بیگانه‌ای پرسه می‌زند

هکرها از Hotpatching ویندوز برای اختفا استفاده می‌کردند

سایت «هکرنیوز» گزارش داده است گروه شناسایی تهدیدات پیشرفته امنیتی شرکت مایکروسافت، به‌تازگی خبر از شناسایی گروهی از مجرمان سایبری به نام پلاتینیوم (PLATINUM) داده است. گروهی که موفق شده‌اند از مؤلفه‌ به‌روزرسانی فوری ویندوز برای مقاصد خود بهره‌برداری کنند. این کار با نفوذ به مکانیزم «Hotpatching» انجام شده است و هکرها می‌توانند با استفاده از این راهکار بدافزارهای خود را از دید نرم‌افزارهای امنیتی پنهان سازند.

Hotpatching در اصلاح فنی به وصله‌سازی زنده یا به‌روزرسانی پویای نرم‌افزاری مشهور است. راهکاری که در آن بدون اینکه به خاموش کردن یا راه‌اندازی مجدد دستگاه نیازی باشد، وصله مربوطه را روی سیستم‌عامل نصب می‌کند. گزارش مایکروسافت نشان می‌دهد این گروه کار خود را از سال 2009 آغاز کرده‌اند و در خلال این سال‌ها موفق شده‌اند به مراکز مهمی همچون سازمان‌های دولتی، آژانس‌های امنیتی، مؤسسات دفاعی و ارائه‌دهندگان سرویس‌های ارتباطی در جنوب و جنوب شرق آسیا نفوذ کنند. در مکانیزم تهدید پیشرفته متناوب APT، سرنام Advanced Persistent Threat، اصل مهم پنهان ماندن است. این مدل از تهدید از راهکارهای پیشرفته‌ای استفاده کرده و در بهترین حالت ممکن به جمع‌آوری متناوب اطلاعات درباره یک فرد یا یک سازمان اقدام می‌کند.

مطلب پیشنهادی

بیگانه‌ای پرسه می‌زند

بسته نرم‌افزاری Tuto24 حدود 12 میلیون درب پشتی کار گذاشته است

در حقیقت تهدید پیشرفته متناوب را می‌توان زیر مجموعه‌ای از تهدیدات در نظر گرفت که در یک الگوی درازمدت استفاده می‌شود و مقصود از آن راه‌اندازی حملات پیچیده‌ای است که هدفش سازمان‌های بزرگ است. در این مدل از حمله هکرها از مجموعه‌ای گسترده و جامع از تکنیک‌ها به‌منظور جمع‌آوری اطلاعات و داده‌ها استفاده می‌کنند. در حالی که این مدل حمله از تکنیک‌های پیشرفته نفوذ برای جمع‌آوری اطلاعات استفاده می‌کند، اما می‌تواند از تکنیک‌های دیگری از قبیل فناوری‌های شنود ارتباطات یا تصویربرداری ماهواره‌ای برای جمع‌آوری اطلاعات استفاده کند. در مکانیزم تهدید پیشرفته متناوب هکرها از هر دو گروه ابزارهای رایج و مرسوم همچون بدافزارها و همچنین نسخه سفارشی و توسعه‌یافته ابزارهای رایج استفاده می‌کنند. گزارش مایکروسافت نشان می‌دهد که تمرکز این گروه عمدتاً روی اهداف خاص بوده و به دنبال کسب منافع مالی نبوده‌اند. در نتیجه احتمال اینکه این گروه هکری توسط سازمان دیگری هدایت و خط‌دهی شوند، وجود دارد. مؤلفه HotPatching از سال 2003 و همراه با سیستم‌عامل ویندوز سرور 2003 توسط مایکروسافت معرفی شد. هکرها با استفاده از این مؤلفه و ترکیب آن با روش «Spear- Phishing»، به شبکه‌ها نفوذ می‌کردند. Spear Phishing گونه‌ای از فیشینگ بوده که هدف آن فرد یا سازمان خاصی است. در این حمله هکرها تا حد امکان سعی می‌کنند اطلاعات شخصی خاصی را به‌منظور افزایش ضریب موفقیت خود به دست آورند. گروه پلاتینیوم با بهره‌برداری از ویژگی HotPatching، ویندوز کدهای مخرب خود را در فرایندهای در حال اجرا تزریق می‌کردند و در ادامه در‌های پشتی و بدافزارهای نصب‌شده روی سیستم قربانی را از دید محصولات ضدبدافزاری پنهان می‌کردند. مایکروسافت در گزارش خود آورده است که هکرها معمولاً از تکنیک تزریق کد با استفاده از CreateRemoteThread NtQueueApcThread (برای اجرای یک تهدید پیشرفته مستمر در پردازه‌های مقصد)، RtlCreatUserThread و NtCreateThreadEx در مؤلفه‌های ویندوز همچـــــــون lsass.exe، winlogon.exe و schost.exe استفاده می‌کنند. در این روش هکرها کدهایی در ساختار یک فایل اجرایی (PE) تزریق کرده‌اند که این بخش با نام .hotp1 در ساختار سرباره hotpatch قرار می‌گرفته است. این ساختار همه اطلاعات لازم برای بارگذاری و دسترسی به بخش‌هایی همچون PAGE_READWRITE را امکان‌پذیر می‌‌کرده است. کارشناسان امنیتی اعلام کرده‌اند که این گروه موفق به نصب در‌های پشتی Abdupd، Dipsing و JPIN روی شبکه‌هایی که سازمان‌های مختلف و ارائه‌دهندگان خدمات اینترنتی استفاده می‌کنند، شده‌اند و در نهایت حجم قابل ملاحظه‌ای از اطلاعات را به سرقت برده‌اند.
تحلیل‌ها نشان می‌دهند که این گروه با هدف کسب فواید مادی این کار را انجام نداده‌اند، بلکه بیشتر در جست‌وجوی اطلاعاتی بودند که در جاسوسی‌های اقتصادی از آن‌ها استفاده می‌شود. آمارها نشان می‌دهد، تمرکز این گروه عمدتاً بر کشورهای اندونزی، چین، هند و مالزی قرار داشته است. در حالی که گروه پلاتینیوم همچنان فعال است و به کار خود ادامه می‌دهد، اما یکی از کارشناسان امنیتی مایکروسافت اعلام کرده است برای اجتناب از دستبرد این گروه به اطلاعات سازمانی، سازمان‌ها بهتر است مکانیزم اجرای HotPatching را تنها با مجوز مدیریتی فعال سازند. در این حالت تنها راهکاری که هکرها با استفاده از آن می‌توانند به مجوزهای مدیریتی دست پیدا کنند، ارسال ایمیل‌های Spear-phising است که همراه با ایمیل‌های فیشینگ، مستندات آفیس آلوده‌ای را برای فریب کاربران و آلوده‌سازی سیستم آن‌ها ارسال می‌کنند.
برای کسب اطلاعات بیشتر به اینجا مراجعه کنید.

==============================

شاید به این مقالات هم علاقمند باشید: