية.

الخلاصة

تُثبت تقنية BYOVD مرةً أخرى أن الاستثمار في أداة أمنية واحدة — مهما كانت متطورة — لا يكفي. مجموعتا Qilin وWarlock طوّرتا قدرتهما على تعطيل البنية الدفاعية ذاتها قبل شنّ الهجوم، وهذا يستوجب من فرق الأمن في المؤسسات المالية السعودية مراجعة عاجلة لنموذج الدفاع المعتمد والتأكد من أن طبقات الحماية تعمل باستقلالية حتى حين تسقط إحداها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.