روشی جدید برای تزریق کد و فرار از سد ضدبدافزار
به گزارش شرکت مهندسی شبکه گستر، محققان امنیتی روش جدیدی را شناسایی کردهاند که بدافزار را قادر میسازد با سوءاستفاده از جداول Atom در سیستم عامل Winodws، بدون شناسایی شدن توسط ضدویروس و سایر برنامههای امنیتی، کد مخرب را در پروسهای مجاز تزریق کند.
محققان شرکت Ensilo که خالق روش جدید هستند این روش را AtomBombing (بمباران اتمی) نام نهادهاند. دلیل این نامگذاری بکارگیری این روش از جداول Atom سیستم عامل Windows است که امکان به اشتراکگذاری دادهها بین برنامهها را فراهم میکند.
به گفته این محققان، مهاجم میتواند کد مخرب را در جدول Atom نوشته و یک پروسه مجاز را ملزم به برداشت آن کد مخرب کند. ضمن اینکه به پروسه مجاز میتوان به نحوی دست درازی کرد که کد مخرب را نیز بر روی سیستم اجرا کند.
در حال حاضر تنها تعداد محدودی روشهای تزریق کد (Code Injection) وجود دارد و بسیاری از نرمافزارهای ضدویروس دارای مکانیزمهای شناساییکننده آنها هستند.
اما این روش تزریق کد جدید حداقل در حال حاضر توسط نرمافزارهای ضدویروس قابل شناسایی نیست. دلیل آن هم تکیه آن به قابلیتی مجاز و نه یک آسیبپذیری امنیتی است. مکانیزم جدول Atom در تمامی نسخههای Windows وجود دارد و همانطور که اشاره شد ضعفی امنیتی محسوب نمیشود که بتوان آن را با نصب یک اصلاحیه ترمیم کرد.
به گزارش شرکت مهندسی شبکه گستر، برنامههای مخرب به دلایل مختلفی از روشهای تزریق کد استفاده میکنند. برای نمونه، یک اسب تروای بانکی پس از تزریق کد مخرب در پروسههای مرورگر، میتواند سایتهای فراخوانی شده توسط کاربر را رصد کرده و حتی محتوای آنها را قبل از نمایش یافتن به کاربر ویرایش کند. بدین ترتیب مهاجم قادر خواهد بود تا اطلاعات اصالت سنجی و جزییات پرداخت آنلاین رصد شده را سرقت کرده و یا حتی از حساب قربانی پول را مستقیماً به حساب خود واریز کند.
همچنین از تزریق کد میتوان برای عبور از سد آن دسته از کنترلهایی بهره جویی کرد که استفاده از دادههایی خاص را فقط محدود به پروسههایی مشخص میکنند. در نتیجه آن، مهاجم میتواند اقدام به سرقت گذرواژههای سایر برنامهها – حتی اگر رمز شده باشند – کرده و در صورتی که بدافزار حق دسترسی اجرا شدن نداشته باشد از صفحه برنامههای کاربر تصویربرداری کند.
در حال حاضر راهکار مقابله با AtomBombing، رعایت موارد امنیتی بخصوص در حین استفاده از اینترنت است. شایان ذکر است که لازمه استفاده از این روش تزریق کد، دسترسی یافتن مهاجم به دستگاه قربانی از طریق یک بدافزار یا اجرای یک حمله از راه دور است.
