در مقالات قبلی از مقالات تخصصی سلام دیجی به بررسی حملات Fileless تا سوءاستفاده از Syscall و LOLBins برای دور زدن EDRها پرداختیم. اگر هنوز مقالات قبلی را مطالعه نکرده‌اید، پیشنهاد می‌کنیم ابتدا به راهنمای جامع دور زدن EDR توسط بدافزارها مراجعه کنید تا تصویر کامل‌تری از تهدیدات مدرن به‌دست آورید.

اما در این بخش، با یکی از صریح‌ترین و تهاجمی‌ترین روش‌ها روبه‌رو هستیم: Tampering — جایی که مهاجم به‌جای پنهان‌کاری، مستقیماً ابزار دفاعی شما را هدف می‌گیرد. در ادامه، با این تکنیک، ابزارهای مورد استفاده، نمونه حملات واقعی و راهکارهای دفاعی برای مقابله با آن آشنا خواهید شد.

Tampering چیست؟ حمله مستقیم به EDR و ابزارهای امنیتی سازمان

تکنیک Tampering به آن دسته از روش‌های حمله گفته می‌شود که در آن، مهاجم به جای پنهان شدن یا عبور مخفیانه از دفاع، مستقیماً به مقابله با آن برمی‌خیزد. برخلاف تکنیک‌های پیشرفته مانند Fileless Attacks یا Direct Syscalls که سعی دارند خود را از دید ابزار امنیتی پنهان کنند، در Tampering هدف روشن است:  غیرفعال‌سازی، نابودی یا خرابکاری در اجزای امنیتی سیستم مانند EDR، آنتی‌ویروس و سرویس‌های محافظتی.

مهاجم معمولاً پس از دستیابی به دسترسی‌های سطح بالا (مانند Local Administrator یا SYSTEM) که از طریق بهره‌برداری از آسیب‌پذیری‌ها، حملات فیشینگ یا privilege escalation حاصل شده، اقدام به خنثی‌سازی مستقیم آخرین لایه‌های دفاعی سازمان می‌کند.

روش‌های متداول در در حملات Tampering به شرح زیر هستند:

🔴 متوقف‌سازی سرویس‌ها یا پردازش‌های امنیتی:  مهاجم با استفاده از ابزارهایی مانند sc stop یا taskkill، فرآیندهای حیاتی EDR یا آنتی‌ویروس را متوقف می‌کند. این اقدام حتی می‌تواند با زمان‌بندی خاصی انجام شود تا هم‌زمان با اجرای Payload اصلی باشد.

🧨 حذف یا خراب‌کردن فایل‌های اجرایی:  مهاجم فایل‌های اجرایی یا کتابخانه‌های حیاتی (مانند DLLهای مربوط به EDR) را هدف می‌گیرد تا ابزار امنیتی دیگر قابل راه‌اندازی نباشد یا با خطا مواجه شود.

🛠 دستکاری تنظیمات و Policyها:  با دسترسی به Registry یاGroup Policy، تنظیمات مربوط به ماژول‌های محافظتی، اسکن حافظه، یا هشداردهی غیرفعال می‌شود تا رفتار امنیتی ابزار تغییر کند یا کاملاً خاموش شود.

🧰 استفاده از ابزارهای Tampering آماده:  در سال‌های اخیر، ابزارهای مخصوصی مانند EDR Killer به‌راحتی در دارک‌وب در دسترس هستند که تنها با یک اجرا، چندین نوع EDR معروف را شناسایی کرده و به‌طور خودکار آن‌ها را از کار می‌اندازند.

در برخی موارد، حتی از تکنیک‌هایی استفاده می‌شود که با سوءاستفاده از Uninstallers  رسمی خود EDR، فرآیند حذف به شکل قانونی انجام می‌شود تا کمتر شک‌برانگیز باشد.

✳️  به‌بیان‌دیگر، Tampering همانند غیرفعال کردن دوربین‌های مداربسته و زنگ هشدار پیش از ورود به بانک است؛ اقدامی که نشان می‌دهد حمله در مرحله‌ی نهایی خود قرار دارد و مهاجم در تدارک اجرای آخرین مرحله از عملیات خود، مانند باج‌گیری یا تخریب است.

⚠️   چرا تکنیک Tampering یکی از خطرناک‌ترین روش‌های دور زدن EDR محسوب می‌شود؟

✔️ آخرین لایه دفاعی عملاً از کار می‌افتد و راه برای اجرای Payloadهای نهایی (مانند باج‌افزار) هموار می‌شود.

✔️ فعالیت‌های بعدی مهاجم در لاگ‌ها ثبت نخواهد شد، زیرا EDR غیرفعال شده است.

✔️ بازگرداندن سیستم به وضعیت امن، به‌ویژه در حملات هماهنگ‌شده، بسیار دشوار و زمان‌بر خواهد بود.

🧨روش‌های رایج در حملات Tampering برای غیرفعال‌سازی آنتی‌ویروس و EDR

🛠 ابزارها و اسکریپت های مورد استفاده در حملات Tampering

✔️ EDR Killer Tools (توزیع‌شده در دارک‌وب)

✔️ PowerShell Scripts  برای توقف سرویس یا حذف تنظیمات امنیتی

✔️ ابزارهای سیستمی ویندوز:

sc, taskkill, reg, wmic, msconfig

📊  حملات واقعی مبتنی بر Tampering| از LockBit تا Conti

تکنیک Tampering در کمپین‌های متعدد باج‌افزار و APT دیده شده و به عنوان بخشی از مرحله‌ی "فرار از دفاع" (Defense Evasion) نقش کلیدی در موفقیت حمله ایفا می‌کند. در زیر، برخی از مهم‌ترین نمونه‌ها را مرور می‌کنیم:

🚨چرا Tampering برای EDRها تهدیدی جدی است؟

✔️ بسیاری از EDRها فاقدSelf-Defense قوی هستند. یعنی در برابر اقداماتی مانند توقف سرویس‌ها یا حذف فایل‌های خودشان مقاومت چندانی ندارند.

✔️ ابزارهای ویندوزی، به‌دلیل ماهیت قانونی، قابل مسدودسازی کامل نیستند و مهاجم می تواند به‌راحتی از آن‌ها برای خاموش‌سازی EDR استفاده کند.

✔️ اگر مهاجم به حساب کاربری با دسترسی Local Admin یا بالاتر دست یابد، بسیاری از راهکارهای امنیتی دیگر قادر به جلوگیری از اقدامات او نیستند. در این حالت، توقف سرویس‌ها، حذف فایل‌ها یا غیرفعال‌سازی Agentهای امنیتی کاملاً امکان‌پذیر است.

✔️ پس از حذف EDR، حملات دیگر مانند BYOVD، Syscall یا LOLBins بدون هیچ‌گونه مزاحمتی اجرا می‌شوند.

🛡️ اقدامات دفاعی برای مقابله با Tampering

مقابله با Tampering نیازمند یک رویکرد چندلایه‌ است. صرفاً نصب EDR کافی نیست بلکه باید مطمئن بود که این ابزار از خودش نیز محافظت می‌کند. مدیران امنیت باید با ترکیبی از تنظیمات دقیق، محدودسازی دسترسی‌ها و قابلیت‌های پیشرفته نظارتی، از غیرفعال‌سازی سیستم‌های دفاعی جلوگیری کنند.

🧠 نکته کلیدی برای مدیران امنیت

در صورت غیرفعال شدن EDR، سازمان عملاً در برابر حمله کور و ناشنوا خواهد بود.
هر تلاشی برای توقف، حذف یا تغییر در ابزارهای امنیتی باید به‌صورت فوری و خودکار شناسایی و گزارش شود.
غفلت در این زمینه، راه را برای مهاجم هموار کرده و زمینه‌ساز اجرای سایر مراحل حمله بدون هیچ هشدار و مداخله‌ای خواهد شد.

✅  جمع‌بندی تکنیک Tampering

Tampering  نه یک حمله پیشرفته و پیچیده، بلکه یک ضربه مستقیم به ساختار امنیتی سازمان است. مهاجم با غیرفعال‌سازی EDR، شبکه را در معرض آسیب‌پذیری کامل قرار می‌دهد.

🔐  تنها دفاع مؤثر:

✔️ بهره‌گیری از EDRهای نسل جدید با Self-Defense و Kernel Sensors

✔️ محدودسازی اجرای ابزارهای مدیریتی

✔️ هشداردهی بلادرنگ در برابر توقف سرویس‌های حیاتی امنیتی می باشد.

📌 در بخش بعدی این مجموعه تخصصی، به بررسی راهکارهای پیشرفته دفاعی برای مقابله با تکنیک‌های دور زدن EDR خواهیم پرداخت.
از انتخاب EDR مناسب گرفته تا تنظیمات پیشرفته، تحلیل حافظه، تقویت لاگ‌ها و به‌کارگیری سناریوهای Threat Hunting — هر آنچه برای ساخت یک دفاع چندلایه واقعی نیاز دارید.

اگر به امنیت واقعی شبکه سازمان‌تان فکر می‌کنید، این بخش را از دست ندهید.