كمبيوتر

لقد وجد المتسللون طريقة لا يمكن أن تتوقعها أبدًا لاختراقك

سمح ثغرة أمنية لعصابة برامج الفدية بمنع برامج مكافحة الفيروسات بشكل فعال من العمل بشكل صحيح على النظام.

كما ذكرت Bleeping Computer ، تستخدم مجموعة BlackByte ransomware طريقة تم اكتشافها حديثًا تتعلق ببرنامج تشغيل RTCore64.sys للتحايل على أكثر من 1000 برنامج تشغيل شرعي.

صور جيتي

وبالتالي ، فإن برامج الأمان التي تعتمد على برامج التشغيل هذه غير قادرة على اكتشاف الخرق ، حيث يتم تصنيف التقنية نفسها على أنها “إحضار برنامج التشغيل الخاص بك” من قبل الباحثين.

بمجرد أن يقوم المتسللون بإيقاف تشغيل برامج التشغيل ، يمكنهم العمل تحت الرادار بسبب عدم وجود العديد من أجهزة الكشف عن نقاط النهاية والاستجابة لها (EDR). يمكن للسائقين الضعفاء اجتياز فحص عبر شهادة صالحة ، كما أنهم يتميزون بامتيازات عالية على جهاز الكمبيوتر نفسه.

يشرح باحثون من شركة الأمن السيبراني Sophos بالتفصيل كيف أن برنامج تشغيل الرسومات MSI الذي تستهدفه عصابة برامج الفدية يوفر رموز التحكم في الإدخال / الإخراج التي يمكن الوصول إليها من خلال عمليات وضع المستخدم. ومع ذلك ، فإن هذا العنصر ينتهك إرشادات أمان Microsoft الخاصة بالوصول إلى ذاكرة kernel.

بسبب الاستغلال ، يمكن للجهات الفاعلة في التهديد قراءة أو كتابة أو تنفيذ التعليمات البرمجية بحرية داخل ذاكرة نواة النظام.

صرحت سوفوس أن BlackByte حريصة بشكل طبيعي على تجنب اكتشافها حتى لا يتم تحليل الاختراقات الخاصة بها من قبل الباحثين ، حيث أشارت الشركة إلى المهاجمين الذين يبحثون عن أي مصحح أخطاء يعمل على النظام ثم يستقيل.

علاوة على ذلك ، تقوم البرامج الضارة الخاصة بالمجموعة بفحص النظام بحثًا عن أي مكتبات DLL محتملة مرتبطة بـ Avast و Sandboxie و Windows DbgHelp Library و Comodo Internet Security. في حالة العثور على أي شيء من خلال البحث ، يقوم BlackByte بتعطيل قدرته على العمل.

نظرًا للطبيعة المعقدة للتقنية المستخدمة من قبل الجهات المهددة ، حذرت سوفوس من أنهم سيستمرون في استغلال السائقين الشرعيين من أجل تجاوز المنتجات الأمنية. في السابق ، شوهدت طريقة “إحضار برنامج التشغيل الخاص بك” مستخدمة من قبل مجموعة القرصنة الكورية الشمالية Lazarus ، والتي تضمنت برنامج تشغيل أجهزة Dell.

يبرز Bleeping Computer كيف يمكن لمسؤولي النظام حماية أجهزة الكمبيوتر الخاصة بهم عن طريق وضع برنامج تشغيل MSI (RTCore64.sys) الذي يتم استهدافه في قائمة حظر نشطة.

ظهرت جهود BlackByte لبرامج الفدية لأول مرة في عام 2021 ، حيث أكد مكتب التحقيقات الفيدرالي أن مجموعة القرصنة كانت وراء بعض الهجمات الإلكترونية على الحكومة.

توصيات المحررين






اظهر المزيد
زر الذهاب إلى الأعلى