سهشنبه 03 مهر 1403 - 12:06
جزئیاتی از یک حمله Back Door جدید با هدف سیستمهای ویندوز
ایسنا/ محققان اخیراً یک در پشتی جدید به نام BITSLOTH در ویندوز کشف کردهاند که سیستمهای ویندوزی را هدف قرار میدهد و از سرویس (BITS) برای عملیات فرمان و کنترل (C2) بهره میبرد.
Back Door یا درپشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر میکند. در این روش هکرها با دور زدن مکانیزم های امنیتی به صورت غیرمجاز به سیستم کاربران دسترسی پیدا می کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی شوند چون که آن ها در پس زمینه سیستم کاربران فعالیت می کنند و شناسایی آن ها برای کاربران عادی کار سختی است.
درحقیقت Back Door یا درپشتی، از راههای مختلف به هکرها این امکان را میدهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولاً هکرها برای کنترل سیستم کاربران از بدافزارها استفاده میکنند؛ آنها از راه دور میتوانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند.
همینطور آنها میتوانند بدون اطلاع کاربران، فرمانهای مختلفی را روی سیستم کاربر اجرا کنند و هر تغییری را در سیستم کاربران اعمال کنند. مثلاً نام کاربری، پسوردهای نرم افزارهایی که استفاده میکنند و مهمتر از آنها اطلاعات حساسی مانند اطلاعات بانکی کاربران را از روش Back Door یا درپشتی به سرقت ببرند و آنها را لو بدهند.
در این راستا کارشناسان امنیتی از یک درب پشتی جدید و پیشرفته با هدف سیستمهای ویندوز خبر داده اند. محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کردهاند که سیستمهای ویندوزی را هدف قرار میدهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C۲) بهره میبرد.
عملیات فرمان و کنترل (C۲) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستمهای آلوده حفظ میکنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت میکنند. این کانال به مهاجم امکان میدهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمعآوری اطلاعات حساس یا دستکاری فایلها را صادر کند.
BITS یک سرویس ویندوزی است که برای انتقال فایلها به صورت غیرهمزمان بین دستگاهها طراحی شده است. این سرویس بهویژه برای دانلود بهروزرسانیها و انتقال دادهها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعیهای شبکه را نیز داراست و میتواند انتقالها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راهاندازی شده باشد.
BITSLOTH از یک پروژهی بارگذاری شلکد برای اجرای مخفیانه و عبور از مکانیزمهای امنیتی سنتی استفاده میکند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه به نام FL Studio بارگذاری و اجرا میکند. FL Studio یک برنامه معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا میکنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر میرسد.
در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش میکند به سایر سیستمهای موجود در شبکه دسترسی پیدا کند تا دامنهی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاههای داده و سیستمهای مدیریتی، دسترسی یابد.
علاوه بر این، BITSLOTH میتواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راهاندازی یا خاموش کند، و حتی خود را بهروزرسانی کرده یا از سیستم میزبان حذف کند. این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بیضرر هستند و شبیه به وظایف بهروزرسانی ویندوز به نظر میرسند، از شناسایی شدن اجتناب میکند. به عنوان مثال، کارهای موجود با نامهایی مثل "WU Client Download" را لغو میکند و کارهای جدیدی با نامهای مشابه ایجاد میکند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C۲) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب میکنند.
به گفته محققان، استفاده از BITSLOTH و بهرهبرداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارتهای امنیتی عبور میکند. بسیاری از سازمانها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیتهای مخرب مشکل دارند، که این امکان را به مهاجمان میدهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیتهای خود را پنهان کنند. علاقهمندان برای کسب اطلاعات بیشتر از جزئیات این بداافزار میتوانند به این لینک مراجعه کنند
بر اساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سیستمها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند. در این راستا برای جلوگیری از اثرات این بدافزار توصیه می شود مواردی مانند نظارت دقیق و مستمر بر ترافیک سرویس BITS.، استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS. و محدودسازی مجوزهای دسترسی به سیستمها و اطلاعات حساس رعایت شود.
کارشناسان بر این باور برای مقابله با درپشتی کاربران حتماً نرمافزارهای آنتی ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشند. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروری است ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشنهای مخرب روی سیستم تان نصب کنند. همچنین توصیه می شود از نرمافزارهای متن باز یا Open Source که معمولاً رایگان هم هستند استفاده شود، چون که کد این برنامهها در دسترس عموم هست و عدهای متخصص آنها را بررسی میکنند که آیا Back Door یا درپشتی یا کد مرجع آنها وجود دارد یا خیر. پس Back Door یا درپشتی به سراغ اپلیکیشنهایی می رود که خیلی راحتر و مناسبتر برای هک هستند.
پربیننده ترین
-
عکس مسی درآمد؛ آخرین توپ طلا با آرایشگر ویژه!
-
10 جایزه 5 میلیون تومانی برای کاربران آخرین خبر (مهلت شرکت در مسابقه تا 9 آذر تمدید شد.)
-
10 جایزه 5 میلیون تومانی برای کاربران آخرین خبر (مهلت شرکت در مسابقه تا 9 آذر تمدید شد.)
-
آخرین وضعیت راهها در چهارمین روز از سال جدید؛ محور چالوس از شنبه دوباره بسته میشود
-
زنده؛ بیرانوند در یک قدمی استقلال
-
"دنا پلاس اتومات" بخریم یا "تارا اتومات؟"/ مقایسه اختصاصی "آخرینخودرو" از دو خودروی پرطرفدار
-
چالش/ بازیکن داخل تصویر رو حدس بزن (16)
-
5 نشانه ضعیف شدن ریه ها و بهترین روش تقویت آن چیست؟
-
لندکروزر یا ۲۰۶؟ / مقایسه جالب "آخرینخودرو" به بهانه سخنان جنجالی میرسلیم
-
سپ، برترین شرکت در خاورمیانه شد
-
چالش/ بازیکن داخل تصویر رو حدس بزن (28)
-
ویدیو تست و بررسی فیدلیتی پرایم جدید در آخرین خودرو
-
چالش/ بازیکن داخل تصویر رو حدس بزن (14)
-
لحظه به لحظه با جدال پرسپولیس مقابل النصر
-
چالش/ بازیکن داخل تصویر رو حدس بزن (22)
-
یحیی مچ ساپینتو را خواباند / برد ارزشمند پرسپولیس در صدمین شهرآورد
-
چالش/ بازیکن داخل تصویر رو حدس بزن (19)
-
چالش/بازیکن داخل تصویر رو حدس بزن (11)
آخرین اخبار
-
عکس/ تغییر رنگ دریاچه مَهارلو
-
مهلت ۱۵ روزه دستگاههای اجرایی لرستان برای اتصال به سامانه زمین
-
عملیات روکش آسفالت مسیر ارتباطی فنوج - بنت آغاز شد
-
تماس دردناک دختر 6ساله با اورژانس پس از مرگ مادرش!
-
ضد آفتاب مناسب برای مادران باردار
-
وزش باد شدید مهمان همدانیها
-
اعرابی: مورایس ثبات فنی و شخصیتی ندارد!
-
اطلاعات ۱۵ هزار و ۵۰۰ دانشآموز زنجانی در سامانه سپند ثبت شد
-
شهردار سابق منطقه ۸ اهواز محکوم شد
-
گنج مجازی رونالدو
-
۱۰ زندانی جرائم غیرعمد در زنجان آزاد شدند
-
برکناری رئیس هیات دوومیدانی مازندران؛ حدادی حکم جدید زد
-
10 سال انتظار برای ویدیوی یک گربه؛ داستان عجیب قفل آیفون 4s
-
آغاز آموزش هوش مصنوعی در مدارس
-
نگاهی نزدیک به «کالینان» جدید
سایر اخبار مرتبط
نظرات
ثبت نظر
مهمترین اخبار
۴ امتیاز مالیاتی ویژه دولت به موجران
سهشنبه 03 مهر 1403 - 11:33:10
تأمین اجتماعی فروش داراییها و املاکش را تکذیب کرد
سهشنبه 03 مهر 1403 - 11:31:30
دبیر انجمن صنایع لبنی: افزایش قیمت شیر هنوز ابلاغ نشده، گرانتر نخرید
سهشنبه 03 مهر 1403 - 11:08:08
تلگرام تسلیم شد؛ آی پی و شماره تلفن کاربران افشا میشود
سهشنبه 03 مهر 1403 - 10:59:56
قالیباف: منابع متناسبسازی حقوق بازنشستگان تامین شده است
سهشنبه 03 مهر 1403 - 10:32:27