امنیت

اکسپلویت‌های قدیمی در سیستمی مدرن

مجرمان سایبری مدت‌های مدید است از حملات نوع Land  -که از برنامه‌های قانونی یا قابلیت‌های سیستم‌ عامل برای آسیب رساندن استفاده می‌کنند- تغذیه می‌کنند و این خبر تازه‌ای نیست؛ اما از آنجایی که متخصصین به پیگیری و ردیابی نرم‌افزار‌های مدرن حساس به LotL پرداختند آن‌ها مجبور شدند کلیشه‌ها را کنار گذاشته و دست به نوآوری بزنند. محققین ژان یان بوتان و زوزانا هرومکوا در کنفرانس RSA 2021 پیرامون یکی از همین نوآوری‌ها سخنرانی کردند: استفاده از اجزا و برنامه‌های قانونی ویندوز XP.

تغذیه از Land و اجزای آسیب‌پذیر ویندوز XP

بوتان و هرومکوا با بررسی فعالیت گروهی موسوم به InvisiMole اشاره کردند که استفاده ابزارهای InvisiMole از فایل‌ها برای سیستم‌عاملی منسوخ به آن کمک می‌کند تا مخفیانه به حضور خود ادامه دهند. محققین به این فایل‌ها اسم VULNBins دادند؛ چیزی شبیه به اسم  LOLBins که جامعه‌ی امنیتی آن را روی فایل‌های استفاده‌شده در حملات Land پیاده‌سازی می‌کند. البته که دانلود یک فایل از رده خارج‌شده در کامپیوتر قربانی مستلزم دسترسی به آن دستگاه است. اما VULNBinsها معمولاٌ به منظور ایجاد نوعی پایداری و حضور دائم در سیستم مورد هدف استفاده می‌شوند؛ حضوری پنهانی طوری که هیچ کس باخبر نشود.

مصداق‌هایی از کاربرد برنامه‌های منسوخ و اجزای از رده خارج سیستم‌ها

اگر مهاجم نتواند به حقوق ادمین دسترسی پیدا کند، یکی از تاکتیک‌هایی که ممکن است برای ایجاد پایداری خود پیاده‌سازی کند، استفاده از ویدیو پلیر قدیمی است با یک آسیب‌پذیری «سرریز بافر». مجرمان سایبری با  Task Scheduler یک تسک که مرتباً زمانبندی می‌شود را ایجاد می‌کنند. این تسک مدام از پلیر –که تنظیماتش طوری دستکاری شده که آسیب‌پذیری را اکسپلویت کند- می‌خواهد تا کد لازم برای مرحله بعد حمله را لود کند. با این وجود اگر مهاجمین InvisiMole تصمیم بگیرند به حقوق ادمین دست یابند می‌توانند متود دیگری را نیز به کار گیرند. این متود از اجزای سیستم قانونی setupSNK.exe، Windows XP library wdigest.dll و Rundll32.exe استفاده می‌کند. سپس آن‌ها داده‌هایی را که آرشیو (یا همان library) در مموری لود می‌کند دستکاری می‌کنند. آرشیو پیش از بکارگیری فناوری ASLR ساخته شده است؛ از این رو مجرمان سایبری آدرس دقیقی را که قرار است در مموری لود شود می‌دانند. آن‌ها اکثر پی‌لود آلوده را در رجیستری (در قالب رمزگذاری‌شده) ذخیره می‌کنند و همه آرشیوها و فایل‌های قابل‌اجرایی که استفاده می‌کنند دیگر قانونی به نظر می‌رسد. در نتیجه همه اینها حضور نفوذی در فایل (با تنظیمات پلیر) و همینطور اکسپلویت کوچکی را که آرشیوهای منسوخ را هدف قرار گرفته رد می‌کند. توصیه‌ی ما به شما این است که:

میزبان هاست سوشال

برای جلوگیری از استفاده مجرمان سایبری از فایل‌های قدیمی و اجزاهای منسوخ سیستم‌ها (خصوصاً آن‌هایی که زمانی یک ناشر قانونی امضایشان کرده) از چنین فایل‌هایی پایگاه اطلاعاتی درست کنید. این اولین قدم در راستای حفظ امنیت سایبری است. با این کار لایه‌های دفاعی موجود را فعال کرده و دست‌کمی موارد مشکوک را ردیابی کرده‌اید.

راهکارهای امنیتی

توصیه‌ی دیگر ما به شما استفاده از راهکار سطح EDR کسپرسکی است که:

  • اجرای اجزای ویندوز که خارج از فولدر سیستم قرار دارند را شناسایی و بلاک کرده،
  • سیستم‌فایل‌های امضانشده را شناسایی می‌کند (برخی سیستم فایل‌ها به جای امضای منحصر به فرد دیجیتال با فایل کاتالوگ امضا می‌شوند اما سیستم‌فایلی که به سیستمی منتقل می‌شود که فایل  .cat لازم را ندارد امضانشده تلقی می‌شود).
  • برای شناسایی فرق بین نسخه سیستم عامل و نسخه هر فایل قابل‌اجرا قانونی را درست می‌کند.
  • همان قانون را برای سایر کاربردها نیز می‌سازد- برای مثال برای بلاک کردن اجرای فایل‌های کامپایل‌شده مربوط به بیش از ده سال پیش.

همانطور که اشاره کردیم، برای دانلود چیزی در کامپیوتر قربانی، مجرمان سایبری ابتدا باید بدان کامپیوتر دسترسی داشته باشند. برای جلوگیری از ورود VULNBinها به ایستگاه‌های کارتان راهکارهای امنیتی را روی همه دستگاه‌هایتان –که با اینترنت فعال می‌شوند- نصب کنید. همچنین به کارمندان خود در خصوص تهدیدهای سایبری آموزش دهید و سطح آگاهی را بالا ببرید. در نهایت نیز با دقت بالایی ابزارهای دسترسی ریموت را تحت نظر قرار دهید.

امتیاز این نوشته

امتیاز

امتیاز کاربران: 4.43 ( 2 رای)

سرورهای مجازی میزبان هاست

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا