سهشنبه 03 مهر 1403 - 10:01
جزئیاتی از یک حمله Back Door جدید با هدف سیستمهای ویندوز
ایسنا/ محققان اخیراً یک در پشتی جدید به نام BITSLOTH در ویندوز کشف کردهاند که سیستمهای ویندوزی را هدف قرار میدهد و از سرویس (BITS) برای عملیات فرمان و کنترل (C2) بهره میبرد.
Back Door یا درپشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر میکند. در این روش هکرها با دور زدن مکانیزم های امنیتی به صورت غیرمجاز به سیستم کاربران دسترسی پیدا می کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی شوند چون که آن ها در پس زمینه سیستم کاربران فعالیت می کنند و شناسایی آن ها برای کاربران عادی کار سختی است.
درحقیقت Back Door یا درپشتی، از راههای مختلف به هکرها این امکان را میدهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولاً هکرها برای کنترل سیستم کاربران از بدافزارها استفاده میکنند؛ آنها از راه دور میتوانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند.
همینطور آنها میتوانند بدون اطلاع کاربران، فرمانهای مختلفی را روی سیستم کاربر اجرا کنند و هر تغییری را در سیستم کاربران اعمال کنند. مثلاً نام کاربری، پسوردهای نرم افزارهایی که استفاده میکنند و مهمتر از آنها اطلاعات حساسی مانند اطلاعات بانکی کاربران را از روش Back Door یا درپشتی به سرقت ببرند و آنها را لو بدهند.
در این راستا کارشناسان امنیتی از یک درب پشتی جدید و پیشرفته با هدف سیستمهای ویندوز خبر داده اند. محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کردهاند که سیستمهای ویندوزی را هدف قرار میدهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C۲) بهره میبرد.
عملیات فرمان و کنترل (C۲) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستمهای آلوده حفظ میکنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت میکنند. این کانال به مهاجم امکان میدهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمعآوری اطلاعات حساس یا دستکاری فایلها را صادر کند.
BITS یک سرویس ویندوزی است که برای انتقال فایلها به صورت غیرهمزمان بین دستگاهها طراحی شده است. این سرویس بهویژه برای دانلود بهروزرسانیها و انتقال دادهها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعیهای شبکه را نیز داراست و میتواند انتقالها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راهاندازی شده باشد.
BITSLOTH از یک پروژهی بارگذاری شلکد برای اجرای مخفیانه و عبور از مکانیزمهای امنیتی سنتی استفاده میکند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه به نام FL Studio بارگذاری و اجرا میکند. FL Studio یک برنامه معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا میکنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر میرسد.
در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش میکند به سایر سیستمهای موجود در شبکه دسترسی پیدا کند تا دامنهی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاههای داده و سیستمهای مدیریتی، دسترسی یابد.
علاوه بر این، BITSLOTH میتواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راهاندازی یا خاموش کند، و حتی خود را بهروزرسانی کرده یا از سیستم میزبان حذف کند. این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بیضرر هستند و شبیه به وظایف بهروزرسانی ویندوز به نظر میرسند، از شناسایی شدن اجتناب میکند. به عنوان مثال، کارهای موجود با نامهایی مثل "WU Client Download" را لغو میکند و کارهای جدیدی با نامهای مشابه ایجاد میکند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C۲) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب میکنند.
به گفته محققان، استفاده از BITSLOTH و بهرهبرداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارتهای امنیتی عبور میکند. بسیاری از سازمانها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیتهای مخرب مشکل دارند، که این امکان را به مهاجمان میدهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیتهای خود را پنهان کنند. علاقهمندان برای کسب اطلاعات بیشتر از جزئیات این بداافزار میتوانند به این لینک مراجعه کنند
بر اساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سیستمها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند. در این راستا برای جلوگیری از اثرات این بدافزار توصیه می شود مواردی مانند نظارت دقیق و مستمر بر ترافیک سرویس BITS.، استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS. و محدودسازی مجوزهای دسترسی به سیستمها و اطلاعات حساس رعایت شود.
کارشناسان بر این باور برای مقابله با درپشتی کاربران حتماً نرمافزارهای آنتی ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشند. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروری است ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشنهای مخرب روی سیستم تان نصب کنند. همچنین توصیه می شود از نرمافزارهای متن باز یا Open Source که معمولاً رایگان هم هستند استفاده شود، چون که کد این برنامهها در دسترس عموم هست و عدهای متخصص آنها را بررسی میکنند که آیا Back Door یا درپشتی یا کد مرجع آنها وجود دارد یا خیر. پس Back Door یا درپشتی به سراغ اپلیکیشنهایی می رود که خیلی راحتر و مناسبتر برای هک هستند.
پربیننده ترین
-
عکس مسی درآمد؛ آخرین توپ طلا با آرایشگر ویژه!
-
10 جایزه 5 میلیون تومانی برای کاربران آخرین خبر (مهلت شرکت در مسابقه تا 9 آذر تمدید شد.)
-
10 جایزه 5 میلیون تومانی برای کاربران آخرین خبر (مهلت شرکت در مسابقه تا 9 آذر تمدید شد.)
-
آخرین وضعیت راهها در چهارمین روز از سال جدید؛ محور چالوس از شنبه دوباره بسته میشود
-
زنده؛ بیرانوند در یک قدمی استقلال
-
"دنا پلاس اتومات" بخریم یا "تارا اتومات؟"/ مقایسه اختصاصی "آخرینخودرو" از دو خودروی پرطرفدار
-
چالش/ بازیکن داخل تصویر رو حدس بزن (16)
-
5 نشانه ضعیف شدن ریه ها و بهترین روش تقویت آن چیست؟
-
لندکروزر یا ۲۰۶؟ / مقایسه جالب "آخرینخودرو" به بهانه سخنان جنجالی میرسلیم
-
سپ، برترین شرکت در خاورمیانه شد
-
چالش/ بازیکن داخل تصویر رو حدس بزن (28)
-
ویدیو تست و بررسی فیدلیتی پرایم جدید در آخرین خودرو
-
چالش/ بازیکن داخل تصویر رو حدس بزن (14)
-
لحظه به لحظه با جدال پرسپولیس مقابل النصر
-
چالش/ بازیکن داخل تصویر رو حدس بزن (22)
-
یحیی مچ ساپینتو را خواباند / برد ارزشمند پرسپولیس در صدمین شهرآورد
-
چالش/ بازیکن داخل تصویر رو حدس بزن (19)
-
چالش/بازیکن داخل تصویر رو حدس بزن (11)
آخرین اخبار
-
غیبت در تیرانا و ابراز علاقه سیداکوف برای کشتی با باروز
-
صخرهنوردی ۲ قلاده خرس قهوهای در ارتفاعات جنگلی ایلام
-
آرزو جالب «معین زد» در زمان کودکی و برآورده شدن این آرزو در بزرگسالی
-
فرار ۲۰ میلیاردی مالیاتی با تأسیس شرکتی به نام غیر در تهران!
-
کری سنگین پرسپولیسی ها برای استقلال
-
بودن یا نبودن؟ مسئله هاشمی نسب است!
-
ظریف: خروج آمریکا از برجام باخت-باخت بوده است
-
بلیت فروشی دربی در اختیار استقلالی ها
-
هوای اصفهان در سومین روز از پاییز ناسالم است
-
صحبت های جالب «معین زد» درباره ساخت موزیک ویدئوی مشق شب
-
برادران حیدری داوران دربی!
-
تقریظ رهبر انقلاب بر کتاب نویسنده قزوینی
-
کارشناسی داوری بازی هوادار و فولاد خوزستان
-
ترافیک پرحجم و سنگین در مشهد
-
وزش باد نسبتا شدید زنجان را فرا میگیرد
سایر اخبار مرتبط
نظرات
ثبت نظر
مهمترین اخبار
کاهش ۱۶ درصدی واردات موبایل در نیمه نخست امسال
سهشنبه 03 مهر 1403 - 09:42:43
اصلاح فرمول مزد؛ لزوم افزایش دستمزد کارگران ۲ بار در سال
سهشنبه 03 مهر 1403 - 09:41:31
قیمت کارخانهای محصولات ایرانخودرو ویژه مهرماه
سهشنبه 03 مهر 1403 - 09:32:41
حمله نماینده مجلس به خاندوزی: آمد گفت درباره ارز ترجیحی اشتباه کردیم، اتفاقا شما بودی که مشاوره اشتباه دادی!
سهشنبه 03 مهر 1403 - 10:20:00
افشاگری نماینده مجلس: میزان ارز مصرفی کشور برای نهادههای دامی و دارو از مصرف کشور بیشتر است!
سهشنبه 03 مهر 1403 - 09:00:21