تزریق پروسس جدید ویندوز، مورد استفاده بدافزار‌های مخفی‌کار

دسته بندی ها : اخبار ۲۲ مرداد ۱۳۹۸ فایزه اشرفیان اشرفیان 54 بازدید

محققان امنیتی در SafeBreach، یک شرکت امنیت سایبری که در شبیه‌سازی نفوذ و حمله تخصص دارند، شناخته شده‌ترین روش‌های تزریق پروسس ویندوز (Windows Process Injection) را فهرست‌بندی کرده‌اند. همچنین روش جدیدی را کشف کرده‌اند که ادعا می‌شود مخفی (stealthy) است و می‌تواند از همه محافظت‌های اعمال شده توسط مایکروسافت عبور کند.

بدافزار برای دستیابی به هدف خود می‌تواند از تکنیک‌های تزریق برای تزریق کد طراحی شده به یک فرآیند قانونی جهت انجام یک عمل خاص استفاده کند.بدافزار قادر است با استفاده از تزریق پروسس، عملیات مخفی انجام دهد و مکانیسم‌های امنیتی را دور بزند.

Itzik Kotler ، بنیانگذار و CTO از SafeBreach و Amit Klein، VP تحقیقات امنیتی شرکت، دو دوجین از تزریق پروسس‌های شناخته شده را خلاصه و آزمایش کرده‌اند. تحقیقات آنها پایداری یک تکنیک و پیش نیازها و محدودیت‌های آن را شناسایی می‌کند و APIهای اصلی مورد استفاده آن‌ها را مشخص می‌نماید. در حالی که برخی از روش‌های تزریق در حد تئوری هستند، اما برخی دیگر شناخته شده‌اند و در عمل به صورت گسترده توسط بدافزارها استفاده می‌شوند.

کارشناسان تصمیم گرفتند در صورت پیدا نکردن منبعی که در آن همه تکنیک‌های شناخته شده تزریق پروسس ذکر شده باشد، این وظیفه را به عهده بگیرند. آن‌ها تمام این تکنیک‌ها را در دستگاه Windows 10 x64 در برابر فرآیندهای ۶۴ بیتی آزمایش کردند.

شایان ذکر است که ویندوز ۱۰ شامل چندین ویژگی است که برای محافظت در برابر تزریق پروسس طراحی شده‌اند، از جمله آن‌ها می‌توان به Control Flow Guard (CFG)، Dynamic Code Security، سیاست Binary Signature و Extension Point Disable اشاره کرد.

Kotler و Klein در مصاحبه‌ای پیش از ارائه آنها در کنفرانس فضای سایبری Black Hat در لاس وگاس، به SecurityWeek گفتند که تنها دو مورد از روش‌های آزمایش شده به دلیل محافظت‌های ویندوز ۱۰ کاملاً ناکام مانده‌اند و چهار مورد شامل تکنیکی که آن دو شناسایی کرده‌اند، صرف نظر از سطح حفاظت موثر واقع شده‌اند. کارایی سایر روش‌های تزریق به سطح محافظت بستگی دارد.

به گفته محققان، تزریق پروسسی که قادر به دور زدن مکانیسم‌های محافظت در ویندوز است، به طور معمول تهاجمی بوده و آسان‌تر تشخیص داده می‌شود. با این حال روش تزریق جدید آن‌ها با نام StackBomber ظاهرا بسیار مخفیانه‌تر است که باعث می‌شود برای مهاجمان ارزشمند‌تر باشد و برای انجام کار خود به privilegeهای بالاتر نیاز ندارد.

StackBomber به عنوان یک روش جدید اجرا توصیف شده است که در ترکیب با یک تکنیک جدید نوشتن حافظه که آن نیز به وسیله Kotler و Klein کشف شده، به خوبی کار می‌کند.

مایکروسافت روش‌های تزریق پروسس را به عنوان آسیب‌پذیری نمی‌بیند و به همین جهت آنها تحت پوشش برنامه‌های bug bounty آن نیستند. محققان SafeBreach به SecurityWeek گفتند که یافته‌های خود را به غول فناوری (Microsoft) گزارش داده‌اند، اما همان‌طور که انتظار می‌رود، هیچ اقدام فوری برای StackBomber صورت نگرفته است.

SecurityWeek برای دریافت اظهار نظر مایکروسافت تماس گرفته است و در صورت پاسخ شرکت، این مقاله را به روز خواهد کرد.

SafeBreach تمام proof-of-conceptهایی (PoCs) را که در طول تحقیق از آن‌ها استفاده کرده است، در دسترس قرار داده و یک framework منبع باز به نام PINJECTRA را منتشر نموده که به کاربران اجازه می‌دهد تزریق پروسس‌های خود را ایجاد کنند.

این شرکت مطلع است که یافته‌هایش می‌توانند توسط عوامل بدخواه مورد سوءاستفاده قرار گیرند، اما اظهار دارند هدف آن‌ها کمک به عموم، به ویژه شرکت‌های متخصص در زمینه حمایت از مشتری است، که می‌توانند عوامل دفاعی را در محصولات خود بگنجانند.

به روز رسانی: مایکروسافت بیانیه زیر را به SecurityWeek ارائه داده است: مایکروسافت در قبال امنیت تعهدات جدی دارد و در صورت نیاز اقدامات لازم را برای محافظت از مشتریان انجام خواهد داد.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!