با توجه به حملات پیچیده و نوظهوری که این روزها در دنیای امنیت سایبری رخ میدهند، دیگر نمیتوان تنها به دیوارهای دفاعی سنتی مانند آنتیویروسها یا فایروالها اعتماد کرد. مهاجمان روزبهروز هوشمندتر میشوند، روشهای خود را پنهانتر میسازند و با بهرهگیری از تکنیکهای پیچیده، حتی از چشمان باتجربهترین تحلیلگران نیز فرار میکنند.
اخیراً گزارشی از وب سایت Fortinet منتشر شد که نمونهای عینی از این پیچیدگیها را به نمایش گذاشت: استفاده از تروجانهای دسترسی از راه دور (RAT) با ساختار خرابشده فایل PE برای دور زدن سیستمهای امنیتی.
📌 بخش اول: ظهور نسل جدید RATها با توانایی پنهانسازی بالا
در ماه می ۲۰۲۵، محققان Fortinet حملهای را شناسایی کردند که در آن بدافزار، با تخریب عمدی هدرهای DOS و PE، باعث میشد فایل اجرایی دیگر توسط ابزارهای تحلیل استاتیک قابل شناسایی نباشد. این تکنیک بسیار زیرکانه از آن جهت موثر است که حتی Sandboxing و آنتیویروسهای پیشرفته نیز نتوانستند محتوای واقعی فایل را بهدرستی تحلیل کنند.
ویژگیهای فنی این Remote Access Trojan :
✔️ دستکاری ساختار PE Header : مهاجم بهطور عمدی بخشهای کلیدی ساختار Portable Executable (PE) مانند DOS Header و PE Signature را تخریب کرده است. این اقدام باعث میشود فایل اجرایی از دید بسیاری از ابزارهای تحلیل استاتیک (Static Analysis Tools) و موتورهای Signature-based خارج شود، چرا که آنها به فرمت ساختاریافته PE برای تحلیل نیاز دارند.
✔️ استفاده از رمزنگاری سبک و مبهمسازی (Obfuscation) : بدافزار از الگوریتمهای رمزنگاری ساده و سبک (نظیر XOR یا Substitution Ciphers) برای کدگذاری دادهها و رشتههای حساس در باینری استفاده میکند. این روش با هدف جلوگیری از شناسایی توسط آنتیویروسها و موتورهای تطبیق الگو (Signature Matching Engines) طراحی شده است.
✔️ اجرای کامل در Memory با حداقل Persistence قابل شناسایی: نمونه تحلیلشده فاقد رفتارهای مرسوم ماندگاری (Persistence) در فایل سیستم یا رجیستری ویندوز بود و بیشتر از تکنیکهایی مانند Reflective DLL Injection یا Process Hollowing برای تزریق در حافظه استفاده میکرد. این روشها موجب میشوند که بدافزار بدون بر جای گذاشتن آثار مشهود روی دیسک یا کلیدهای رجیستری، فعالیت خود را انجام دهد و از دید ابزارهای Forensic و EDR مخفی بماند.
🎯 بخش دوم: کمپینهای واقعی با هدف کاربران سازمانی
این حملات فقط در آزمایشگاهها مشاهده نشدهاند، بلکه در کمپینهای واقعی در سطح جهانی استفاده شدهاند.
تهدیدات نوظهور: بازگشت RATها و کمپینهای پیشرفته
🎯 1 . بازگشت Bandook با روشهای مدرن توزیع
Bandook، یکی از Remote Access Trojanهای شناختهشده که پیشتر در چندین عملیات جاسوسی مطرح بوده، بار دیگر با سازوکاری جدید و مدرن به صحنه تهدیدات بازگشته است. اینبار مهاجمان با بهرهگیری از تکنیکهای مهندسی اجتماعی و زنجیرهای از فایلهای چندمرحلهای، موفق شدهاند آن را بهطور گستردهتری توزیع کنند.
زنجیره آلودگی شامل مراحل زیر است:
✔️ ارسال یک فایل PDF حاوی لینک به یک آرشیو ZIP رمزدار، که با هدف دور زدن فیلترینگ محتوا و راهکارهای امنیتی طراحی شده است.
✔️ فایل ZIP حاوی یک فایل اجرایی (EXE) است که با ظاهر فریبنده و نامهایی مشابه ابزارهای مفید، کاربر را ترغیب به اجرا میکند.
✔️ پس از اجرای فایل، بدافزار Bandook به صورت غیرقابل شناسایی در سیستم نصب شده و ارتباط رمزنگاریشدهای با سرور فرمان و کنترل (C2) برقرار میکند.
🎯 2 . نسخه 4.0 بدافزار Winos و سوءاستفاده از نصبکنندههای جعلی
در کمپینی دیگر که بهطور گسترده در فضای مجازی منتشر شده، مهاجمان از نسخه جدید بدافزار Winos 4.0 استفاده کردهاند. تکنیک اصلی آنها، تولید نصبکنندههای جعلی (Fake Installers) است که ظاهر آنها کاملاً مشابه نرمافزارهای شناختهشدهای مانند QQ Browser یا LetsVPN است.
ویژگیهای تکنیکی این کمپین شامل موارد زیر است:
✔️ استفاده از اسکریپتهای NSIS برای تولید فایلهای Setup ظاهراً قانونی و امضاشده.
✔️ بهرهگیری از تکنیک Reflective DLL Injection برای بارگذاری پنهان فایل DLL مخرب مستقیماً در حافظه فرآیند هدف، بدون نیاز به ذخیرهسازی روی دیسک.
✔️ دور زدن ابزارهای امنیتی با کاهش قابل توجه ردپا (Footprint) در فایل سیستم.
این تکنیکها به مهاجمان امکان اجرای کد مخرب در سیستم قربانی را بدون ایجاد هشدارهای آشکار یا ثبت وقایع قابل شناسایی میدهند.
🚨 بخش سوم: چرا ابزارهای امنیتی سنتی دیگر پاسخگو نیستند؟
با وجود پیشرفتهای قابل توجه در توسعه ابزارهای امنیتی، بسیاری از سازمانها همچنان متکی به راهکارهای مبتنی بر Signature هستند—مانند آنتیویروسها یا IDS/IPS کلاسیک. این ابزارها برای مقابله با تهدیدات مدرن، بهویژه بدافزارهایی با قابلیتهای پنهانسازی پیشرفته، کافی نیستند. دلایل این ناکارآمدی را میتوان در چند محور کلیدی خلاصه کرد:
چرا بسیاری از بدافزارهای امروزی شناسایی نمیشوند؟
✔️ ضعف در تحلیل ساختارهای غیرمعمول یا خرابشده (Malformed Structures) : بسیاری از محصولات امنیتی برای شناسایی تهدیدات به ساختار استاندارد فایلها، مانند PE Header، متکی هستند. در مواردی که این ساختارها بهطور عمدی دستکاری شدهاند، ابزارهای Signature-based قادر به تفسیر صحیح فایل و تشخیص تهدید نخواهند بود.
✔️ اجرای درونحافظهای (In-Memory Execution) : بسیاری از RATها و بدافزارهای پیشرفته از تکنیکهایی مانند Reflective DLL Injection، Process Hollowing یا Shellcode Injection استفاده میکنند. این روشها موجب میشوند بدافزار بدون ایجاد فایل روی دیسک و بدون ثبت در رجیستری، مستقیماً در حافظه اجرا شود—جایی که بسیاری از ابزارهای سنتی دسترسی یا دید کافی ندارند.
✔️ استفاده از تکنیکهای ضدتحلیل (Anti-VM، Anti-Sandbox) : بدافزارها برای جلوگیری از تحلیل در محیطهای آزمایشی یا Sandboxed، محیط اجرا را شناسایی کرده و رفتار مخرب خود را پنهان میسازند. آنها میتوانند بررسی کنند که آیا در محیط مجازی یا تحت نظارت قرار دارند و در صورت شناسایی، از اجرای کد مخرب خودداری کنند.
تهدیدهای ناشی از این نوع حملات برای سازمانها چیست؟
عدم شناسایی این بدافزارها میتواند عواقب سنگینی برای سازمانها به همراه داشته باشد. از جمله مهمترین تهدیدات میتوان به موارد زیر اشاره کرد:
✔️ سرقت اطلاعات حساس (Credential & Data Theft) : مهاجم با بهرهگیری از دسترسی ایجادشده میتواند اطلاعات حیاتی مانند نامهای کاربری، گذرواژهها، اطلاعات مالی و دادههای مشتریان را استخراج و به خارج از سازمان منتقل کند.
✔️ ایجاد دربپشتی (Backdoor) برای دسترسی مداوم: حتی در صورت شناسایی اولیه، دربپشتی ممکن است باقی بماند و مهاجم بتواند در زمان دیگری بدون نیاز به اجرای حمله مجدد، به سیستم بازگردد.
✔️ حرکت جانبی در شبکه (Lateral Movement) : با استفاده از سیستم آلوده بهعنوان نقطه شروع، مهاجم میتواند به سایر سیستمها در شبکه داخلی دسترسی پیدا کند، مجوزهای بالاتر کسب کند و به بخشهای حساستر زیرساخت نفوذ نماید—مشابه آنچه در حملات پیچیدهای چون SolarWinds یا MOVEit رخ داد.
🧠 بخش چهارم: راهکار چیست؟ آغاز مسیر شکار تهدیدات (Threat Hunting)
در عصری که مهاجمان دائماً در حال توسعه ابزارها و تکنیکهای پنهانکاری هستند، صرفاً واکنش به هشدارهای خودکار ابزارهای امنیتی کافی نیست. آنچه امروز نیاز است، یک رویکرد فعالانه و تحلیلمحور به نام Threat Hunting است.
شکار تهدیدات (Threat Hunting) فرآیندی سیستماتیک و پیشدستانه است که طی آن تحلیلگران امنیتی بدون تکیه صرف بر هشدارها، به جستجوی نشانههای فعالیتهای مشکوک و رفتارهای پنهانی مهاجمان در محیط شبکه و سیستمها میپردازند. این رویکرد بهویژه در مقابله با حملات هدفمند، بدافزارهای بدون Signature و تهدیدات روز صفر (Zero-Day) ضروری است.
ابزارها و تکنیکهای کلیدی برای Threat Hunting
برای موفقیت در فرآیند شکار تهدید، کارشناسان امنیت نیازمند تسلط به ابزارها و تکنیکهایی هستند که بتوانند در لایههای مختلف شبکه، سیستم عامل و رفتار کاربران نشانههای نفوذ را شناسایی کنند. برخی از مهمترین ابزارها و روشها عبارتاند از:
✅ سیستمهای SIEM (مانند Splunk): پایگاه اصلی جستجو و همبستسازی لاگها و رویدادهای شبکه و سیستم.
✅ تحلیل رفتار کاربران و موجودیتها (UEBA) : شناسایی انحراف از الگوهای رفتاری عادی برای کشف فعالیتهای مشکوک.
✅ تحلیل حافظه (Memory Forensics) : ابزارهایی مانند Volatility یا Loki برای کشف بارهای مخرب و دستنوشتههایی که تنها در حافظه قرار دارند.
✅ شناسایی ترافیک مشکوک C2 (Command & Control) : بررسی دقیق ارتباطات خروجی برای کشف کانالهای کنترل از راه دور که اغلب رمزنگاری یا استتار شدهاند.
✅ تهدیدیابی مبتنی بر فرضیه (Hypothesis-Driven Hunting) : طراحی فرضیه بر اساس تهدیدات شناختهشده و تلاش برای یافتن شواهدی که آن فرض را تأیید یا رد میکند.
چرا تیم شما باید شکارچی تهدید باشد؟
در دنیای تهدیدات پیچیده، داشتن تیمی که توان شکار تهدید را دارد، دیگر یک مزیت نیست؛ بلکه یک ضرورت است. برخی از دلایل کلیدی عبارتاند از:
🎯 کشف تهدیدات Zero-Day : بدافزارهایی که هیچ Signature ندارند و توسط ابزارهای سنتی شناسایی نمیشوند.
🎯 پیشگیری از حملات پیشرفته: شناسایی مراحل اولیه حمله، مانند Reconnaissance یا Initial Access، پیش از آنکه مهاجم بتواند آسیب گسترده وارد کند.
🎯 افزایش سطح بلوغ امنیتی SOC : ایجاد یک فرهنگ تحلیلی و جستجوگر در تیم عملیات امنیتی که منجر به پاسخدهی سریعتر و دقیقتر به تهدیدات میشود.
🎓 آیا آمادهاید شکارچی تهدیدات سازمان خود باشید؟
ما در سلام دیجی یک دوره جامع و عملی Threat Hunting طراحی کردهایم که دقیقاً بر اساس نیازهای کارشناسان امنیت، تیمهای SOC و مدیران فناوری اطلاعات تدوین شده است. این دوره شامل:
✔️ آموزش عملی با ابزارهای SIEM، Memory Forensics و تحلیل ترافیک مشکوک
✔️ تمرینهای مبتنی بر سناریوهای واقعی تهدید
✔️ طراحی فرضیه شکار تهدید و تحلیل مبتنی بر Indicators
✔️ همراهی با متخصص در طول مسیر یادگیری
🔒 برای کسب اطلاعات بیشتر و شروع مسیر حرفهای شکار تهدیدات، همین حالا به آموزش Threat hunting در سلام دیجی مراجعه کنید.
📝 جمعبندی
حملات اخیر نشان میدهند که مهاجمان دیگر به ابزارهای سنتی متکی نیستند و از روشهایی استفاده میکنند که حتی ابزارهای پیشرفته را فریب میدهند. در چنین فضایی، شکار تهدیدات یک ضرورت است. سازمانهایی که هنوز تیم داخلی برای Threat Hunting ندارند، هر روز بیشتر در معرض تهدیدات پنهان قرار میگیرند.
اگر مدیر امنیت یا مسئول فناوری اطلاعات هستید، هماکنون وقت آن است که آموزش و اجرای Threat Hunting را آغاز کنید.