Qilin وWarlock تُعطّلان 300+ أداة EDR بتقنية BYOVD — تهديد حرج لمراكز العمليات الأمنية في البنوك السعودية

باحثو Cisco Talos وTrend Micro يكشفون كيف باتت مجموعتا برامج الفدية Qilin وWarlock تستخدمان تقنية BYOVD (Bring Your Own Vulnerable Driver) لتعطيل أكثر من 300 أداة EDR من كل الشركات الأمنية الكبرى — قبل إطلاق برنامج الفدية بدقائق. بالنسبة لمراكز العمليات الأمنية (SOC) في البنوك السعودية التي تعتمد على EDR كخط دفاع أول، هذه ليست مجرد ثغرة تقنية؛ إنها تحييد منهجي لطبقة الحماية بأكملها.

كيف تعمل تقنية BYOVD؟ آلية الهجوم خطوة بخطوة

تقنية BYOVD ليست جديدة، لكن استخدامها من قِبل مجموعتَي Qilin وWarlock وصل إلى مستوى غير مسبوق من التطور. الفكرة الجوهرية: المهاجم يحمل معه برنامج تشغيل (driver) موقَّعًا رقميًا لكنه يحتوي على ثغرة، يثبّته على النظام المستهدف، ثم يستغله للتنفيذ بصلاحيات نواة Windows (kernel level) — وهو المستوى الأعلى في النظام الذي يسبق حتى صلاحيات المسؤول.

في حالة Qilin، يبدأ الهجوم بزرع ملف DLL خبيث باسم msimg32.dll بجانب برنامج شرعي هو FoxitPDFReader.exe، مستغلًا آلية Windows DLL search order hijacking. عند تشغيل التطبيق، يُحمَّل الـ DLL الخبيث تلقائيًا في الذاكرة عبر أربع مراحل دون كتابة أي ملف على القرص — مما يجعله شبه غير قابل للكشف بأدوات التحقيق الجنائي التقليدية. بعدها يُثبَّت برنامجا تشغيل غير موقَّعَين: الأول rwdrv.sys (نسخة معدَّلة من ThrottleStop.sys الشرعي من TechPowerUp) الذي يمنح وصولًا مباشرًا للذاكرة الفيزيائية وبنى نواة Windows، والثاني hlpdrv.sys الذي يستخدم ذلك الوصول لإنهاء عمليات EDR المحمية. النتيجة: تعطيل أكثر من 300 برنامج تشغيل لأدوات EDR من جميع الشركات الأمنية الكبرى.

Warlock: نفس التقنية + استغلال SharePoint كنقطة دخول

مجموعة Warlock (المعروفة أيضًا بـ Water Manaul) تسلك مسارًا مختلفًا لكن بنفس الخطورة. تبدأ من خوادم Microsoft SharePoint غير المُحدَّثة — وهي بنية تحتية شائعة في المؤسسات المالية السعودية — كنقطة دخول أولية. بمجرد الحصول على موطئ قدم، تستخدم برنامج تشغيل NSecKrnl.sys لشركة NSec في هجوم BYOVD يُعطّل منتجات الأمان على مستوى النواة.

الخطر المضاعف هنا هو استغلال CVE-2026-32201 في SharePoint — الثغرة التي أضافتها CISA إلى قائمة Known Exploited Vulnerabilities في أبريل 2026 — كبوابة للهجوم الأشمل. أي مؤسسة لم تُطبّق التصحيح العاجل لـ SharePoint تجد نفسها أمام سلسلة هجوم متكاملة: اختراق SharePoint ← تثبيت driver ضعيف ← تعطيل EDR ← نشر برنامج الفدية.

التأثير على المؤسسات المالية السعودية وفق SAMA CSCC

معيار SAMA CSCC في محوره الثالث (Cyber Security Operations) يُلزم المؤسسات بامتلاك قدرات كشف واستجابة فعّالة على مستوى نقاط النهاية. تقنية BYOVD تضرب هذا المتطلب في صميمه: لا قيمة لـ EDR مُعطَّل. ووفق المتطلب 3.3.8 من CSCC، يجب على المؤسسات ضمان مراقبة مستمرة وغير قابلة للتعطيل لكل الأنظمة الحيوية.

علاوة على ذلك، تعمل مجموعتا Qilin وWarlock بنموذج Ransomware-as-a-Service (RaaS)، ما يعني أن مستوى التطور التقني لا يقتصر على المهاجمين الأصليين بل يُتاح لأي جهة تستأجر الخدمة. القطاع المالي السعودي — بما يحمله من بيانات عملاء ومعاملات حيوية تخضع لـ PDPL وPCI-DSS — يُمثّل هدفًا بالغ الجاذبية لهذه المجموعات.

التوصيات والخطوات العملية لفرق الأمن

1. تطبيق Driver Blocklist من Microsoft فورًا: تأكد من تفعيل Windows Defender Application Control (WDAC) مع قائمة حظر برامج التشغيل الضعيفة المُحدَّثة. Microsoft تُحدّث هذه القائمة بانتظام. تحقق من حضور rwdrv.sys وNSecKrnl.sys في قوائم الحظر لديك.
2. رصد DLL Side-Loading بشكل استباقي: فعّل قواعد Sysmon لرصد تحميل DLLs غير موقَّعة من مسارات تطبيقات شرعية. تحديدًا: ابحث عن msimg32.dll يُحمَّل من مجلد FoxitPDFReader أو أي تطبيق شرعي آخر.
3. تصحيح SharePoint فورًا: CVE-2026-32201 هو ناقل دخول Warlock الرئيسي. إذا لم تُطبّق التصحيح بعد، ضعه في أعلى قائمة أولويات التصحيح هذا الأسبوع.
4. اعتماد Tamper Protection على مستوى EDR: تأكد من تفعيل Tamper Protection في حل EDR الخاص بك (CrowdStrike وSentinelOne وMicrosoft Defender يوفرون هذا) بحيث لا يمكن لأي عملية — حتى ذات صلاحيات نواة — إيقافه دون مصادقة مزدوجة.
5. تطبيق Kernel Driver Attestation: استخدام Hypervisor-Protected Code Integrity (HVCI) يمنع تحميل برامج التشغيل غير الموقَّعة أو المُدرجة في قوائم الحظر. هذه ميزة متاحة في Windows 11 وWindows Server 2022 ويجب تفعيلها في بيئات المؤسسات المالية.
6. تمرين Red Team يحاكي BYOVD: اطلب من فريق اختبار الاختراق لديك تنفيذ سيناريو BYOVD على بيئة اختبارية للتحقق من فعالية ضوابط الكشف والاستجابة قبل أن يفعل ذلك المهاجم الحقيقي.
7. مراجعة قائمة برامج التشغيل الموقَّعة: نفّذ عملية جرد شاملة لكل برامج التشغيل المثبَّتة على الأنظمة الحيوية، وابحث عن أي driver يحمل توقيعًا رقميًا شرعيًا لكن من شركات غير معروفة (مثل TechPowerUp أو NSec) في بيئة مؤسسية.

الخلاصة

تقنية BYOVD ليست مستجدة، لكن استخدامها من قِبل مجموعتَي Qilin وWarlock بهذا المستوى من التطور — مع القدرة على تعطيل 300+ منتج EDR من جميع الشركات الكبرى — يُمثّل نقلة نوعية في تعقيد تهديدات برامج الفدية. المؤسسات المالية السعودية التي تعتمد على EDR كضامن وحيد لاكتشاف برامج الفدية تحتاج اليوم إلى إعادة تقييم عميق لاستراتيجية الدفاع متعدد الطبقات.

الاستجابة الصحيحة لا تعني استبدال EDR، بل تعزيزه بطبقات تكميلية: WDAC، وHVCI، ومراقبة سلوكية على مستوى النواة، وإجراءات Tamper Protection صارمة — كلها معًا تُشكّل منظومة دفاعية لا يمكن لتقنية BYOVD اختراقها بسهولة.

هل مؤسستك في مأمن من هجمات BYOVD؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحليل جاهزية دفاعاتك ضد أحدث تقنيات برامج الفدية.