روشی جدید برای تزریق کد و فرار از سد ضدبدافزار

به گزارش شرکت مهندسی شبکه گستر، محققان امنیتی روش جدیدی را شناسایی کرده‌اند که بدافزار را قادر می‌سازد با سوءاستفاده از جداول Atom در سیستم عامل Winodws، بدون شناسایی شدن توسط ضدویروس و سایر برنامه‌های امنیتی، کد مخرب را در پروسه‌ای مجاز تزریق کند.

محققان شرکت Ensilo که خالق روش جدید هستند این روش را AtomBombing (بمباران اتمی) نام نهاده‌اند. دلیل این نامگذاری بکارگیری این روش از جداول Atom سیستم عامل Windows است که امکان به اشتراک‌گذاری داده‌ها بین برنامه‌ها را فراهم می‌کند.

به گفته این محققان، مهاجم می‌تواند کد مخرب را در جدول Atom نوشته و یک پروسه مجاز را ملزم به برداشت آن کد مخرب کند. ضمن اینکه به پروسه مجاز می‌توان به نحوی دست ‌درازی کرد که کد مخرب را نیز بر روی سیستم اجرا کند.

در حال حاضر تنها تعداد محدودی روش‌های تزریق کد (Code Injection) وجود دارد و بسیاری از نرم‌افزارهای ضدویروس دارای مکانیزم‌های شناسایی‌کننده آنها هستند. 

اما این روش تزریق کد جدید حداقل در حال حاضر توسط نرم‌افزارهای ضدویروس قابل شناسایی نیست. دلیل آن هم تکیه آن به قابلیتی مجاز و نه یک آسیب‌پذیری امنیتی است. مکانیزم جدول Atom در تمامی نسخه‌های Windows وجود دارد و همانطور که اشاره شد ضعفی امنیتی محسوب نمی‌شود که بتوان آن را با نصب یک اصلاحیه ترمیم کرد.

به گزارش شرکت مهندسی شبکه گستر، برنامه‌های مخرب به دلایل مختلفی از روش‌های تزریق کد استفاده می‌کنند. برای نمونه، یک اسب تروای بانکی پس از تزریق کد مخرب در پروسه‌های مرورگر، می‌تواند سایت‌های فراخوانی شده توسط کاربر را رصد کرده و حتی محتوای آنها را قبل از نمایش یافتن به کاربر ویرایش کند. بدین ترتیب مهاجم قادر خواهد بود تا اطلاعات اصالت سنجی و جزییات پرداخت آنلاین رصد شده را سرقت کرده و یا حتی از حساب قربانی پول را مستقیماً به حساب خود واریز کند.

همچنین از تزریق کد می‌توان برای عبور از سد آن دسته از کنترل‌هایی بهره جویی کرد که استفاده از داده‌هایی خاص را فقط محدود به پروسه‌هایی مشخص می‌کنند. در نتیجه آن، مهاجم می‌تواند اقدام به سرقت گذرواژه‌های سایر برنامه‌ها – حتی اگر رمز شده باشند – کرده و در صورتی که بدافزار حق دسترسی اجرا شدن نداشته باشد از صفحه برنامه‌های کاربر تصویربرداری کند.

در حال حاضر راهکار مقابله با AtomBombing، رعایت موارد امنیتی بخصوص در حین استفاده از اینترنت است. شایان ذکر است که لازمه استفاده از این روش تزریق کد، دسترسی یافتن مهاجم به دستگاه قربانی از طریق یک بدافزار یا اجرای یک حمله از راه دور است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *