تغییر استراتژی هکرها در سال ۲۰۲۶؛ سلاح خط مقدم مهاجمان سایبری، ابزارهای قابل اعتماد ویندوز است!

انقلاب در تکنیک‌های نفوذ هکری! جدیدترین گزارش موسسه ANY.RUN نشان می‌دهد مهاجمان سایبری با رها کردن ویروس‌های سنتی، از ابزارهای رسمی و مورد اعتماد سیستم‌عامل‌ها (تکنیک لوکال) برای دور زدن فایروال‌ها استفاده می‌کنند.

خبرنگار:

بهراد یوسفی

۱. آمار تکان‌دهنده جهش حملات در سه ماهه اول ۲۰۲۶

بر اساس تحلیل تخصصی روی بیش از ۲.۱ میلیون پرونده واقعی هک و فیشینگ، شیوه کار مهاجمان سایبری به شدت مخفیانه‌تر و سریع‌تر شده است. سه آمار کلیدی زیر این وضعیت بحرانی را توصیف می‌کنند:

جهش ۹۸.۳ درصدی حملات بارگذار(Loader): استفاده از برنامه‌های واسطه‌ای که در چند ثانیه اول نفوذ، راه را برای ورود ویروس‌های بزرگ‌تر باز می‌کنند، تقریباً ۲ برابر شده است.
رشد ۵۸.۴ درصدی حملات بدون فایل(LOLBAS): استفاده هکرها از زبان‌های برنامه‌نویسی داخلی سیستم (مثل جاوا اسکریپت) برای اجرای دستورات مخرب رشد شدیدی داشته است.
افزایش ۱۴.۷ درصدی سرقت هویت: دزدیدن نام کاربری و رمز عبور واقعی کاربران برای ورود بی‌صدا به شبکه‌ها همچنان رو به افزایش است.

۱. پایش (Monitoring): شناسایی زودهنگام تهدیدات واقعی — با استفاده از این ابزار، ۵۸٪ تهدیدات بیشتری نسبت به قبل شناسایی می‌شه و ریسک نقض امنیتی کاهش پیدا می‌کنه.

۲. تریاژ (Triage): اعتبارسنجی سریع‌تر هشدارها — میانگین زمان شناسایی (MTTD) به ۱۵ ثانیه رسیده و هزینه‌های ارجاع غیرضروری کم شده.

۳. پاسخ‌دهی (Response): دسترسی به زمینه کامل حمله — میانگین زمان پاسخ (MTTR) ۲۱ دقیقه کاهش یافته و تأثیر خرابی‌ها به حداقل رسیده.

۴. شکار تهدید (Threat Hunting): کشف تهدیداتی که دیگران از دست می‌دن — نرخ شناسایی ۳۶٪ بالاتر رفته و ریسک‌ها زودتر شناسایی می‌شن.

۵. مهندسی تشخیص (Detection Engineering): غنی‌سازی تشخیص‌ها با داده زنده — به ازای هر پرونده ۲۴ برابر بیشتر IOC (شاخص‌های نفوذ) جمع‌آوری می‌شه و امنیت کسب‌وکار تقویت می‌شه.

۲. تکنیک «شکار در محیط بومی» (Living-off-the-Land) چیست؟

تکنیک Living-off-the-Land یا به زبان ساده «استفاده از منابع محلی»، یعنی هکر پس از ورود به کامپیوتر یا شبکه شما، هیچ فایل یا برنامه ویروسی جدیدی را دانلود و نصب نمی‌کند. در عوض، به سراغ برنامه‌های رسمی، سفید و مورد اعتماد خود ویندوز (مانند PowerShell یا ابزارهای مدیریت سیستم که روزانه توسط مدیران شبکه استفاده می‌شوند)می‌رود.

چالش بزرگ اینجاست که آنتی‌ویروس‌های سنتی همیشه به دنبال فایل‌های مخرب و شناخته‌شده می‌گردند. وقتی هکر از برنامه رسمی خود ویندوز برای جابه‌جایی اطلاعات یا قفل کردن سیستم استفاده می‌کند، آنتی‌ویروس هیچ واکنشی نشان نمی‌دهد؛ چون از نظر او، یک برنامه قانونی در حال کار است! به این روش، «هک بدون فایل» Fileless Attack می‌گویند.

۳. جنگ ثانیه‌ها؛ سرعت نفوذ باورنکردنی هکرها

Striking ترین بخش گزارش این است که فاصله زمانی بین «اولین کلیک اشتباه کاربر» تا «سقوط کامل سیستم» به چند ثانیه رسیده است:

تنها ۱۶ ثانیه طول می‌کشد تا هکر پس از ورود، اولین دستور مخرب خود را از طریق ابزارهای داخلی سیستم اجرا کند.
فقط ۲۱ ثانیه زمان نیاز است تا هکر جای پای خود را در سیستم محکم کند (Persistence)؛ یعنی حتی اگر سیستم را ریستارت کنید، او باز هم دسترسی خواهد داشت.

این سرعت جنون‌آمیز نشان می‌دهد که اگر تیم‌های امنیتی بخواهند به روش‌های قدیمی و دستی متکی باشند، پیش از آنکه اصلاً متوجه شروع حمله شوند، کل شبکه سقوط خواهد کرد.

🔍 تحلیل اختصاصی امنیت سایبری ۲۴ نیوز:

این گزارش، فرضیه قدیمی «اعتماد کورکورانه به برنامه‌های مجاز» را در پدافند غیرعامل کاملاً باطل می‌کند. دوره ارزیابی‌های ساده آنتی‌ویروسی که فقط به دنبال امضای دیجیتال ویروس‌ها (Signatures) می‌گشتند، به پایان رسیده است. هکرها با ترکیب دو فاکتور «رمزهای عبور واقعی سرقت‌شده» و «ابزارهای سیستمی مجاز»، عملاً مانند یک شبح در شبکه حرکت می‌کنند. تشخیص یک هکر از یک مدیر شبکه واقعی در چنین محیطی، مثل پیدا کردن یک سوزن در انبار کاه است.

از منظر امنیت زیرساخت، این یک «شکست ساختاری» برای سیستم‌های دفاعی سنتی است. وقتی مهاجم با هویت قانونی و ابزار قانونی وارد می‌شود، تنها راهکار باقی‌مانده، «تحلیل رفتار بدبینانه» Behavioral Analytics است. یعنی سیستم‌های امنیتی ما باید به جای چک کردن کارت شناسایی برنامه‌ها، به رفتارهای آن‌ها حساس شوند؛ مثلاً اگر برنامه پاوِرشِل ویندوز که کارش مدیریت سیستم است، ناگهان در ساعت ۳ نصف شب شروع به جمع‌آوری و فشرده‌سازی فایل‌های مالی کرد، سیستم دفاعی باید بدون توجه به قانونی بودن برنامه، آن را به عنوان یک آنومالی رفتاری مسدود کند.

🛡️ دستورالعمل امنیتی ۲۴ نیوز برای سازمان‌ها و شرکت‌ها:

برای مقابله با این موج جدید از حملات فوق‌سریع در سال ۲۰۲۶، رعایت اصول زیر الزامی است:

انتقال به سیستم‌های نظارت رفتاری (EDR/XDR): آنتی‌ویروس‌های قدیمی را کنار بگذارید و از سامانه‌های هوشمندی استفاده کنید که رفتار برنامه‌ها را در لحظه (Real-time) تحلیل می‌کنند.
محدودسازی ابزارهای مدیریتی (LOLBAS Mitigation): دسترسی کارمندان عادی به ابزارهایی مثل PowerShell یا خط فرمان ویندوز (CMD) را کاملاً مسدود کنید. این ابزارها فقط باید در اختیار مدیران ارشد آی‌تی باشند.
پایش مداوم دسترسی‌ها: از آنجا که سرقت هویت ۱۴.۷ درصد رشد داشته، فعال‌سازی تایید هویت چندمرحله‌ای برای تمام کارمندان دیگر یک انتخاب نیست، بلکه یک ضرورت پدافندی است.