پروژه Anglefire
سازمان‌های جاسوسی با دستکاری بوت‌سکتور ویندوز اطلاعات را سرقت می‌کنند
11 شهريور 1396
گزارشی که به تازگی از سوی ویکی‌لیکس منتشر شده نشان می‌دهد سازمان‌های جاسوسی به دنبال آن‌ هستند تا به هر شکل ممکن در سکتور راه‌انداز ویندوز تغییر به وجود آورند. تغییری که به آن‌ها اجازه می‌دهد پی‌لودهای بیشتری را روی سیستم قربانی مستقر کنند.

پروژه فوق تحت عنوان Anglefire حداقل از پنج سال پیش و همزمان با معرفی ویندوز 8 به مرحله اجرا در آمده و سیستم‌عامل‌های ویندوز ایکس‌پی و ویندوز 7 را اهداف قرار داده است. بنابر گزارش‌های منتشر شده هنوز هم طیف گسترده‌ای از سازمان‌های خصوصی و دولتی و همچنین کاربران از سیستم‌عامل‌های فوق استفاده می‌کنند، به همین دلیل جای تعجب نیست که این پروژه دو سیستم‌عامل فوق را هدف قرار داده است.

مطلب پیشنهادی

مورد عجیب هرزنامه‌ها، سه‌شنبه‌ها مراقب اسپم باشید!
ارسال هرزنامه‌ها بر اساس برآورد علمی

پروژه فوق از پنج ابزار مختلف با کاربردهای مختلف که همگی آن‌ها با یکدیگر در ارتباط هستند استفاده می‌کند تا سیستم‌ قربانیان را آلوده سازد. در گام اول مولفه Solartime اجرا می‌شود و سکتور راه‌انداز ویندوز را دستکاری می‌کند. در ادامه مولفه دوم مولفه wolfcreek دانلود شده که شامل یکسری درایورهای موردنیاز است که برای دانلود برنامه‌ها و درایورهای پی‌لود دیگر مورد استفاده قرار می‌گیرد. در مرحله بعد مولفه سوم به نام Keystone اجرا شده تا به سازمان‌های جاسوسی اجازه دهد بدافزارهای بیشتری را روی سامانه قربانیان نصب کنند. در مرحله چهارم مولفه BadMFS اجرا می‌شود که یک سامانه ذخیره‌ساز فایل‌ها است که همه مولفه‌ها و الگوریتم‌های رمزنگاری و مبهم‌سازی مورد نیاز درون آن قرار دارد.

مطلب پیشنهادی

 با Firefox Send فایل‌های حجیم خود را با امنیت به دیگران برسانید

در نهایت مولفه آخر یک سیستم فایلی Transitory  ویندوز (Windows Transitory File System) است که با هدف جایگزین کردن BadMFS مورد استفاده قرار می‌گیرد. این سیستم فایلی به این منظور طراحی شده تا از فایل‌های موقتی به جای فایل سیستم اصلی برای ذخیره‌سازی اطلاعات محلی استفاده کند. در حالی که سازوکار به کار رفته در پروژه فوق پیچیده هستند اما یکسری اشکالات نرم‌افزاری باعث شده است تا شناسایی آن ساده شود. به‌طور مثال، مولفه Keystone سعی می‌کند خود را یک نسخه svchost.exe معرفی کند که در مسیر C:\windows\system32 قرار دارد. همین موضوع باعث شده است تا اگر سیستم‌عامل روی درایوهای دیگری نصب شده باشد این مولفه به سادگی قابل شناسایی باشد. همچنین سیستم فایلی BadMFs فایلی با پسوند zf ایجاد می‌کند که ممکن است از سوی کاربران شناسایی شود.


ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه         ثبت اشتراک نسخه  آنلاین 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

برچسب: 

مطالب پربازدید

توسعه و پشتیبانی توسط : ایران دروپال
پشتیبانی توسط ایران دروپال