نقص امنیتی جدید ویندوز بنام AtomBombing

0
160
AtomBombing

محققان در مورد بدافزار‌هایی که می‌توانند با استفاده از ویژگی‌های مجاز موجود در ویندوز کد‌های مخرب را به فرآیندها وارد نمایند، هشدار داده‌اند.

محققان امنیتی روش جدیدی را شناسایی نموده‌اند که امکان وارد کردن کد‌های مخرب به فرآیندهای دیگر را برای بدافزار فراهم می‌کند؛ این روش توسط آنتی‌ ویروس‌ها و سایر سیستم‌های امنیتی موجود در Endpoint‌ها قابل شناسایی نمی‌باشد.

این روش جدید از سوی محققان شرکت امنیتی Ensilo ارائه گردیده و AtomBombing نام گرفته است؛ این نام‌گذاری به دلیل استفاده این روش از مکانیسم جدول‌های اتمی ویندوز می‌باشد. این جداول از طریق سیستم‌‌عامل‌ها ارائه شده و برای اشتراک‌گذاری داده‌ها بین برنامه‌های کاربردی مورد استفاده قرار می‌گیرد.

به گفته یکی از محققان این شرکت، عامل تهدیدکننده می‌تواند کد مخرب را در جدول اتمی وارد نموده و یک برنامه مجاز را وادار به بازیابی کد مخرب از جدول نماید. ضمن اینکه برنامه‌های مجاز در حال حاضر دربردارنده کد مخربی هستند که برای اجرای این کد می‌توان آن را دستکاری نمود.

وی افزود: در حال حاضر این تکنیک جدید Code-Injection، از طریق برنامه‌های امنیتی در Endpoint‌ها و آنتی‌ویروس‌‌ها قابل شناسایی نمی‌باشد، زیرا مبتنی بر یک عملکرد مجاز در سیستم می‌باشد. علاوه بر این، مکانیسم جدول‌های اتمی در تمامی نسخه‌های ویندوز وجود دارد و از آنجایی که آسیب‌پذیری محسوب نمی‌شود، امکان Patch نمودن آن نیز وجود ندارد.

بدافزار‌ها به دلایل مختلفی از تکنیک‌های Code-Injection استفاده می‌کنند. به عنوان مثال، تروجان Banking کد مخرب را در فرآیندهای مرورگر وارد می‌کند که وب‌سایت‌های نمایش داده شده به صورت Local (معمولا وب‌سایت‌های بانکداری) را مانیتور و تغییر دهد؛ بدین ترتیب اطلاعات Login و اطلاعات کارت‌ پرداخت مشتریان را به سرقت برده و یا تراکنش‌ها را به صورت مخفیانه به حساب‌های کاربری آنها هدایت می‌نماید.

همچنین می‌توان از این تکنیک برای عبور از محدودیت‌ها استفاده نموده و امکان دسترسی به داده‌های خاصی را صرفا از طریق فرآیندهایی خاص فراهم کرد. به عنوان مثال، برای سرقت رمز عبور از سایر برنامه‌ها یا گرفتن عکس از دسکتاپ کاربران در شرایطی که بدافزار دسترسی‌های مورد نیاز در این رابطه را دارا نمی‌باشد.

در حال حاضر تکنیک‌های شناخته شده‌ی معدودی برای Code-Injection وجود داشته و تعداد زیادی از محصولات امنیتی دارای مکانیسم مناسب برای شناسایی آنها می‌باشند.

بهرحال AtomBombing به عنوان یک تکنیک جدیدِ Code-Injection، از آنتی‌ ویروس و سایر راهکارهای پیشگیری از نفوذ به Endpoint، عبور می‌نماید.

Liviu Arsene، از تحلیل‌گران ارشد تهدیدات الکترونیک در Bitdefender عنوان کرد: حتی در صورت Exploit نشدن آسیب‌پذیری در نرم‌افزار، باز هم فروشندگان محصولات امنیتی می‌توانند Payloadهای مخرب را شناسایی و مسدود نمایند. در صورتی که Payload اجرا شده و اقدام به وارد نمودن کد مخرب در برنامه‌های مجاز و قانونی نماید، باز هم امکان شناسایی و متوقف نمودن این فرآیند وجود دارد، زیرا Vendorهای امنیتی غالبا فرآیندها و سرویس‌ها را در سراسر چرخه اجرا مانیتور می‌کنند.

به گفته یکی از نمایندگان شرکت مایکروسافت، این شرکت به منظور جلوگیری از این آلودگی بدافزاری، مشتریان خود را تشویق به انجام کار‌های خود با دقت بیشتر به خصوص در شرایط آنلاین می‌نماید. از جمله اقداماتی که می‌توان در این زمینه انجام داد دقت برای کلیک بر روی لینک‌ها در صفحات وب، باز کردن فایل‌های ناشناس یا پذیرفتن فرآیند انتقال فایل‌ها می‌باشد. زیرا قبل از آنکه نرم‌افزار بتواند از تکنیک Code-Injection استفاده نماید، سیستم باید در معرض خطر داشته باشد.

بدون دیدگاه

دیدگاهتان را بنویسید

*