حملات جدید به ۳ سیستم عامل پرمخاطب دنیا! گروه IT اندروید، سیستم عامل انحصاری اپل (مک اواس) و ویندوز هر ۳ از پرطرفدارترین سیستمهای عامل در دنیا به حساب میآیند، طبیعی است به همین علت بیشترین تلاش برای اعمال خرابکارانه بر پلتفرمهایی با این ۳ سیستم عامل توسعه پیدا میکنند؛ از این جهت حملات و […]
حملات جدید به ۳ سیستم عامل پرمخاطب دنیا!
گروه IT
اندروید، سیستم عامل انحصاری اپل (مک اواس) و ویندوز هر ۳ از پرطرفدارترین سیستمهای عامل در دنیا به حساب میآیند، طبیعی است به همین علت بیشترین تلاش برای اعمال خرابکارانه بر پلتفرمهایی با این ۳ سیستم عامل توسعه پیدا میکنند؛ از این جهت حملات و یا آسیبپذیری جدید که در این ۳ سیستم عامل کشف شده است (با توجه به هشدارهای افتا) را در ادامه تشریح خواهیم کرد.
اندروید و مردی در دیسک!
پژوهشگران Check Point، نوع جدیدی از حملات سایبری در گوشیهای هوشمند را کشف کردند که از حافظه خارجی آنها بهره میگیرد. این نوع حمله Man-in-the-Disk(MitD) یا مرد در دیسک نام گرفته است که باعث تخریب برنامهها و یا اجرای کد مخرب میشود.
بعضی از برنامههای توسعه داده شده به دلایل مختلفی از قبیل کم بودن فضای حافظه داخلی و عدم تمایل سازنده برنامه به نمایش استفاده از فضای زیاد، از فضای حافظه داخلی کمتر استفاده میکنند. در عوض، آنها از کاربر میخواهند که اجازه دسترسی به فضای حافظه خارجی را تأیید کنند تا فایلهای بهخصوص برنامهها در آنجا ذخیره شوند. هنگامی که فایلهای برنامه در حافظه خارجی قرارداده شوند، حجم برنامه کمتر نمایش داده میشود و کاربر تمایل بیشتری به نصب آن دارد. فضای حافظه خارجی معمولاً فضای باقیمانده از حافظه داخلی، کارتهای SD و حافظههای USB متصل به گوشی است.
حملات مرد در دیسک به دو دلیل رخ میدهند:
(۱) هر برنامهای میتواند فایلهای سایر برنامهها در حافظه خارجی را دستکاری کند
(۲) تقریباً تمامی برنامهها دسترسی به حافظه خارجی را از کاربر درخواست میکنند و کاربران نیز بدون توجه به خطرهای امنیتی، این دسترسی را تأیید میکنند.
پژوهشگران CheckPoint هنگام آزمایش این روش حمله، توانستند یک برنامه مخرب را که به عنوان یک برنامه چراغقوه نمایش داده میشود، ایجاد کنند که این برنامه اجازه دسترسی به فضای حافظه خارجی را درخواست میکند و از این دسترسی برای حمله استفاده میکند.
پژوهشگران اعلام کردند که دو حالت مختلف حمله قابل پیادهسازی است. در حالت اول با تغییر فایلهای سایر برنامهها و قراردادن فایلهای مخرب، باعث خرابی یا crash این برنامهها میشود. زمانی که برنامهای crash شود، امکان قراردادن کد مخرب در داخل برنامه متوقف شده وجود دارد. اگر برنامه متوقف شده دسترسیهای بیشتری داشته باشد، امکان دسترسی مهاجم به اطلاعات حساس وجود دارد.
در حالت دوم حمله، برنامه مهاجم، بر به روزرسانی سایر برنامهها نظارت میکند و هنگام دریافت به روزرسانی، به جای فایل به روزرسانی قانونی، برنامه مخرب دانلود میشود.
هنگام انجام آزمایشها، برنامههای محبوبی شناسایی شدند که نسبت به هر دو رویکرد حمله آسیبپذیر هستند. برخی از این برنامهها بهطور پیشفرض در بسیاری از دستگاههای اندرویدی نصب شدهاند. برای مثال، Google Translate، Google Voice Typing، Yandex Translate و Yandex Search نسبت به نوع اول حمله و Xiaomi Browser نسبت به نوع دوم آسیبپذیر هستند.
به گفته تیم پژوهشی CheckPoint، وجود این آسیبپذیری به دلیل عدم رعایت دستورالعملهای امنیتی گوگل است. در این دستورالعملها موارد زیر ذکر شدهاند:
• ورودیهایی که از حافظه خارجی هستند باید اعتبارسنجی شوند،
• فایلهای اجرایی و کلاسها نباید در حافظه خارجی ذخیره شوند،
• فایلهای موجود در حافظه خارجی باید قبل از بارگیری امضا و با رمزنگاری تأیید شوند.
تیم CheckPoint توصیه کرده است که امنیت اندروید باید به گونهای تقویت شود که از حملات مرد در دیسک در سطح سیستمعامل جلوگیری شود. به توسعهدهندگان توصیه میشود تا دستورالعملهای امنیتی را جدی بگیرند.
منبع:
bleepingcomputer.com
blog .checkpoint.com
نفوذ به Macbookها قبل از اولین ورود کاربر!
اخیراً نقصی در رایانههای رومیزی Macbook شناسایی شده است که مهاجم قبل از اولین ورود کاربر به سیستم، در آن نفوذ میکند. مهاجم Macbookهایی که از Device Enrollment Program و پلتفرم Mobile Device Management استفاده میکنند را تحت تأثیر قرار میدهد. کارشناسان باگی را در این ابزارهای راهاندازی کشف کردهاند که با سوءاستفاده از آن، دسترسی از راه دور به Mac فراهم میشود.
وجود این باگ به اطلاع Apple رسیده است و این شرکت در ماه گذشته آن را در High Sierra ۱۰,۱۳.۶ برطرف کرده است. با این حال دستگاههایی که تاریخ ساخت آنها قبل از هفته گذشته است همچنان آسیبپذیر هستند و سازمانها باید سیستمعامل این رایانهها را به روزرسانی کنند.
mspoweruser.com
حملات کرنل جدید در ویندوز
حملات کرنل، حملاتی هستند که در طی سالهای گذشته مایکروسافت را وادار به پیادهسازی راهکارهای محافظتی مانند PatchGuard، Driver Signature Enforcement و SecureBoot کرده است. با این حال، مهاجمین در حال توسعه بدافزارهای کرنلی هستند که این راهکارهای محافظتی را دور بزنند.
پژوهشگران نحوه تجهیز Turla Driver Loader به یک ابزار حمله کرنل بیفایل را تشریح کردند. (Turla Driver Loader (TDL به دلیل ارتباط آن با گروه Turla APT نامگذاری شده است و تکنیکی است که برای دور زدن Driver Signature Enforcement در ویندوز، که برای اولین بار در ویندوز ویستا معرفی شد، استفاده میشود. این رویکرد محافظتی سیاستهایی است که اطمینان حاصل میکند که تنها درایورهایی که دارای یک امضا دیجیتال معتبر هستند میتوانند در کرنل بارگیری شوند. نتیجه آلودهسازی یک سیستم با TDL، استخراج مخفیانه اطلاعات یا نفوذ به یک شبکه است. حملات از ابزار هک Squiblydoo/Squiblytwo به همراه ابزار دیگری با نام DotNetToJs برای اجرای کد NET. دلخواه استفاده میکند.
هنگامی که یک مهاجم بدافزار را در حالت کرنل اجرا میکند، به راحتی میتواند هر نرمافزار امنیتی که در حال اجرا است را غیرفعال کند. در پاسخ به حملات مشابه TDL، مایکروسافت (Virtualization Based Security)VBS را پیادهسازی کرده است که کرنل را در sandbox قرار میدهد. این ویژگی در حال حاضر در حال اجرا روی تعداد کمی از دستگاههای دارای ویندوز ۱۰ است و همچنین نیاز به بهروزرسانی سختافزاری دارد. اما پژوهشگران برای دور زدن آن نیز راهی یافتهاند و با بررسی طراحی VSB نشان دادند که حملات کرنل میتوانند بهطور مخفیانه آنتیویروس و نرمافزار EDR را حتی اگر VBS و HVCI اعمال شده باشند، غیرفعال کنند.
علاوه بر این، پژوهشگران حملات مخفیانه و مخربتری را نیز توسعه دادند. آنها نشان دادند که چگونه یک حمله مبتنی بر داده میتواند برای اجرای حملات
Return Oriented Programming یا (ROP) بهکار گرفته شود که به مهاجم اجازه میدهد تا توابع کرنل دلخواه را با دسترسی کامل ring۰ اجرا کند.
پژوهشگران روشی را بیان کردند که قابلیت شناسایی اینگونه حملات کرنل مبتنی بر ROP را دارد. این روش از واحد نظارت بر کارایی (PMU) در پردازندههای اینتل استفاده میکند و میتوان مهاجم را در لحظه شناسایی و متوقف کند. در نشست Black Hat دو ابزار (Marta و KASR) نیز برای مقابله با بدافزارهای کرنل منتشر شد.
threatpost.com
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.