هکرهای چینی با استفاده از دو ابزار منبع باز برای امضا و بارگذاری درایورهای حالت هسته مخرب در نقاط پایانی در معرض خطر شناسایی شده اند.
به گفته محققان امنیت سایبری از Cisco Talos که این کمپین را مشاهده کردند، این به مهاجمان بالاترین سطح امتیاز ممکن را میدهد. آنها در تحلیل خود گفتند: “این یک تهدید بزرگ است، زیرا دسترسی به هسته دسترسی کامل به یک سیستم و در نتیجه سازش کامل را فراهم می کند.”
دو ابزار منبع باز مورد بحث HookSignalTool و FuckCertVerifyTimeValidity نام دارند. این دو تقریباً پنج سال است که وجود دارند و برای دانلود در GitHub در دسترس هستند. وظیفه اصلی آنها این بود که به متقلبان بازی اجازه دهند بازی ها را اصلاح کنند و مزیت های ناعادلانه به دست آورند.
اما در این مثال، هکرهای چینی از آن در سیستمهایی که قبلاً نقض شده بودند استفاده کردند تا تاریخ امضای درایورهای مخرب را قبل از 29 جولای 2015 تغییر دهند. با تغییر تاریخ، میتوانند از درایورهای قدیمیتر و مخرب استفاده کنند، آنها را در سیستم عامل بارگذاری کنند و در نتیجه سیستم را به دست آورند. قابلیت های مدیریت
سپس محققان یک نمونه واقعی را به نمایش گذاشتند. آنها از HookSignTool برای بارگذاری یک درایور مخرب به نام “RedDriver” استفاده کردند که به آنها کمک کرد ترافیک مرورگرهای محبوب ترین مرورگرهای جهان – کروم، اج و فایرفاکس را رهگیری کنند. آنها همچنین توانستند ترافیکی را که از طریق مرورگرهای رایج در چین انجام می شود، رهگیری کنند.
محققان گفتند: “FuckCertVerifyTimeValidity به روشی مشابه HookSignTool عمل می کند، زیرا از بسته Detours مایکروسافت برای اتصال به تماس API “CertVerifyTimeValidity” استفاده می کند و مهر زمانی را روی تاریخ انتخابی تنظیم می کند. برخلاف HookSignTool، FuckCertVerifyTimeValidity مصنوعات را در باینری که امضا میکند باقی نمیگذارد و تشخیص زمان استفاده از این ابزار را بسیار دشوار میکند.
تحلیل: چرا مهم است؟
همه آسیب پذیری ها یکسان نیستند. سوء استفاده از برخی سخت تر است، در حالی که برخی دیگر دارای بهره برداری های کاری در طبیعت هستند. آسیبپذیریهایی مانند این، که دارای یک اکسپلویت فعال هستند که میتوانند به راحتی آن را حتی توسط هکرهای کمماهر شناسایی و استفاده کنند، بسیار خطرناک هستند. این نقص با دانستن اینکه توسط هکرهای چینی کشف شده است حتی خطرناک تر است. این بازیگران تهدید، به ویژه اگر تحت حمایت دولت باشند، همیشه به دنبال راه های جدید هستند و اهداف آنها معمولاً جاسوسی سایبری، داده ها و دزدی هویتو اختلال در سیستم های زیرساختی حیاتی. کارشناسان امنیت سایبری با شناسایی و مسدود کردن این راهها، وضعیت کلی امنیت سایبری سازمانهای بزرگ در کشورهای خود را تا حد زیادی بهبود میبخشند.
در این مورد خاص، کلاهبرداران سایبری از تکنیکی استفاده می کنند که به عنوان راننده آسیب پذیر خود را بیاورید (BYOVD). این یک تکنیک محبوب با یک فرض ساده است: یک درایور قدیمی با یک آسیب پذیری شناخته شده را در یک سیستم نصب کنید و سپس از آن آسیب پذیری برای دستیابی به دسترسی، افزایش امتیازات و در نهایت نصب بدافزار استفاده کنید.
برای دفاع در برابر این تهدید، محققان سیسکو تالو توصیه می کنند تمام گواهینامه های ذکر شده را مسدود کنید اینجا، زیرا تیم های فناوری اطلاعات برای شناسایی درایورهای مخرب خود به مشکل بر می خورند. علاوه بر این، این موارد به طور موثر بر اساس هش فایل یا گواهی هایی که برای امضای آنها استفاده می شود، مسدود می شوند. محققان همچنین گفتند که مایکروسافت تمامی گواهیهای فوق را مسدود کرده است و کاربران میتوانند برای اطلاعات بیشتر به مشاوره مایکروسافت مراجعه کنند.
آنها گفتند: “مایکروسافت یک لیست بلاک درایورها را در ویندوز پیاده سازی و نگهداری می کند، اگرچه روی درایورهای آسیب پذیر به جای درایورهای مخرب متمرکز شده است.” “به این ترتیب، این لیست بلاک نباید تنها برای مسدود کردن روت کیت ها یا درایورهای مخرب باشد.”
دیگران در مورد این حملات چه گفته اند؟
در نگارش آن، Ars Technica مایکروسافت را به طور آزمایشی مورد انتقاد قرار داد و گفت که همچنان به مشکل درایورهای مخرب مورد استفاده در سناریوهای پس از اکسپلویت به عنوان یک بازی ضرب و شتم برخورد می کند. در این بیانیه آمده است: «رویکرد این است که درایورهایی را مسدود کنیم که به طور مخرب مورد استفاده قرار میگیرند، اما هیچ کاری برای بستن این شکاف انجام نمیشود. این به مهاجمان اجازه می دهد تا به سادگی از یک دسته جدید از درایورها برای انجام همان کار استفاده کنند. همانطور که در گذشته و بارها نشان داده شده است، مایکروسافت اغلب در شناسایی درایورهایی که سال ها به طور مخرب استفاده شده اند، شکست می خورد.
با این حال، همان مقاله تأکید میکند که یافتن راهحل کار سختی است، زیرا بسیاری از رانندگان آسیبپذیر هنوز – به طور قانونی – توسط بسیاری از مشتریان پرداختکننده استفاده میشوند. لغو چنین درایورهایی می تواند باعث شود که نرم افزارهای مهم در سراسر جهان به طور ناگهانی از کار بیفتند.
به گفته این نشریه، خط نقره ای این است که برای اینکه نقص کار کند، سیستم باید از قبل مورد بهره برداری قرار گیرد، بنابراین بهترین دفاع این است که در وهله اول به خطر نیفتید.
Bleeping Computerاز سوی دیگر، با مایکروسافت تماس گرفت و به او گفته شد که این نقص باعث دریافت CVE نمی شود زیرا شرکت این را به عنوان یک آسیب پذیری نمی بیند. این نشریه میگوید: «در حالی که گواهیهای کشفشده توسط سیسکو و سوفوس اکنون باطل شدهاند، خطر از بین رفتن آن دور است، زیرا گواهیهای بیشتر احتمالاً در معرض یا سرقت باقی میمانند و به عوامل تهدید اجازه میدهد به سوء استفاده از این شکاف سیاست ویندوز ادامه دهند.» یادآوری میکند که Sophos بیش از صد درایور هسته مخرب را پیدا کرده است که بهعنوان «قاتل EDR» برای خاموش کردن نرمافزار امنیتی استفاده میشوند.
عمیق تر برو
اگر می خواهید بیشتر بدانید، با خواندن ادامه مطلب شروع کنید آخرین حرکات مایکروسافت برای جلوگیری از وقوع چنین حملاتی در وهله اول. پس از آن، مطمئن شوید که لیست ما را بررسی کنید بهترین برنامه های آنتی ویروس در اطراف، و همچنین بهترین حذف بدافزار برنامه ها. در نهایت، شما باید راهنمای عمیق ما را در مورد مطالعه بخوانید بهترین فایروال های امروزی.
آخرین دیدگاهها