loading...

هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند

آکاایران: هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند

آکاایران: بیگانه ای پرسه می زند

هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند

هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند
سایت «هکرنیوز» گزارش داده است گروه شناسایی تهدیدات پیشرفته امنیتی شرکت مایکروسافت، به تازگی خبر از شناسایی گروهی از مجرمان سایبری به نام پلاتینیوم (PLATINUM) داده است. گروهی که موفق شده اند از مؤلفه به روزرسانی فوری ویندوز برای مقاصد خود بهره برداری کنند. این کار با نفوذ به مکانیزم «Hotpatching» انجام شده است و هکرها می توانند با استفاده از این راهکار بدافزارهای خود را از دید نرم افزارهای امنیتی پنهان سازند.

Hotpatching در اصلاح فنی به وصله سازی زنده یا به روزرسانی پویای نرم افزاری مشهور است. راهکاری که در آن فاقد اینکه به خاموش کردن یا راه اندازی مجدد دستگاه نیازی باشد، وصله مربوطه را روی سیستم عامل نصب می کند. گزارش مایکروسافت نشان می دهد این گروه کار خود را از سال 2009 آغاز کرده اند و در خلال این سال ها موفق شده اند به مراکز مهمی همچون سازمان های دولتی، آژانس های امنیتی، مؤسسات دفاعی و ارائه دهندگان سرویس های ارتباطی در جنوب و جنوب شرق آسیا نفوذ کنند. در مکانیزم تهدید پیشرفته متناوب APT، سرنام Advanced Persistent Threat، اصل مهم پنهان ماندن است. این مدل از تهدید از راهکارهای پیشرفته ای استفاده کرده و در بهترین حالت ممکن به جمع آوری متناوب اطلاعات درباره یک فرد یا یک سازمان اقدام می کند.

در حقیقت تهدید پیشرفته متناوب را می توان زیر مجموعه ای از تهدیدات در نظر گرفت که در یک الگوی درازمدت استفاده می شود و مقصود از آن راه اندازی حملات پیچیده ای است که هدفش سازمان های بزرگ است. در این مدل از حمله هکرها از مجموعه ای گسترده و جامع از تکنیک ها به منظور جمع آوری اطلاعات و داده ها استفاده می کنند. در حالی که این مدل حمله از تکنیک های پیشرفته نفوذ برای جمع آوری اطلاعات استفاده می کند، اما می تواند از تکنیک های دیگری از قبیل فناوری های شنود ارتباطات یا تصویربرداری ماهواره ای برای جمع آوری اطلاعات استفاده کند. در مکانیزم تهدید پیشرفته متناوب هکرها از هر دو گروه ابزارهای رایج و مرسوم همچون بدافزارها و همچنین نسخه سفارشی و توسعه یافته ابزارهای رایج استفاده می کنند. گزارش مایکروسافت نشان می دهد که تمرکز این گروه عمدتاً روی اهداف خاص بوده و به دنبال کسب منافع مالی نبوده اند. در نتیجه احتمال اینکه این گروه هکری توسط سازمان دیگری هدایت و خط دهی شوند، وجود دارد. مؤلفه HotPatching  از سال 2003 و همراه با سیستم عامل ویندوز سرور 2003 توسط مایکروسافت معرفی شد. هکرها با استفاده از این مؤلفه و ترکیب آن با روش «Spear- Phishing»، به شبکه ها نفوذ می کردند. Spear Phishing گونه ای از فیشینگ بوده که هدف آن فرد یا سازمان خاصی است. در این حمله هکرها تا حد امکان سعی می کنند اطلاعات شخصی خاصی را به منظور افزایش ضریب موفقیت خود به دست آورند. گروه پلاتینیوم با بهره برداری از ویژگی HotPatching، ویندوز کدهای مخرب خود را در فرایندهای در حال اجرا تزریق می کردند و در ادامه در های پشتی و بدافزارهای نصب شده روی سیستم قربانی را از دید محصولات ضدبدافزاری پنهان می کردند. مایکروسافت در گزارش خود آورده است که هکرها معمولاً از تکنیک تزریق کد با استفاده از CreateRemoteThread  NtQueueApcThread (برای اجرای یک تهدید پیشرفته مستمر در پردازه های مقصد)، RtlCreatUserThread و NtCreateThreadEx در مؤلفه های ویندوز همچـــــــون lsass.exe، winlogon.exe و schost.exe  استفاده می کنند. در این روش هکرها کدهایی در ساختار یک فایل اجرایی (PE) تزریق کرده اند که این بخش با نام .hotp1 در ساختار سرباره hotpatch قرار می گرفته است. این ساختار همه اطلاعات لازم برای بارگذاری و دسترسی به بخش هایی همچون PAGE_READWRITE را امکان پذیر می کرده است. کارشناسان امنیتی اعلام کرده اند که این گروه موفق به نصب در های پشتی Abdupd، Dipsing و JPIN روی شبکه هایی که سازمان های مختلف و ارائه دهندگان خدمات اینترنتی استفاده می کنند، شده اند و در نهایت حجم قابل ملاحظه ای از اطلاعات را به سرقت برده اند. 
تحلیل ها نشان می دهند که این گروه با هدف کسب فواید مادی این کار را انجام نداده اند، بلکه بیشتر در جست وجوی اطلاعاتی بودند که در جاسوسی های اقتصادی از آن ها استفاده می شود. آمارها نشان می دهد، تمرکز این گروه عمدتاً بر کشورهای اندونزی، چین، هند و مالزی قرار داشته است. در حالی که گروه پلاتینیوم همچنان فعال است و به کار خود ادامه می دهد، اما یکی از کارشناسان امنیتی مایکروسافت اعلام کرده است برای اجتناب از دستبرد این گروه به اطلاعات سازمانی، سازمان ها بهتر است مکانیزم اجرای HotPatching را تنها با مجوز مدیریتی فعال سازند. در این حالت تنها راهکاری که هکرها با استفاده از آن می توانند به مجوزهای مدیریتی دست پیدا کنند، ارسال ایمیل های Spear-phising است که همراه با ایمیل های فیشینگ، مستندات آفیس آلوده ای را برای فریب کاربران و آلوده سازی سیستم آن ها ارسال می کنند. 
به گزارش آکاایران: برای کسب اطلاعات بیشتر به اینجا مراجعه کنید.

==============================

شاید به این مقالات هم علاقمند باشید:

هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند

هکرها ممکن است به چاپگرهای سه بعدی حمله کنند

هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند

هک دو میلیون گذرواژه در اوبونتو

هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند

با این ابزار رایگان کشنده به شکار بدافزارها بروید + لینک دانلود

هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند

چگونه هکرها از سد مکانیزم احراز هویت دو عاملی عبور می کنند؟

هکرها از Hotpatching ویندوز برای اختفا استفاده می کردند

حمله به زیرساخت های انرژی کشورهای اروپایی توسط تروجان "فورتیم"

نگاهی به کنفرانس مایکروسافت در نمایشگاه E3 2016

سرقت اطلاعات از طریق فن رایانه

گوگل به مبارزه با هکرهای کوانتومی آینده برخواسته است

.

منبع : shabakeh-mag.com

تبلیغات