همه کاربران ویندوز باید بلافاصله به‌روزرسانی شوند زیرا هک «کنترل کامل» تأیید شده است

چند هفته پیش، محققان شرکت امنیت سایبری Eclypsium نشان داد تقریباً تمام سازندگان اصلی سخت‌افزار دارای نقصی هستند که می‌تواند به برنامه‌های مخرب اجازه دهد تا امتیازات هسته را در سطح کاربر به دست آورند و در نتیجه دسترسی مستقیم به سیستم‌افزار و سخت‌افزار را به دست آورند.

محققان فهرستی از فروشندگان و سازندگان سخت افزار بایوس را منتشر کردند که شامل توشیبا، ایسوس، هواوی، اینتل، انویدیا و غیره می شود. این نقص همچنین تمامی نسخه‌های جدید ویندوز شامل ویندوز 7، 8، 8.1 و ویندوز 10 را تحت تأثیر قرار می‌دهد. در حالی که مایکروسافت قبلاً بیانیه‌ای منتشر کرده است که تأیید می‌کند ویندوز دیفندر بیش از حد قادر به رسیدگی به این مشکل است، آنها به نیاز کاربران اشاره نکردند. روی آخرین نسخه ویندوز باشید تا از همین مزیت استفاده کنید. برای نسخه‌های قدیمی‌تر ویندوز، مایکروسافت خاطرنشان کرد که از قابلیت HVCI (Hypervisor-enforced Code Integrity) برای لیست سیاه درایورهایی که به آن‌ها گزارش می‌شوند استفاده می‌کند. متأسفانه، این ویژگی فقط در پردازنده های نسل هفتم و بعدی اینتل موجود است. بنابراین CPUهای قدیمی یا جدیدترهایی که HCVI غیرفعال است، نیاز دارند که درایورها به صورت دستی حذف شوند.

اگر این خبر بد کافی نبود، هکرها اکنون موفق شده اند از این نقص برای سوء استفاده از کاربران استفاده کنند. تروجان دسترسی از راه دور یا RAT سالهاست که وجود دارد، اما پیشرفت‌های اخیر آن را خطرناک‌تر از همیشه کرده است. NanoCore RAT قبلاً در دارک وب با قیمت 25 دلار به فروش می رسید اما در سال 2014 کرک شد و نسخه رایگان آن در اختیار هکرها قرار گرفت. پس از این، ابزار پیچیده شد زیرا افزونه های جدیدی به آن اضافه شد. اکنون، محققان آزمایشگاه LMNTRX افزوده جدیدی را کشف کرده‌اند که به هکرها اجازه می‌دهد از این نقص استفاده کنند و این ابزار اکنون به صورت رایگان در Dark Web در دسترس است.

اگر این ابزار را دست کم گرفته اید، می تواند به هکر اجازه دهد سیستم را از راه دور خاموش یا راه اندازی مجدد کند، فایل ها را از راه دور مرور کند، به Task Manager، ویرایشگر رجیستری و حتی ماوس دسترسی داشته باشد و آن را کنترل کند. نه تنها این، بلکه مهاجم همچنین می تواند صفحات وب را باز کند، نور فعالیت وب کم را غیرفعال کند تا بدون توجه قربانی را جاسوسی کند و صدا و تصویر را ضبط کند. از آنجایی که مهاجم به رایانه دسترسی کامل دارد، می‌تواند رمزهای عبور را بازیابی کند و اعتبار ورود به سیستم را با استفاده از کی لاگر به دست آورد و همچنین رایانه را با رمزگذاری سفارشی قفل کند که می‌تواند مانند باج‌افزار عمل کند.

خبر خوب این است که NanoCore RAT سالهاست که وجود دارد، این نرم افزار برای محققان امنیتی به خوبی شناخته شده است. تیم LMNTRX (از طريق فوربس) تکنیک های تشخیص را به سه دسته اصلی تقسیم کرد:

• T1064 - اسکریپت نویسی: از آنجایی که اسکریپت‌نویسی معمولاً توسط مدیران سیستم برای انجام کارهای روتین استفاده می‌شود، هر گونه اجرای غیرعادی برنامه‌های اسکریپت‌نویسی قانونی، مانند PowerShell یا Wscript، می‌تواند نشانه‌ای از رفتار مشکوک باشد. بررسی فایل‌های آفیس برای کدهای ماکرو همچنین می‌تواند به شناسایی اسکریپت‌های استفاده شده توسط مهاجمان کمک کند. فرآیندهای آفیس، مانند نمونه‌های ایجاد شده در winword.exe از cmd.exe یا برنامه‌های اسکریپت مانند wscript.exe و powershell.exe، ممکن است نشان دهنده فعالیت مخرب باشند.

• T1060 - کلیدهای اجرای رجیستری / پوشه راه اندازی: نظارت بر رجیستری برای تغییرات کلیدهای اجرائی که با نرم افزارهای شناخته شده یا چرخه های وصله مرتبط نیستند، و نظارت بر پوشه شروع برای اضافات یا تغییرات، می تواند به شناسایی بدافزار کمک کند. برنامه‌های مشکوک اجرا شده در هنگام راه‌اندازی ممکن است به‌عنوان فرآیندهای دور از ذهن نشان داده شوند که قبلاً در مقایسه با داده‌های تاریخی دیده نشده‌اند. راه‌حل‌هایی مانند LMNTRIX Respond که این مکان‌های مهم را نظارت می‌کند و برای هر گونه تغییر یا اضافه مشکوک هشدار می‌دهد، می‌تواند به شناسایی این رفتارها کمک کند.

• T1193 - پیوست Spearphishing: سیستم‌های تشخیص نفوذ شبکه، مانند LMNTRIX Detect، می‌توانند برای شناسایی spearphishing با پیوست‌های مخرب در حال انتقال استفاده شوند. در مورد LMNTRIX Detect، اتاق‌های انفجار داخلی می‌توانند پیوست‌های مخرب را بر اساس رفتار تشخیص دهند، نه امضاها. این بسیار مهم است زیرا تشخیص مبتنی بر امضا اغلب در برابر مهاجمانی که بارها را تغییر می دهند و به روز می کنند محافظت نمی کند.

به طور کلی، این تکنیک‌های تشخیص برای سازمان‌ها و برای کاربران شخصی/خانگی اعمال می‌شود، بهترین کاری که در حال حاضر انجام می‌شود این است که هر نرم‌افزار را به‌روزرسانی کنید تا مطمئن شوید که روی آخرین نسخه اجرا می‌شود. این شامل درایورهای ویندوز، نرم افزارهای شخص ثالث و حتی به روز رسانی ویندوز می شود. مهمتر از همه، هیچ ایمیل مشکوکی را دانلود یا باز نکنید یا نرم افزار شخص ثالث را از یک فروشنده ناشناس نصب نکنید.