روز-صفرم ویندوز؛ عصای دست گروه نفوذگر FruityArmor

۶یکی از آسیب‌پذیری روز-صفرم ویندوز که این ماه توسط مایکروسافت وصله شده، با تحقیقات مؤسسه‌ی کسپرسکی بر روی حملاتی پیدا شده که یک گروه تهدید پیشرفته‌ انتخاب کرده‌اند.
کاستین رایو، مدیر تیم تحقیقات و تحلیل کسپرسکی، به SecurityWeek گفت که FruityArmor محققان، فعالان سیاسی و اشخاصی را هدف حمله قرار داده که با سازمان‌های دولتی در ارتباط بوده‌اند. قربانی‌های این گروه در تایلند، ایران، الجزایر، یمن، عربستان سعودی و سوئد شناسایی شده‌اند.
چیزی که گروه FruityArmor را جالب توجه می‌سازد استفاده از آسیب‌پذیری‌های روز-صفرم و بستر حمله‌ی آن است، که کاملاً پیرامون PowerShell بنا شده است؛ PowerShell چارچوب مدیریت و پیکربندی و خودکارسازی مایکروسافت است.
این گروه همچنین از WMI۱ برای تداوم حضور خود استفاده می‌کند، ترکیبی که بیش از پیش توسط عاملان مخرب سایبری مورد بهره‌برداری قرار می‌گیرد.
این ویژگی امکان شناسایی این گروه را بسیار دشوار می‌کند، زیرا هیچ پرونده‌ای روی دیسک ندارد و محتوای مخرب به‌صورت مستقیم روی حافظه اجرا می‌شوند.
محصولات آزمایشگاه کسپرسکی به‌روز شده‌اند تا FruityArmor را داخل حافظه‌ی WMI شناسایی و حذف کنند. همچنین مشترکین گزارش‌های خصوصی APT کسپرسکی یک سری IOC۲ در سطح شبکه را دریافت کرده‌اند که این آلودگی‌ها را شناسایی می‌کند.
بولتن‌های امنیتی اکتبر ۲۰۱۶ مایکروسافت، ۴ آسیب‌پذیری روز-صفرم را وصله نمودند. آسیب‌پذیری که توسط FruityArmor مورد سوءاستفاده واقع شده دارای شناسه‌ی CVE-۲۰۱۶-۳۳۹۳ است؛ مایکروسافت این شکاف را از نوع اجرای از راه دور کد معرفی کرده که نفوذگران می‌توانند برای در اختیار گرفتن کنترل سامانه‌ها از آن سوءاستفاده نمایند.
کسپرسکی در یک پست وب‌لاگی که روز پنج‌شنبه منتشر شد، گفت که FruityArmor از آسیب‌پذیری CVE-۲۰۱۶-۳۳۹۳ برای تشدید امتیاز استفاده کرده است. حملاتی که عاملان پشت پرده‌ی این تهدید پیاده‌سازی کرده‌اند با اتکا بر کدهای نفوذی مربوط به مرورگر عملی شده‌اند، کدهایی که معمولاً با بسته‌های نفوذی تشدید امتیاز ترکیب می‌شوند تا از سندباکس مرورگر فرار کنند.
در مورد FruityArmor، نفوذ به مرورگر همواره با
یک بسته‌ی نفوذی EoP همراه است. این بسته در قالب یک ماژول ظاهر می‌شود، ماژولی که به‌طور مستقیم در حافظه اجرا می‌شود. هدف اصلی این ماژول باز کردن یک قلم یا فونت TTF دست‌کاری شده است که حاوی کد نفوذ به CVE-۲۰۱۶-۳۳۹۳ می‌باشد.
پس از باز شدن، این ماژول به‌صورت مستقیم کد نفوذی را به کمک AddFontMemResourceEx از حافظه بارگذاری می‌کند. پس از سوءاستفاده‌ی موفقیت‌آمیز از CVE-۲۰۱۶-۳۳۹۳، محتوای مخرب مرحله‌ی دوم با امتیازهای به مراتب بالاتری اجرا می‌شود تا PowerShell با اسکریپتی اجرا شود که به کارگزار فرمان‌دهی و کنترل وصل می‌شود.
در ماه‌های گذشته محققان کسپرسکی چندین آسیب‌پذیری روز-صفرم را کشف کرده که گروه‌های APT از آن‌ها در عملیات‌های خود سوءاستفاده نموده‌اند، از جمله‌ی این آسیب‌پذیری‌ها می‌توان به یک مورد اشاره کرد که ادوبی فلش‌پلیر، سیلورلایت و ویندوز را تحت تأثیر قرار داده است.
مورد بعدی یک روز -صفرم است که این ماه توسط مایکروسافت وصله شد، این آسیب‌پذیری اینترنت اکسپلورر را درگیر نموده و در کمپین‌های بدافزاری برای کمک به نفوذگران جهت اجتناب از محققان و سامانه‌های تجزیه و تحلیل خودکار به کار گرفته شده است.

۱. Windows Management Instrumentation
۲. وارونگی کنترل: در مهندسی نرم‌افزار، وارونگی کنترل گونه‌ای از طراحی را توصیف می‌کند که بخش‌های اختصاصی نوشته شده‌ی یک برنامه‌ی رایانه‌ای جریان کنترل را از یک کتابخانه با قابلیت بازاستفاده‌ی عمومی دریافت می‌کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter