خطوة واحدة للأمام - التدقيق المستقبلي في هندسة الكشف عن المعلومات 

يُعدّ الموقع الإلكتروني القوي threat intelligence حجر الزاوية في الكشف عن البرمجيات الضارة في المستقبل. وهو يتضمن تحليل الجهات الفاعلة الحالية والناشئة في مجال التهديدات لفهم سلوكياتها وتقنياتها واتجاهاتها. كما أنه يدمج الرؤى المستندة إلى الخبرة والدروس المستفادة من بحوث التهديدات السابقة، مما يساعد على توفير جدول زمني يمكن أن يدعم فهمًا أوسع للاتجاهات والتطورات. هذا البحث أمر بالغ الأهمية لكل من وضع القواعد المستنيرة والدفاع الاستباقي.

من خلال فهم أحدث مشهد للتهديدات، يمكن لمحترفي الأمن السيبراني إنشاء تواقيع تستبق ناقلات الهجمات المستقبلية ومتغيرات البرمجيات الضارة. وقد تعامل باحثونا في InQuest مع حالة الاستخدام هذه بالضبط عند تطوير تدابير مضادة ل CVE-2023-36884. نموذج تجزئة لهذا هو 3a3138c5ad59d59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97.

كانت الثغرة CVE-2023-36884 ثغرة أمنية من نوع CVE-2023-36884 هي ثغرة أمنية من نوع يوم الصفر تم استغلالها من قبل مجموعة تهديد تُعرف باسم RomCom في عمليات مزدوجة التركيز في مجال البرمجيات الإجرامية وكذلك في خدمة المصالح الاستراتيجية الروسية من خلال تستهدف الهيئاتالأوكرانية والهيئات المتحالفة معحلف الناتو لدوافع التجسس والوصول إلى بيانات الاعتماد. تتداخل مجموعة RomCom بدرجات مختلفة مع Storm-0978 وHawker وTropical Scorpius وUAC-0132 وUAC-0168 وVoid Rabisu وUNC4895.

تتشابه طريقة عمل هذا الاستغلال في بعض النواحي مع ثغرة قديمة من عام 2017(CVE-2017-0199). في مستند Microsoft Word، يمكن تحميل كائن OLE مضمن أو بعيد في مستند Microsoft Word بصمت عند فتح الملف الأصلي. تسمح هذه الإمكانية بأن تكون مستندات Office حاملة لمحتوى متداخل عشوائي، وهو ما يستفيد منه المهاجمون لإنتاج عمليات استغلال مراوغة متعددة المراحل. في هذه الحالة بالذات، يمكن العثور على حمولة البرمجيات الضارة داخل مستند RTF مضمن يحمل اسم "afchunk.rtf". ويستفيد هذا الاستغلال داخل كائن في مستند RTF هذا من التقنية الحالية التي شوهدت أيضًا مع ثغرات CVE-2017-0199 لتنزيل حمولة إضافية من عنوان URL مشفر بشكل ثابت. نظرًا لأنه يتم الوصول إلى عنوان URL في شكل مشاركة SMB، فإنه يسيء استخدام الثقة المتأصلة التي يمنحها Windows لمشاركة الشبكة عن بُعد.

يتيح البحث المستمر threat intelligence استراتيجية دفاعية استباقية، وتحديد التهديدات المحتملة والتخفيف من حدتها قبل أن تتسبب في ضرر. وقد تم تطبيق هذا المفهوم من قبل فريق InQuest threat intelligence الشهر الماضي عند تطوير توقيعات لاكتشاف ثغرة MHTML في ملفات عناوين URL الخاصة بشركة مايكروسوفت(CVE-2024-38112).

عند تطوير هذا التوقيع، أشار باحثونا إلى أن عنوان URL الخبيث المستخدم في ملف Microsoft URL قد لا يكون بالضرورة رابط ويب قياسي قائم على HTTP. على الرغم من أنه لا يوجد في الوثائق المتاحة ما يدل على أن المهاجمين استخدموا مسارات ملفات محلية في هذا الاستغلال المحدد، إلا أن حدس محللنا أشار إلى أن أشكالًا مختلفة من الهجوم قد تكون ممكنة. استنادًا إلى أبحاث InQuest السابقة حول ملفات اختصار الإنترنت (ملفات URL) كما هي مستخدمة في عمليات استغلال تجاوز ميزات الأمان، يبدو واضحًا أن العديد من الأنظمة الفرعية في ويندوز يمكن أن تتأثر بالعيوب في تطبيق الحماية على الملفات التي يتم الوصول إليها عبر مصادر وسائط بديلة مثل SMB أو WebDAV أو بروتوكولات أخرى محتملة عند استخدام بادئة الملف:// URL. يبدو أن هذا نابع من الثقة المتأصلة الممنوحة في ويندوز للملفات التي يتم الحصول عليها من ما يعتبر عادةً مناطق أكثر موثوقية تُستخدم في بيئات الشبكة الداخلية. في الواقع، تمت إعادة النظر في أشكال مختلفة من هذا الموضوع مرة أخرى مؤخرًا في تحليل ZDI لـ CVE-2024-38213، مما يوضح أن التدابير المضادة ضد هذه الأنواع من الثغرات الأمنية تحتاج إلى النظر في مجموعة أوسع من المدخلات مما قد يكون واضحًا على الفور. ونتيجة لذلك، صُمم توقيع الكشف الذي أنشأناه لهذا الاستغلال لتوقع هذا النوع من التباين في المستقبل.