تهدف هذه المقالة إلى تقديم تحليل معمق لأداة "EternalRomance"، وهي أداة اختراق إلكترونية شهيرة أطلقتها مجموعة "وسطاء الظل" (Shadow Brokers) وترتبط ارتباطًا وثيقًا بوكالة الأمن القومي (NSA). تركز المقالة على فهم شامل لهذا التهديد المتجذر في مجال الأمن السيبراني.
مقدمة
في أبريل 2017، هزّ تسريب "شادو بروكرز" لأداة القرصنة سيئة السمعة "إترنال بلو" التابعة لوكالة الأمن القومي الأمريكية (NSA) عالم الإنترنت، ما أدى إلى كشف مجموعة من الثغرات الأمنية، بما في ذلك "إترنال رومانس". وعلى عكس "إترنال بلو"، لا تحظى "إترنال رومانس" باهتمام كبير في وسائل الإعلام الرئيسية، إلا أنها، بفضل قدراتها المميزة على تنفيذ برمجيات خبيثة عن بُعد على نظام ويندوز سيرفر، أثّرت بشكل كبير على مشهد الأمن السيبراني.
تفكيك EternalRomance
بخلاف EternalBlue الذي يستهدف بروتوكول كتلة رسائل الخادم (SMB)، وتحديدًا تطبيق Microsoft لـ SMBv1، يستغل EternalRomance حالة تسابق موجودة في طلبات المعاملات لبروتوكول SMB SMBv1، مما يسمح له باختراق الذاكرة والوصول غير المصرح به. الميزة الأساسية لـ EternalRomance مقارنةً بمثيلاتها هي قدرته على العمل بامتيازات مستوى النظام فقط على معظم إصدارات Windows، ولا يتطلب دعمًا من أكواد قابلة للتنفيذ على مستوى النواة.
الوظيفة
تعمل EternalRomance عن طريق إرسال حزم بيانات مشوهة إلى خادم SMBv1 ضعيف. يُعلم الجزء الأول من الاستغلال الخادمَ بالمعاملة التي تُقدم سجلين. يُفسر الخادم كل سجل على أنه معاملة منطقية مستقلة. ومع ذلك، يُعدِّل EternalRomance كلا السجلين ليشيرا إلى نفس المنطقة في الذاكرة. علاوة على ذلك، يُثير الاستغلال حالة تسابق بينهما. أثناء معالجة السجل الأصلي، يُعدِّل السجل الآخر البيانات الأصلية في الذاكرة، مما يُسبب خلطًا في النوع. تؤدي هذه العملية إلى تنفيذ تعليمات برمجية عشوائية.
الاستغلال التقني
عادةً، تحتوي المعاملة التي تُجرى عبر بروتوكول SMBv1 على عدد إعداد واحد، لكن الحزمة المشوهة في EternalRomance تحتوي على عددي إعداد، مما يؤدي إلى جلب مزدوج. والجدير بالذكر أنه نظرًا لوجود SMB_COM_TRANSACTION_SECONDARY، يفحص الخادم المعاملة الأخيرة فقط؛ وبالتالي، يُستبدل عدد إعداد المعاملة الأصلية بعدد الإعداد الخبيث. يؤدي هذا السيناريو إلى تنفيذ شيفرة shellcode، مما يؤدي إلى اختراق النظام.
التدابير الوقائية
يتضمن منع وقوع ثغرة EternalRomance وتأثيرها تطبيق تصحيحات النظام في الوقت المناسب وتجنب البرامج القديمة منتهية الصلاحية. أصدرت مايكروسوفت تحديث الأمان MS17-010 الذي يجب إزالته فورًا من جميع أنظمة ويندوز. إن الحفاظ على تحديث النظام مع مراقبة مستمرة يمكن أن يوفر مقاومة كبيرة لمثل هذه الثغرات. بالإضافة إلى ذلك،
استغلالات العالم الحقيقي
يُعدّ NotPetya وBad Rabbit مثالين شائعين على الهجمات التي استغلت ثغرة EternalRomance لتأثيرها المدمر. استغلّ NotPetya هذه الثغرة بشكل كبير للتنقل داخل الشبكات بعد الحصول على الوصول الأولي. كما استخدم Bad Rabbit، وهو سلالة سيئة السمعة من برامج الفدية، ثغرة EternalRomance لانتشاره.
تأثير الرومانسية الأبدية
لا يُمكن الاستهانة بتأثير EternalRomance على النظام البيئي السيبراني. فعلى الرغم من ارتباطه الوثيق بأداة أخرى تابعة لوكالة الأمن القومي الأمريكية، وهي EternalBlue، فقد رسّخ مكانته بفضل قدراته المتميزة على استغلال تطبيقات العميل وتمكين تنفيذ التعليمات البرمجية عن بُعد. وقد قدّم ظهور EternalRomance دروسًا قيّمة حول الأهمية الحاسمة لتحديث الأنظمة باستمرار بتحديثات الأمان والحفاظ على اليقظة ضد التهديدات السيبرانية المحتملة.
ختاماً
في الختام، برزت EternalRomance كتذكير صارخ بالتهديدات المتطورة والمستمرة التي تسود عالم الإنترنت. إنها تُمثل منعطفًا هامًا في فهمنا لتهديدات الأمن السيبراني، إذ تُظهر قدرة الثغرات الأمنية على التلاعب الاستراتيجي بالأنظمة المستهدفة. والخلاصة الرئيسية هي الضرورة القصوى للحفاظ على أنظمة آمنة ومُحدثة للحد من هذه التهديدات. وبينما تكشف EternalRomance عن الإمكانات غير المفهومة للتهديدات السيبرانية، فإنها تُؤكد أيضًا على ضرورة تبني استراتيجيات فعّالة في ظل بيئة تهديدات سيبرانية دائمة التطور.