هکرها روشی غیرقابل شناسایی برای نفوذ به سیستمهای هدف خود کشف کردهاند
نقص امنیتی در یک باجافزار جدید از اجرای مؤثر ابزارهای ضدویروس روی سیستم جلوگیری میکند و هکرها با سواستفاده از این روش به سیستمهای هدف خود نفوذ میکنند.
موبنا – Bleeping Computer گزارش داده است که گروه باجافزاری بلکبایت (BlackByte) از درایور RTCore64.sys برای دورزدن بیشاز ۱۰۰۰ درایور دیگر سواستفاده کرده است. بدینترتیب برنامههای امنیتی که به چنین درایورهایی متکی هستند امکان تشخیص نقص را نخواهند داشت. محققان این تکنیک را Bring Your Own Driver (درایور خود را بیاورید) نامیدهاند.
پساز اینکه هکرها درایورها را خاموش کردند، بهدلیل عدم شناسایی و پاسخ چند نقطهی پایانی (EDR) میتوانند به سیستم هدف نفوذ کنند. درایورهای آسیبپذیر میتوانند فرایند بازرسی را ازطریق گواهی معتبر انجام دهند و همچنین امتیازات بالایی روی رایانههای شخصی دارند.
محققان شرکت امنیت سایبری سوفوس (Sophos) جزییاتی را توضیح میدهند که کارت گرافیک MSI چگونه مورد حملهی باجافزار قرار میگیرد و کدهای کنترل ورودی/خروجی را ارائه میدهد. بهنوشتهی DigitalTrends، این باجافزار همچنین دستورالعملهای امنیتی مایکروسافت را درمورد دسترسی به حافظهی هسته، دور میزند و بدینترتیب عوامل تهدید میتوانند کد موردنظر خود را بدون هیچ مشکلی در حافظهی هسته سیستم بخوانند، بنویسند یا اجرا کنند. سوفوس بیان کرد که بلکبایت طبیعتاً تمایل دارد از شناسایی شدن خود جلوگیری کند تا محققان نتوانند مراحل نفوذ آن به سیستمهای هدف را مورد تجزیهوتحلیل قرار دهند. این شرکت به مهاجمانی اشاره کرد که بهدنبال اشکالزدایی بوده، روی سیستم اجرا و سپس از آن خارج میشوند.
علاوهبراین، بدافزار این گروه سیستم را برای یافتن DLLهای بالقوهی متصل به Avast، Sandboxie، Windows DbgHelp Library و Comodo Internet Security بررسی میکند و اگر موردی یافت شود، بلکبایت عملکرد آن را غیرفعال خواهد کرد.
سوفوس بهدلیل ماهیت پیچیدهی تکنیک استفادهشده در این عوامل تهدیدکننده، هشدار میدهد که آنها به سواستفاده از درایورهای قانونی برای دورزدن محصولات امنیتی ادامه خواهند داد. پیشازاین، گروه هکری لازاروس کرهی شمالی از روش Bring Your Own Driver که شامل درایور سختافزاری دل بود، استفاده کرده است.
Bleeping Computer همچنین بهاین مورد اشاره میکند که مدیران سیستم چگونه میتوانند با قراردادن درایور MSI (RTCore64.sys) در فهرست مسدودسازیهای فعال، از رایانهی شخصی خود محافظت کنند. تلاشهای باجافزار بلکبایت اولینبار در سال ۲۰۲۱ شناسایی شد و FBI در آن زمان تأیید کرد که این گروه مسئول برخی حملههای سایبری به دولت ایالات متحده بوده است.
منبع: زومیت