HybridPetya يتجاوز UEFI Secure Boot

ظهر مؤخرًا نوع جديد من برامج الفدية Ransomware اسمه HybridPetya، وبيشبه جدًا Petya وNotPetya اللي عملوا دمار زمان 💣
لكن الجديد والخطير هنا إنه بيقدر يتجاوز UEFI Secure Boot باستخدام ثغرة اسمها CVE-2024-7344.
العينات اتراصدت على VirusTotal في فبراير 2025، واللي كشف التفاصيل كانت شركة ESET 👀

يعني إيه UEFI وليه استهدافه خطير؟ 🧠​

نظام UEFI هو البديل الحديث للـ BIOS. وده بيشتغل قبل ما Windows يبدأ أصلاً.
لو مالوير قدر يزرع نفسه في مرحلة الإقلاع 👇

• هيشتغل قبل مضاد الفيروسات
• هياخد صلاحيات عالية جدًا
• هيبقى صعب الإزالة
• يقدر يفضل موجود حتى بعد الفورمات 😶‍🌫️

عشان كده الهجوم على UEFI يعتبر مستوى متقدم جدًا في الهجمات.

---

HybridPetya بيعمل إيه بالظبط؟ 💀​

البرنامج بيستهدف أنظمة NTFS وبيشفر حاجة اسمها: MFT - Master File Table
وده جدول مهم جدًا بيحتوي على البيانات الوصفية لكل الملفات على الهارد.

لو الـ MFT اتشفر… النظام كله بيبقى مش قادر يشوف ملفاته 😵

---

مكونات HybridPetya 🔧​

المالوير فيه جزئين أساسيين:

• Installer
• Bootkit

الـ Bootkit هو أخطر جزء لأنه بيزرع نفسه داخل UEFI.

---

حالة التشفير بتتخزن إزاي؟ 📊​

الـ Bootkit بيستخدم Flag ليه 3 قيم:

• 0 → جاهز للتشفير
• 1 → القرص متشفر
• 2 → تم الدفع وفك التشفير

لو القيمة 0 يبدأ التشفير فورًا 🔥

---

آلية التشفير تقنيًا 🔐​

بيشفر ملف: \EFI\Microsoft\Boot\verify
باستخدام خوارزمية: Salsa20
وبيعمل ملف اسمه: \EFI\Microsoft\Boot\counter
وده بيتابع عدد مجموعات الأقراص اللي اتشفرت.

---

الخدعة النفسية… شاشة CHKDSK المزيفة 🎭​

أثناء التشفير بيعرض شاشة شبيهة بـ CHKDSK
كأن النظام بيصلح أخطاء في القرص.
والضحية فاكر إن ده طبيعي 😬
لكن في الخلفية… الـ MFT بيتشفر.

---

رسالة الفدية 💰​

لو النظام متشفر (Flag = 1) بيظهر طلب فدية: 1000 دولار بيتكوين
العنوان اللي تم رصده: 34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2

---

فك التشفير بيتم إزاي؟ 🔓​

لو الضحية دفع، بياخد مفتاح. الـ Bootkit:

• يتحقق من المفتاح
• يفك تشفير ملف verify
• يقرأ محتوى counter
• يبدأ يفك تشفير الـ MFT

وأثناء العملية بيعرض تقدم فك التشفير.

---

الثغرة CVE-2024-7344 ودورها في الهجوم 🚨​

بعض نسخ HybridPetya بتستغل ثغرة: CVE-2024-7344
الثغرة في تطبيق UEFI اسمه: reloader.efi
وبيتم إعادة تسميته إلى: bootmgfw.efi
الثغرة تسمح بـ:

• تحميل ملف خارجي بدون تحقق
• تجاهل فحوصات السلامة
• تجاوز Secure Boot بالكامل

---

ملف cloak.dat… المفتاح السري 🕵️‍♂️​

النسخة دي بتستخدم ملف اسمه: cloak.dat
الملف ده يحتوي على Bootkit مشفر بـ XOR.
وعند تشغيل reloader.efi
بيتم تحميله بدون أي تحقق 🔥
وده هو سبب تجاوز Secure Boot.
مايكروسوفت أبطلت النسخة الضعيفة دي في تحديث يناير 2025.

---

HybridPetya vs NotPetya ⚔️​

NotPetya	HybridPetya
تدميري بالكامل	قابل لفك التشفير
مفيش استرجاع حقيقي	ممكن إعادة بناء مفتاح فك التشفير
استهداف تقليدي	استهداف UEFI مباشر

هل تم استخدامه فعليًا؟ 🤔​

حتى الآن، مفيش دليل قوي على هجمات فعلية.
ممكن يكون:

• Proof of Concept
• تجربة بحثية
• أو تمهيد لهجمات مستقبلية

---

مش أول Bootkit يتجاوز Secure Boot 😬​

HybridPetya مش لوحده. فيه أدوات قبل كده زي:

• BlackLotus
• BootKitty
• Hyper-V Backdoor PoC

وده يوضح إن تجاوز Secure Boot بقى اتجاه متكرر.

---

ليه UEFI هدف مغري جدًا للمهاجمين؟ 🎯​

لأن:

• بيشتغل قبل نظام التشغيل
• خارج نطاق مضاد الفيروسات
• بيقدر يزرع برمجيات خبيثة دائمة
• صعب جدًا إزالته

لو الهجوم وصل للـ Firmware يبقى إحنا في مستوى تاني خالص.

---

تقنية Shade BIOS… التطور الأخطر 😶​

في Black Hat 2025 تم عرض تقنية اسمها: Shade BIOS
فكرتها:

• تشغيل مالوير مستقل عن نظام التشغيل
• استخدام BIOS مباشرة
• تخطي كل آليات الحماية

وده معناه إن المعركة بقت على مستوى Firmware مش بس OS.

---

إزاي تحمي نفسك؟ 🛡️​

✅ حدث الـ UEFI Firmware
✅ ثبت تحديثات مايكروسوفت
✅ فعل Secure Boot مع تحديث dbx
✅ راقب أي تعديل في قسم EFI
✅ استخدم حلول EDR قوية تدعم Firmware Monitoring

---

خلاصة الموضوع 💬​

HybridPetya مش مجرد Ransomware عادي.
ده مثال واضح إن:

• الهجمات بتتحرك لمستوى Firmware
• Secure Boot مش حصن مطلق
• Bootkits بقت أكثر تطورًا

المستقبل مش بس هجمات على Windows…
المستقبل هجمات على مرحلة الإقلاع نفسها 😶‍🔥