حملات جدید به ۳ سیستم عامل پرمخاطب دنیا!

حملات جدید به ۳ سیستم عامل پرمخاطب دنیا! گروه IT اندروید، سیستم عامل انحصاری اپل (مک اواس) و ویندوز هر ۳ از پرطرفدار‌ترین سیستم‌های عامل در دنیا به حساب می‌آیند، طبیعی است به همین علت بیش‌ترین تلاش برای اعمال خرابکارانه بر پلتفرم‌هایی با این ۳ سیستم عامل توسعه پیدا می‌کنند؛ از این جهت حملات و […]

حملات جدید به ۳ سیستم عامل پرمخاطب دنیا!

گروه IT

اندروید، سیستم عامل انحصاری اپل (مک اواس) و ویندوز هر ۳ از پرطرفدار‌ترین سیستم‌های عامل در دنیا به حساب می‌آیند، طبیعی است به همین علت بیش‌ترین تلاش برای اعمال خرابکارانه بر پلتفرم‌هایی با این ۳ سیستم عامل توسعه پیدا می‌کنند؛ از این جهت حملات و یا آسیب‌پذیری جدید که در این ۳ سیستم عامل کشف شده است (با توجه به هشدارهای افتا) را در ادامه تشریح خواهیم کرد.

اندروید و مردی در دیسک!

پژوهشگران Check Point، نوع جدیدی از حملات سایبری در گوشی‌های هوشمند را کشف کردند که از حافظه خارجی آنها بهره می‌گیرد. این نوع حمله Man-in-the-Disk(MitD) یا مرد در دیسک نام گرفته است که باعث تخریب برنامه‌ها و یا اجرای کد مخرب می‌شود.

بعضی از برنامه‌های توسعه داده شده به دلایل مختلفی از قبیل کم بودن فضای حافظه داخلی و عدم تمایل سازنده برنامه به نمایش استفاده از فضای زیاد، از فضای حافظه داخلی کم‌تر استفاده می‌کنند. در عوض، آنها از کاربر می‌خواهند که اجازه دسترسی به فضای حافظه خارجی را تأیید کنند تا فایل‌های به‌خصوص برنامه‌ها در آنجا ذخیره شوند. هنگامی که فایل‌های برنامه در حافظه خارجی قرارداده شوند، حجم برنامه کم‌تر نمایش داده می‌شود و کاربر تمایل بیش‌تری به نصب آن دارد. فضای حافظه خارجی معمولاً فضای باقیمانده از حافظه داخلی، کارت‌های SD و حافظه‌های USB متصل به گوشی است.

حملات مرد در دیسک به دو دلیل رخ می‌دهند:

(۱) هر برنامه‌ای می‌تواند فایل‌های سایر برنامه‌ها در حافظه خارجی را دستکاری کند

(۲) تقریباً تمامی برنامه‌ها دسترسی به حافظه خارجی را از کاربر درخواست می‌کنند و کاربران نیز بدون توجه به خطرهای امنیتی، این دسترسی را تأیید می‌کنند.

پژوهشگران CheckPoint هنگام آزمایش این روش حمله، توانستند یک برنامه مخرب را که به عنوان یک برنامه چراغ‌قوه نمایش داده می‌شود، ایجاد کنند که این برنامه اجازه دسترسی به فضای حافظه خارجی را درخواست می‌کند و از این دسترسی برای حمله استفاده می‌کند.

پژوهشگران اعلام کردند که دو حالت مختلف حمله قابل پیاده‌سازی است. در حالت اول با تغییر فایل‌های سایر برنامه‌ها و قراردادن فایل‌های مخرب، باعث خرابی یا crash این برنامه‌ها می‌شود. زمانی که برنامه‌ای crash شود، امکان قراردادن کد مخرب در داخل برنامه متوقف شده وجود دارد. اگر برنامه متوقف شده دسترسی‌های بیش‌تری داشته باشد، امکان دسترسی مهاجم به اطلاعات حساس وجود دارد.

در حالت دوم حمله، برنامه مهاجم، بر به روزرسانی سایر برنامه‌ها نظارت می‌کند و هنگام دریافت به روزرسانی، به جای فایل به روزرسانی قانونی، برنامه مخرب دانلود می‌شود.

هنگام انجام آزمایش‌ها، برنامه‌های محبوبی شناسایی شدند که نسبت به هر دو رویکرد حمله آسیب‌پذیر هستند. برخی از این برنامه‌ها به‌طور پیش‌فرض در بسیاری از دستگاه‌های اندرویدی نصب شده‌اند. برای مثال، Google Translate، Google Voice Typing، Yandex Translate و Yandex Search نسبت به نوع اول حمله و Xiaomi Browser نسبت به نوع دوم آسیب‌پذیر هستند.

به گفته تیم پژوهشی CheckPoint، وجود این آسیب‌پذیری به دلیل عدم رعایت دستورالعمل‌های امنیتی گوگل است. در این دستورالعمل‌ها موارد زیر ذکر شده‌اند:

• ورودی‌هایی که از حافظه خارجی هستند باید اعتبارسنجی شوند،

• فایل‌های اجرایی و کلاس‌‌ها نباید در حافظه خارجی ذخیره شوند،

• فایل‌های موجود در حافظه خارجی باید قبل از بارگیری امضا و با رمزنگاری تأیید شوند.

تیم CheckPoint توصیه کرده است که امنیت اندروید باید به گونه‌ای تقویت شود که از حملات مرد در دیسک در سطح سیستم‌عامل جلوگیری شود. به توسعه‌دهندگان توصیه می‌شود تا دستورالعمل‌های امنیتی را جدی بگیرند.

منبع:

bleepingcomputer.com

blog .checkpoint.com

نفوذ به Macbook‌ها قبل از اولین ورود کاربر!

اخیراً نقصی در رایانه‌های رومیزی Macbook شناسایی شده است که مهاجم قبل از اولین ورود کاربر به سیستم، در آن نفوذ می‌کند. مهاجم Macbookهایی که از Device Enrollment Program و پلتفرم Mobile Device Management استفاده می‌کنند را تحت تأثیر قرار می‌دهد. کارشناسان باگی را در این ابزارهای راه‌اندازی کشف کرده‌اند که با سوءاستفاده از آن، دسترسی از راه دور به Mac فراهم می‌شود.

وجود این باگ به اطلاع Apple رسیده است و این شرکت در ماه گذشته آن‌ را در High Sierra ۱۰,۱۳.۶ برطرف کرده است. با این حال دستگاه‌هایی که تاریخ ساخت آنها قبل از هفته گذشته است همچنان آسیب‌پذیر هستند و سازمان‌ها باید سیستم‌عامل این رایانه‌ها را به روزرسانی کنند.

منبع:

mspoweruser.com

حملات کرنل جدید در ویندوز

حملات کرنل، حملاتی هستند که در طی سال‌های گذشته مایکروسافت را وادار به پیاده‌سازی راهکارهای محافظتی مانند PatchGuard، Driver Signature Enforcement و SecureBoot کرده است. با این حال، مهاجمین در حال توسعه بدافزارهای کرنلی هستند که این راهکارهای محافظتی را دور بزنند.

پژوهشگران نحوه تجهیز Turla Driver Loader به یک ابزار حمله کرنل بی‌فایل را تشریح کردند. (Turla Driver Loader (TDL به دلیل ارتباط آن با گروه Turla APT نامگذاری شده است و تکنیکی است که برای دور زدن Driver Signature Enforcement در ویندوز، که برای اولین بار در ویندوز ویستا معرفی شد، استفاده می‌شود. این رویکرد محافظتی سیاست‌هایی است که اطمینان حاصل می‌کند که تنها درایورهایی که دارای یک امضا دیجیتال معتبر هستند می‌توانند در کرنل بارگیری شوند. نتیجه آلوده‌سازی یک سیستم با TDL، استخراج مخفیانه اطلاعات یا نفوذ به یک شبکه است. حملات از ابزار هک Squiblydoo/Squiblytwo به همراه ابزار دیگری با نام DotNetToJs برای اجرای کد NET. دلخواه استفاده می‌کند.

هنگامی که یک مهاجم بدافزار را در حالت کرنل اجرا می‌کند، به راحتی می‌تواند هر نرم‌افزار امنیتی که در حال اجرا است را غیرفعال کند. در پاسخ به حملات مشابه TDL، مایکروسافت (Virtualization Based Security)VBS را پیاده‌سازی کرده است که کرنل را در sandbox قرار می‌دهد. این ویژگی در حال حاضر در حال اجرا روی تعداد کمی از دستگاه‌های دارای ویندوز ۱۰ است و همچنین نیاز به به‌روزرسانی سخت‌افزاری دارد. اما پژوهشگران برای دور زدن آن نیز راهی یافته‌اند و با بررسی طراحی VSB نشان دادند که حملات کرنل می‌توانند به‌طور مخفیانه آنتی‌ویروس و نرم‌افزار EDR را حتی اگر VBS و HVCI اعمال شده باشند، غیرفعال کنند.

علاوه بر این، پژوهشگران حملات مخفیانه و مخرب‌تری را نیز توسعه دادند. آنها نشان دادند که چگونه یک حمله مبتنی بر داده می‌تواند برای اجرای حملات

 Return Oriented Programming یا (ROP) به‌کار گرفته شود که به مهاجم اجازه می‌دهد تا توابع کرنل دلخواه را با دسترسی کامل ring۰ اجرا کند.

پژوهشگران روشی را بیان کردند که قابلیت شناسایی اینگونه حملات کرنل مبتنی بر ROP را دارد. این روش از واحد نظارت بر کارایی (PMU) در پردازنده‌های اینتل استفاده می‌کند و می‌توان مهاجم را در لحظه شناسایی و متوقف کند. در نشست Black Hat دو ابزار (Marta و KASR) نیز برای مقابله با بدافزارهای کرنل منتشر شد.

منبع:

threatpost.com