همه کاربران ویندوز باید بلافاصله بهروزرسانی شوند زیرا هک «کنترل کامل» تأیید شده است
4 دقیقه خواندن
به روز شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
چند هفته پیش، محققان شرکت امنیت سایبری Eclypsium نشان داد تقریباً تمام سازندگان اصلی سختافزار دارای نقصی هستند که میتواند به برنامههای مخرب اجازه دهد تا امتیازات هسته را در سطح کاربر به دست آورند و در نتیجه دسترسی مستقیم به سیستمافزار و سختافزار را به دست آورند.
محققان فهرستی از فروشندگان و سازندگان سخت افزار بایوس را منتشر کردند که شامل توشیبا، ایسوس، هواوی، اینتل، انویدیا و غیره می شود. این نقص همچنین تمامی نسخههای جدید ویندوز شامل ویندوز 7، 8، 8.1 و ویندوز 10 را تحت تأثیر قرار میدهد. در حالی که مایکروسافت قبلاً بیانیهای منتشر کرده است که تأیید میکند ویندوز دیفندر بیش از حد قادر به رسیدگی به این مشکل است، آنها به نیاز کاربران اشاره نکردند. روی آخرین نسخه ویندوز باشید تا از همین مزیت استفاده کنید. برای نسخههای قدیمیتر ویندوز، مایکروسافت خاطرنشان کرد که از قابلیت HVCI (Hypervisor-enforced Code Integrity) برای لیست سیاه درایورهایی که به آنها گزارش میشوند استفاده میکند. متأسفانه، این ویژگی فقط در پردازنده های نسل هفتم و بعدی اینتل موجود است. بنابراین CPUهای قدیمی یا جدیدترهایی که HCVI غیرفعال است، نیاز دارند که درایورها به صورت دستی حذف شوند.
اگر این خبر بد کافی نبود، هکرها اکنون موفق شده اند از این نقص برای سوء استفاده از کاربران استفاده کنند. تروجان دسترسی از راه دور یا RAT سالهاست که وجود دارد، اما پیشرفتهای اخیر آن را خطرناکتر از همیشه کرده است. NanoCore RAT قبلاً در دارک وب با قیمت 25 دلار به فروش می رسید اما در سال 2014 کرک شد و نسخه رایگان آن در اختیار هکرها قرار گرفت. پس از این، ابزار پیچیده شد زیرا افزونه های جدیدی به آن اضافه شد. اکنون، محققان آزمایشگاه LMNTRX افزوده جدیدی را کشف کردهاند که به هکرها اجازه میدهد از این نقص استفاده کنند و این ابزار اکنون به صورت رایگان در Dark Web در دسترس است.
اگر این ابزار را دست کم گرفته اید، می تواند به هکر اجازه دهد سیستم را از راه دور خاموش یا راه اندازی مجدد کند، فایل ها را از راه دور مرور کند، به Task Manager، ویرایشگر رجیستری و حتی ماوس دسترسی داشته باشد و آن را کنترل کند. نه تنها این، بلکه مهاجم همچنین می تواند صفحات وب را باز کند، نور فعالیت وب کم را غیرفعال کند تا بدون توجه قربانی را جاسوسی کند و صدا و تصویر را ضبط کند. از آنجایی که مهاجم به رایانه دسترسی کامل دارد، میتواند رمزهای عبور را بازیابی کند و اعتبار ورود به سیستم را با استفاده از کی لاگر به دست آورد و همچنین رایانه را با رمزگذاری سفارشی قفل کند که میتواند مانند باجافزار عمل کند.
خبر خوب این است که NanoCore RAT سالهاست که وجود دارد، این نرم افزار برای محققان امنیتی به خوبی شناخته شده است. تیم LMNTRX (از طريق فوربس) تکنیک های تشخیص را به سه دسته اصلی تقسیم کرد:
- T1064 - اسکریپت نویسی: از آنجایی که اسکریپتنویسی معمولاً توسط مدیران سیستم برای انجام کارهای روتین استفاده میشود، هر گونه اجرای غیرعادی برنامههای اسکریپتنویسی قانونی، مانند PowerShell یا Wscript، میتواند نشانهای از رفتار مشکوک باشد. بررسی فایلهای آفیس برای کدهای ماکرو همچنین میتواند به شناسایی اسکریپتهای استفاده شده توسط مهاجمان کمک کند. فرآیندهای آفیس، مانند نمونههای ایجاد شده در winword.exe از cmd.exe یا برنامههای اسکریپت مانند wscript.exe و powershell.exe، ممکن است نشان دهنده فعالیت مخرب باشند.
- T1060 - کلیدهای اجرای رجیستری / پوشه راه اندازی: نظارت بر رجیستری برای تغییرات کلیدهای اجرائی که با نرم افزارهای شناخته شده یا چرخه های وصله مرتبط نیستند، و نظارت بر پوشه شروع برای اضافات یا تغییرات، می تواند به شناسایی بدافزار کمک کند. برنامههای مشکوک اجرا شده در هنگام راهاندازی ممکن است بهعنوان فرآیندهای دور از ذهن نشان داده شوند که قبلاً در مقایسه با دادههای تاریخی دیده نشدهاند. راهحلهایی مانند LMNTRIX Respond که این مکانهای مهم را نظارت میکند و برای هر گونه تغییر یا اضافه مشکوک هشدار میدهد، میتواند به شناسایی این رفتارها کمک کند.
- T1193 - پیوست Spearphishing: سیستمهای تشخیص نفوذ شبکه، مانند LMNTRIX Detect، میتوانند برای شناسایی spearphishing با پیوستهای مخرب در حال انتقال استفاده شوند. در مورد LMNTRIX Detect، اتاقهای انفجار داخلی میتوانند پیوستهای مخرب را بر اساس رفتار تشخیص دهند، نه امضاها. این بسیار مهم است زیرا تشخیص مبتنی بر امضا اغلب در برابر مهاجمانی که بارها را تغییر می دهند و به روز می کنند محافظت نمی کند.
به طور کلی، این تکنیکهای تشخیص برای سازمانها و برای کاربران شخصی/خانگی اعمال میشود، بهترین کاری که در حال حاضر انجام میشود این است که هر نرمافزار را بهروزرسانی کنید تا مطمئن شوید که روی آخرین نسخه اجرا میشود. این شامل درایورهای ویندوز، نرم افزارهای شخص ثالث و حتی به روز رسانی ویندوز می شود. مهمتر از همه، هیچ ایمیل مشکوکی را دانلود یا باز نکنید یا نرم افزار شخص ثالث را از یک فروشنده ناشناس نصب نکنید.