اکسپلویت‌های روز صفر در حملات PuzzleMaker

19 خرداد 1400 اکسپلویت‌های روز صفر در حملات PuzzleMaker

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فناوری‌های شناسایی تهدید رفتاری و پیشگیری از اکسپلویت در راهکار امنیتی Kaspersky Endpoint Security for Business موجی از حملات به شدت هدف‌دار را روی چندین شرکت شناسایی کرده است. این حملات از زنجیره‌ای از اکسپلویت‌های روز صفرِ مرورگر گوگل کروم و آسیب‌پذیری‌های مایکروسافت ویندوز استفاده کرده است. تا کنون، پچ‌هایی برای این آسیب‌پذیری‌ها عرضه شده است (درست با انتشار آپدیت مایکروسافت در تاریخ 8 ژوئن)؛ از این رو توصیه ما به شما این است که هم مرورگر و هم سیستم‌عامل را بروزرسانی کنید. ما نام عامل تهدید پشت این حملات را PuzzleMaker گذاشته‌ایم. با ما همراه بمانید.

حملات PuzzleMaker از چه جهاتی بسیار خطرناک به حساب می‌آیند؟

مهاجمین برای اجرای کد مخرب روی دستگاه مورد هدف از آسیب‌پذیری گوگل کروم و در ادامه نیز از دو آسیب‌پذیری ویندوز 10 برای فرار از سندباکس و دسترسی به مزایای سیستم استفاده می‌کنند. آن‌ها سپس اولین ماژول بدافزار–یا همان اصطلاحاً استیجر- را به همراه یک بلوک تنظیم‌بندی سفارشی‌سازی‌شده (آدرس سرور فرمان، آی‌دی سشن، کلیدهای رمزگشایی برای ماژول بعدی و غیره) در دستگاه قربانی آپلود می‌کند. استیجر به مهاجمین در مورد این الودگی موفق خبر می‌دهد و ماژول دراپر –که در عوض دو فایل قابل‌اجرا را که خود را قانونی جلوه می‌دهند نصب می‌کند- را دانلود و سپس رمزگشایی می‌کند. اولی –که نامش WmiPrvMon.exе است- به عنوان یک سروی ثبت‌نام می‌کند و دومی را –موسوم به wmimon.dll. - اجرا می‌نماید. این فایل دوم قابل‌اجرا پی‌لود اصلی حمله به حساب می‌آید؛ یک‌جور پوسته‌ی ریموتِ در لباس مبدل. مهاجمین از این پوسته برای بهره‌مند شدن از تمام جنبه‌های نظارتی روی دستگاه مورد هدف استفاده می‌کنند. آن‌ها می‌توانند فایل‌ها را آپلود و دانلود کرده، فرآیندهایی را سازند، برای مدت زمانی به خواب زمستانی بروند، حتی کای کنند تا هیچ رد و نشانی از این حمله ری دستگاه قربانی باقی نمایند. این اجزای بدافزار از طریق کانکشنی رمزگذاری‌شده با سرور فرمان ارتباط برقرار می‌کند.

کدام اکسپلویت‌ها و کدام آسیب‌پذیری‌ها؟

متأسفانه متخصصین ما نتوانستند اکسپلویت اجرای کد ریموت PuzzleMaker را که برای حمله به گوگل کروم استفاده شده بود آنالیز کنند؛ اما بررسی کاملی روی آن انجام دادند و در نهایت به این نتیجه رسیدند که مهاجمین احتمالاً به آسیب‌پذیری CVE-2021-21224 وابسته بوده‌اند. به هر روی، گوگل در تاریخ 20 آوریل 2021 پچی برای این آسیب‌پذیری ارائه کرد- درست کمتر از یک هفته بعد از کشف این موج از حملات. طی این اکسپلویت از دو آسیب‌پذیری ویندوز 10 در آن واحد استفاده کرده بود. اولی موسوم به CVE-2021-31955 در حقیقت یک آسیب‌پذیری افشای اطلاعات در فایل  ntoskrnl.exe است. این اکسپلویت از آن برای تعیین آدرس‌های هسته ساختار EPROCESS برای فرآیندهای اجراشده استفاده کرده است. آسیب‌پذیری دوم به نام EPROCESS در درایور  ntfs.sys قرار دارد و به طبقه‌بندی آسیب‌پذیری‌های سرریز هیپ[1] متعلق است. مهاجمین از آن به همراه Windows Notification Facility برای خواندن و نوشتن داده در مموری استفاده کردند. این اکسپلویت روی رایج‌ترین سازه‌های ویندوز 10 کار می‌کند: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1), and 19042 (20H2). این را هم بگوییم که Build 19043 (21H1) خود نیز آسیب‌پذیر است؛ هرچند فناوری‌های ما هنوز روی این نسخه –که بعد از شناسایی  PuzzleMaker منتشر شد- حملاتی را شناسایی نکرده‌اند.

راهکارهای امنیتی

به منظور محافظت از امنیت سازمانی در برابر اکسپلویت‌های بکار رفته در حمله  PuzzleMaker، ابتدا توصیه می‌کنیم کروم را آپدیت کنید و پچ‌های سیستم‌عامل را که به آسیب‌پذیری‌های  CVE-2021-31955 و CVE-2021-31956 می‌پردازند نصب نمایید (از وبسایت رسمی مایکروسافت). برای جلوگیری از تهدید سایر آسیب‌پذیری‌های روز صفر، هر نوع شرکتی می‌بایست از محصولات امنیت سایبری استفاده کند که با آنالیز رفتار مشکوک قادر به شناسایی چنین اقدامات اکسپلویت هستند. برای مثال محصولات ما با استفاده از فناوری Behavioral Detection Engine و سیستم زیرمجموعه Exploit Prevention در  Kaspersky Endpoint Security for business این حمله را شناسایی کردند.

 

[1]یک نوع سرریز بافر می‌باشد که در ناحیهٔ داده‌های هیپ (heap) رخ می‌دهد. سرریز هیپ به شیوه‌های متفاوت بنابر سرریزهای مبتنی بر استک بهره‌برداری (استخراج) می‌شود.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد