مشکل عدم مدیریت صحیح پرونده به مهاجمان اجازه می‌دهد تا از تحلیل‌گر FireEye فرار کنند

محققان شرکت امنیتی Blue Frost جزئیات حفره‌ای را منتشر کردند که به آن‌ها اجازه می‌داد تا از موتور تحلیل‌گر FireEye، فرار کنند و بتوانند راهی کوتاه مدت ولی خطرناک به درون فهرست سفید بدافزارهای آن پیدا کنند.
این مشکل که FireEye برای آن اصلاحیه‌ای را منتشر کرده است، به این خاطر است که موتور تحلیل‌گر به درستی نمی‌تواند ورودی‌های مربوط به نام ورودی را پاک‌سازی کرده و بش اسکریپت ویندوز بفرستد.
چنان‌که Blue Frost می‌گوید، باینری‌ها در یک موتور اجرای مجازی (VXE) مورد تجزیه و تحلیل قرار می‌گیرند و بش اسکریپت ویندوز که مورد بحث است باینتری را به یک محل موقت در موتور مجازی رونویسی می‌کند.
مشکل این است که فراتر از دستور رونویسی، برای مثال copy malware.exe “%temp%\fire_in_the_eye.exe هیچ پاک‌سازی دیگری برای اسم پرونده وجود ندارد. «این کار به مهاجمان اجازه می‌دهد تا از متغیرهای محیطی ویندوز در درون اسامی پرونده‌‌های اصلی که داخل بش اسکریپت قرار داده شده‌اند، سوءاستفاده کنند. لازم به گفتن نیست که این کار موجب می‌شود تا یک اسم پرونده‌ی نامعتبر، موجب عدم موفقیت فرآیند رونوشت شود.»
برای مثال:

۱ copy malware.exe “%temp%\FOOC:\Users\admin\AppData\Local\TempBAR.exe”
۲ The filename, directory name, or volume label syntax is incorrect.
۳ ۰ file(s) copied.

این پست ادامه می‌دهد: «بش اسکریپت به کار خود ادامه می‌دهد و تلاش می‌کند تا باینری را تحت یک نام جدید اجرا کند که البته موفق نمی‌شود، زیرا چنین چیزی وجود ندارد.»
نتیجه این می شود که موتور تحلیل‌گر، یک ماشین مجازی خالی را تحلیل می‌کند، بنابراین هیچ بدافزاری را تشخیص نخواهد داد.
این کار به نوبه‌ی خود، می‌تواند موجب بهره‌برداری قرار گرفته به طوری‌که یک هش باینتری MD۵ را درون فهرست سفید درونی FireEye قرار دهد. سپس مهاجم می‌تواند یک باینری مخرب را ارائه کند، و اگر هش MD۵ آن با هش MD۵ فهرست سفید مطابق باشد، برای اجرا مورد تأیید قرار می‌گیرد.
هش‌های MD۵ به صورت روزانه نابود می‌شوند، اما برای مهاجم زمانی کافی وجود دارد تا حفره‌ای به درون سامانه‌ی هدف باز کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap