تکنولوژی

چگونه بدافزارهای نوظهور از دید امنیتی پنهان می‌مانند؟ بررسی حملات جدید و لزوم آموزش شکار تهدیدات (Threat Hunting)

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

با توجه به حملات پیچیده و نوظهوری که این روزها در دنیای امنیت سایبری رخ می‌دهند، دیگر نمی‌توان تنها به دیوارهای دفاعی سنتی مانند آنتی‌ویروس‌ها یا فایروال‌ها اعتماد کرد. مهاجمان روزبه‌روز هوشمندتر می‌شوند، روش‌های خود را پنهان‌تر می‌سازند و با بهره‌گیری از تکنیک‌های پیچیده، حتی از چشمان باتجربه‌ترین تحلیل‌گران نیز فرار می‌کنند.

اخیراً گزارشی از وب سایت Fortinet منتشر شد که نمونه‌ای عینی از این پیچیدگی‌ها را به نمایش گذاشت: استفاده از تروجان‌های دسترسی از راه دور (RAT) با ساختار خراب‌شده فایل PE برای دور زدن سیستم‌های امنیتی.

📌  بخش اول: ظهور نسل جدید RATها با توانایی پنهان‌سازی بالا

در ماه می ۲۰۲۵، محققان Fortinet حمله‌ای را شناسایی کردند که در آن بدافزار، با تخریب عمدی هدرهای DOS  و PE، باعث می‌شد فایل اجرایی دیگر توسط ابزارهای تحلیل استاتیک قابل شناسایی نباشد. این تکنیک بسیار زیرکانه از آن جهت موثر است که حتی Sandboxing و آنتی‌ویروس‌های پیشرفته نیز نتوانستند محتوای واقعی فایل را به‌درستی تحلیل کنند.

ویژگی‌های فنی این Remote Access Trojan :

✔️ دستکاری ساختار PE Header : مهاجم به‌طور عمدی بخش‌های کلیدی ساختار Portable Executable (PE)  مانند DOS Header و PE Signature را تخریب کرده است. این اقدام باعث می‌شود فایل اجرایی از دید بسیاری از ابزارهای تحلیل استاتیک (Static Analysis Tools) و موتورهای Signature-based خارج شود، چرا که آن‌ها به فرمت ساختاریافته PE برای تحلیل نیاز دارند.

✔️ استفاده از رمزنگاری سبک و مبهم‌سازی (Obfuscation) :  بدافزار از الگوریتم‌های رمزنگاری ساده و سبک (نظیر XOR یا Substitution Ciphers) برای کدگذاری داده‌ها و رشته‌های حساس در باینری استفاده می‌کند. این روش با هدف جلوگیری از شناسایی توسط آنتی‌ویروس‌ها و موتورهای تطبیق الگو (Signature Matching Engines) طراحی شده است.

✔️ اجرای کامل در Memory با حداقل Persistence قابل شناسایی:  نمونه تحلیل‌شده فاقد رفتارهای مرسوم ماندگاری (Persistence) در فایل سیستم یا رجیستری ویندوز بود و بیشتر از تکنیک‌هایی مانند Reflective DLL Injection یا Process Hollowing برای تزریق در حافظه استفاده می‌کرد. این روش‌ها موجب می‌شوند که بدافزار بدون بر جای گذاشتن آثار مشهود روی دیسک یا کلیدهای رجیستری، فعالیت خود را انجام دهد و از دید ابزارهای Forensic و EDR مخفی بماند.

🎯 بخش دوم: کمپین‌های واقعی با هدف کاربران سازمانی

این حملات فقط در آزمایشگاه‌ها مشاهده نشده‌اند، بلکه در کمپین‌های واقعی در سطح جهانی استفاده شده‌اند.

تهدیدات نوظهور: بازگشت RATها و کمپین‌های پیشرفته

🎯  1 . بازگشت Bandook با روش‌های مدرن توزیع

Bandook، یکی از Remote Access Trojanهای شناخته‌شده که پیش‌تر در چندین عملیات جاسوسی مطرح بوده، بار دیگر با سازوکاری جدید و مدرن به صحنه تهدیدات بازگشته است. این‌بار مهاجمان با بهره‌گیری از تکنیک‌های مهندسی اجتماعی و زنجیره‌ای از فایل‌های چندمرحله‌ای، موفق شده‌اند آن را به‌طور گسترده‌تری توزیع کنند.

زنجیره آلودگی شامل مراحل زیر است:

✔️ ارسال یک فایل PDF حاوی لینک به یک آرشیو ZIP رمزدار، که با هدف دور زدن فیلترینگ محتوا و راهکارهای امنیتی طراحی شده است.

✔️ فایل ZIP حاوی یک فایل اجرایی (EXE) است که با ظاهر فریبنده و نام‌هایی مشابه ابزارهای مفید، کاربر را ترغیب به اجرا می‌کند.

✔️ پس از اجرای فایل، بدافزار Bandook به صورت غیرقابل شناسایی در سیستم نصب شده و ارتباط رمزنگاری‌شده‌ای با سرور فرمان و کنترل (C2) برقرار می‌کند.

🎯  2 . نسخه 4.0 بدافزار Winos و سوءاستفاده از نصب‌کننده‌های جعلی

در کمپینی دیگر که به‌طور گسترده در فضای مجازی منتشر شده، مهاجمان از نسخه جدید بدافزار Winos 4.0 استفاده کرده‌اند. تکنیک اصلی آن‌ها، تولید نصب‌کننده‌های جعلی (Fake Installers) است که ظاهر آن‌ها کاملاً مشابه نرم‌افزارهای شناخته‌شده‌ای مانند QQ Browser  یا LetsVPN  است.

ویژگی‌های تکنیکی این کمپین شامل موارد زیر است:

✔️ استفاده از اسکریپت‌های NSIS برای تولید فایل‌های Setup ظاهراً قانونی و امضاشده.

✔️ بهره‌گیری از تکنیک Reflective DLL Injection  برای بارگذاری پنهان فایل DLL مخرب مستقیماً در حافظه فرآیند هدف، بدون نیاز به ذخیره‌سازی روی دیسک.

✔️ دور زدن ابزارهای امنیتی با کاهش قابل توجه ردپا (Footprint) در فایل سیستم.

این تکنیک‌ها به مهاجمان امکان اجرای کد مخرب در سیستم قربانی را بدون ایجاد هشدارهای آشکار یا ثبت وقایع قابل شناسایی می‌دهند.

🚨 بخش سوم: چرا ابزارهای امنیتی سنتی دیگر پاسخ‌گو نیستند؟

با وجود پیشرفت‌های قابل توجه در توسعه ابزارهای امنیتی، بسیاری از سازمان‌ها همچنان متکی به راهکارهای مبتنی بر Signature هستند—مانند آنتی‌ویروس‌ها یا IDS/IPS کلاسیک. این ابزارها برای مقابله با تهدیدات مدرن، به‌ویژه بدافزارهایی با قابلیت‌های پنهان‌سازی پیشرفته، کافی نیستند. دلایل این ناکارآمدی را می‌توان در چند محور کلیدی خلاصه کرد:

چرا بسیاری از بدافزارهای امروزی شناسایی نمی‌شوند؟

✔️ ضعف در تحلیل ساختارهای غیرمعمول یا خراب‌شده (Malformed Structures) : بسیاری از محصولات امنیتی برای شناسایی تهدیدات به ساختار استاندارد فایل‌ها، مانند PE Header، متکی هستند. در مواردی که این ساختارها به‌طور عمدی دستکاری شده‌اند، ابزارهای Signature-based قادر به تفسیر صحیح فایل و تشخیص تهدید نخواهند بود.

✔️ اجرای درون‌حافظه‌ای (In-Memory Execution) : بسیاری از RATها و بدافزارهای پیشرفته از تکنیک‌هایی مانند Reflective DLL Injection، Process Hollowing یا Shellcode Injection  استفاده می‌کنند. این روش‌ها موجب می‌شوند بدافزار بدون ایجاد فایل روی دیسک و بدون ثبت در رجیستری، مستقیماً در حافظه اجرا شود—جایی که بسیاری از ابزارهای سنتی دسترسی یا دید کافی ندارند.

✔️ استفاده از تکنیک‌های ضدتحلیل (Anti-VM، Anti-Sandbox) : بدافزارها برای جلوگیری از تحلیل در محیط‌های آزمایشی یا  Sandboxed، محیط اجرا را شناسایی کرده و رفتار مخرب خود را پنهان می‌سازند. آن‌ها می‌توانند بررسی کنند که آیا در محیط مجازی یا تحت نظارت قرار دارند و در صورت شناسایی، از اجرای کد مخرب خودداری ‌کنند.

تهدیدهای ناشی از این نوع حملات برای سازمان‌ها چیست؟

عدم شناسایی این بدافزارها می‌تواند عواقب سنگینی برای سازمان‌ها به همراه داشته باشد. از جمله مهم‌ترین تهدیدات می‌توان به موارد زیر اشاره کرد:

✔️ سرقت اطلاعات حساس (Credential & Data Theft) : مهاجم با بهره‌گیری از دسترسی ایجادشده می‌تواند اطلاعات حیاتی مانند نام‌های کاربری، گذرواژه‌ها، اطلاعات مالی و داده‌های مشتریان را استخراج و به خارج از سازمان منتقل کند.

✔️ ایجاد درب‌پشتی (Backdoor) برای دسترسی مداوم: حتی در صورت شناسایی اولیه، درب‌پشتی ممکن است باقی بماند و مهاجم بتواند در زمان دیگری بدون نیاز به اجرای حمله مجدد، به سیستم بازگردد.

✔️ حرکت جانبی در شبکه (Lateral Movement) : با استفاده از سیستم آلوده به‌عنوان نقطه شروع، مهاجم می‌تواند به سایر سیستم‌ها در شبکه داخلی دسترسی پیدا کند، مجوزهای بالاتر کسب کند و به بخش‌های حساس‌تر زیرساخت نفوذ نماید—مشابه آنچه در حملات پیچیده‌ای چون SolarWinds یا MOVEit رخ داد.

 

🧠 بخش چهارم: راهکار چیست؟ آغاز مسیر شکار تهدیدات (Threat Hunting)

در عصری که مهاجمان دائماً در حال توسعه ابزارها و تکنیک‌های پنهان‌کاری هستند، صرفاً واکنش به هشدارهای خودکار ابزارهای امنیتی کافی نیست. آنچه امروز نیاز است، یک رویکرد فعالانه و تحلیل‌محور به نام Threat Hunting  است.

شکار تهدیدات (Threat Hunting) فرآیندی سیستماتیک و پیش‌دستانه است که طی آن تحلیل‌گران امنیتی بدون تکیه صرف بر هشدارها، به جستجوی نشانه‌های فعالیت‌های مشکوک و رفتارهای پنهانی مهاجمان در محیط شبکه و سیستم‌ها می‌پردازند. این رویکرد به‌ویژه در مقابله با حملات هدفمند، بدافزارهای بدون Signature و تهدیدات روز صفر (Zero-Day) ضروری است.

ابزارها و تکنیک‌های کلیدی برای Threat Hunting

برای موفقیت در فرآیند شکار تهدید، کارشناسان امنیت نیازمند تسلط به ابزارها و تکنیک‌هایی هستند که بتوانند در لایه‌های مختلف شبکه، سیستم عامل و رفتار کاربران نشانه‌های نفوذ را شناسایی کنند. برخی از مهم‌ترین ابزارها و روش‌ها عبارت‌اند از:

 سیستم‌های SIEM (مانند  Splunk): پایگاه اصلی جستجو و همبست‌سازی لاگ‌ها و رویدادهای شبکه و سیستم.

 تحلیل رفتار کاربران و موجودیت‌ها (UEBA) :  شناسایی انحراف از الگوهای رفتاری عادی برای کشف فعالیت‌های مشکوک.

 تحلیل حافظه (Memory Forensics) :  ابزارهایی مانند Volatility یا Loki  برای کشف بارهای مخرب و دست‌نوشته‌هایی که تنها در حافظه قرار دارند.

 شناسایی ترافیک مشکوک C2 (Command & Control) : بررسی دقیق ارتباطات خروجی برای کشف کانال‌های کنترل از راه دور که اغلب رمزنگاری یا استتار شده‌اند.

 تهدیدیابی مبتنی بر فرضیه (Hypothesis-Driven Hunting) : طراحی فرضیه بر اساس تهدیدات شناخته‌شده و تلاش برای یافتن شواهدی که آن فرض را تأیید یا رد می‌کند.

چرا تیم شما باید شکارچی تهدید باشد؟

در دنیای تهدیدات پیچیده، داشتن تیمی که توان شکار تهدید را دارد، دیگر یک مزیت نیست؛ بلکه یک ضرورت است. برخی از دلایل کلیدی عبارت‌اند از:

🎯  کشف تهدیدات Zero-Day : بدافزارهایی که هیچ Signature ندارند و توسط ابزارهای سنتی شناسایی نمی‌شوند.

🎯  پیشگیری از حملات پیشرفته:  شناسایی مراحل اولیه حمله، مانند Reconnaissance یا Initial Access، پیش از آنکه مهاجم بتواند آسیب گسترده وارد کند.

🎯  افزایش سطح بلوغ امنیتی SOC : ایجاد یک فرهنگ تحلیلی و جستجوگر در تیم عملیات امنیتی که منجر به پاسخ‌دهی سریع‌تر و دقیق‌تر به تهدیدات می‌شود.

🎓 آیا آماده‌اید شکارچی تهدیدات سازمان خود باشید؟

ما در سلام دیجی یک دوره جامع و عملی Threat Hunting طراحی کرده‌ایم که دقیقاً بر اساس نیازهای کارشناسان امنیت، تیم‌های SOC و مدیران فناوری اطلاعات تدوین شده است. این دوره شامل:

✔️ آموزش عملی با ابزارهای SIEM، Memory Forensics و تحلیل ترافیک مشکوک

✔️ تمرین‌های مبتنی بر سناریوهای واقعی تهدید

✔️ طراحی فرضیه شکار تهدید و تحلیل مبتنی بر Indicators

✔️ همراهی با متخصص در طول مسیر یادگیری

🔒  برای کسب اطلاعات بیشتر و شروع مسیر حرفه‌ای شکار تهدیدات، همین حالا به آموزش Threat hunting  در سلام دیجی مراجعه کنید.

 

📝  جمع‌بندی

حملات اخیر نشان می‌دهند که مهاجمان دیگر به ابزارهای سنتی متکی نیستند و از روش‌هایی استفاده می‌کنند که حتی ابزارهای پیشرفته را فریب می‌دهند. در چنین فضایی، شکار تهدیدات یک ضرورت است. سازمان‌هایی که هنوز تیم داخلی برای Threat Hunting ندارند، هر روز بیش‌تر در معرض تهدیدات پنهان قرار می‌گیرند.

اگر مدیر امنیت یا مسئول فناوری اطلاعات هستید، هم‌اکنون وقت آن است که آموزش و اجرای Threat Hunting را آغاز کنید.

 

کلمات کلیدی:

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد