حمله EDR Killer و فلج کردن امنیت در SonicWall SSLVPN

از /

 

در دنیای امنیت سایبری، فرضیه «امنیت مطلق» مدتی است که از میان رفته است. گزارش‌های اخیر کارشناسان پرشیاسیس خاورمیانه نشان می‌دهد مهاجمان در حملات جدید خود، مستقیماً «قلب دفاعی» سازمان‌ها را هدف گرفته‌اند. در این استراتژی، هکرها با استفاده از ابزار EDR Killer، پیش از انجام هرگونه خرابکاری، ابتدا سیستم‌های امنیتی را کاملاً نابینا می‌کنند.

در این مقاله تحلیلی که توسط تیم فنی پرشیاسیس خاورمیانه تهیه شده، به کالبدشکافی این تهدید و روش‌های مقابله با آن می‌پردازیم.

 

  • عبور از لبه شبکه؛ چرا هکرها بر SonicWall SSLVPN تمرکز کرده‌اند؟

 

نفوذ اولیه در این زنجیره حمله، از طریق سرویس‌های دسترسی از راه دور رخ می‌دهد. مهاجمان با سوءاستفاده از اعتبارات (Credentials) به سرقت رفته، وارد درگاه SonicWall SSLVPN می‌شوند.

دیدگاه کارشناسان پرشیاسیس خاورمیانه: بسیاری از سازمان‌ها به دلیل عدم پیاده‌سازی احراز هویت چندعاملی (MFA)، این درگاه را به ضعیف‌ترین حلقه امنیتی خود تبدیل کرده‌اند. هکرها با عبور از این سد، بدون برانگیختن شک فایروال، عملاً به داخل دیوارهای سازمان قدم می‌گذارند.

شماره تلفن پرشیاسیس خاورمیانه

 

  • تکنیک BYOVD؛ سلاح هکرها برای نفوذ به لایه‌های زیرین

 

مهاجمان برای اینکه توسط سیستم‌های امنیتی شناسایی نشوند، از تکنیک BYOVD (Bring Your Own Vulnerable Driver) استفاده می‌کنند. در این روش، یک درایور قدیمی اما «امضا شده و معتبر» (مانند درایور شرکت EnCase) روی سیستم بارگذاری می‌شود.

از آنجایی که این درایور دارای امضای دیجیتال قانونی است، آنتی‌ویروس‌ها جلوی نصب آن را نمی‌گیرند. اما هکرها با استفاده از آسیب‌پذیری موجود در همین درایور قدیمی، به سطح Kernel (هسته سیستم‌عامل) دسترسی پیدا می‌کنند؛ جایی که قدرت هکر از قدرت ابزارهای امنیتی بیشتر می‌شود.

 

برای خرید EDR سازمانی مطمئن با پشتیبانی قدرتمند کلیک کنید

  • ابزار EDR Killer؛ نابودکننده بی‌صدای فرآیندهای امنیتی

 

ابزار EDR Killer پس از دسترسی به هسته سیستم، لیست سیاهی از نام‌های بزرگ همچون CrowdStrike، Microsoft Defender و SentinelOne را هدف قرار می‌دهد.

نحوه عملکرد از نگاه تیم فنی پرشیاسیس: این ابزار به جای بستن عادی برنامه‌ها (که باعث ایجاد هشدار فوری می‌شود)، فرآیندهای امنیتی را در حالت «تعلیق» (Suspended) قرار می‌دهد. در این حالت، ادمین شبکه در پنل مدیریتی تصور می‌کند آنتی‌ویروس در حال کار است، اما در واقع هیچ‌گونه پایشی انجام نمی‌شود.

 

  • راهکارهای حفاظتی پیشنهادی پرشیاسیس خاورمیانه

 

برای مقابله با این سطح از حملات، تیم مهندسی پرشیاسیس خاورمیانه چک‌لیست زیر را برای سازمان‌ها توصیه می‌کند:

  • اجباری کردن MFA در لایه VPN: هیچ دسترسی راه دوری نباید بدون عامل دوم (OTP یا سخت‌افزاری) تایید شود.
  • مدیریت لیست سیاه درایورها (Driver Blocklisting): فعال کردن قابلیت‌های امنیتی در ویندوز برای جلوگیری از بارگذاری درایورهای آسیب‌پذیر قدیمی.
  • مانیتورینگ لاگ‌های هسته (Kernel Logging): رصد دقیق بارگذاری درایورهای غیرمجاز توسط تیم SOC.
  • به‌روزرسانی فریمورها: اطمینان از نصب آخرین پچ‌های امنیتی روی دستگاه‌های SonicWall.

نتیجه‌گیری

 

حمله به کاربران SonicWall و استفاده از تکنیک‌های حذف EDR، نشان‌دهنده پیچیدگی روزافزون تهدیدات است. پرشیاسیس خاورمیانه به عنوان شریک معتمد شما در حوزه زیرساخت و امنیت، آماده است تا با ارزیابی دقیق شبکه‌ و استقرار راهکارهای مانیتورینگ پیشرفته، سازمان شما را در برابر این تهدیدات ایمن سازد.

شماره تلفن پرشیاسیس خاورمیانه

 

به این مقاله امتیاز دهید