حملات کرنل جدید در ویندوز

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

حملات کرنل جدید در ویندوز
q832
حملات کرنل، حملاتی هستند که در طی سال‌های گذشته مایکروسافت را وادار به پیاده‌سازی راهکارهای محافظتی مانند PatchGuard، Driver Signature Enforcement و SecureBoot کرده است. با این حال، مهاجمین در حال توسعه بدافزارهای کرنلی هستند که این راهکارهای محافظتی را دور بزنند.
در نشست Black Hat روز پنجشنبه، پژوهشگران نحوه تجهیز Turla Driver Loader به یک ابزار حمله کرنل بی‌فایل را تشریح کردند. (Turla Driver Loader (TDL بدلیل ارتباط آن با گروه Turla APT نام گذاری شده است و تکنیکی است که برای دور زدن Driver Signature Enforcement در ویندوز، که برای اولین بار در ویندوز ویستا معرفی شد، استفاده می‌شود. این رویکرد محافظتی سیاست‌هایی است که اطمینان حاصل می‌کند که تنها درایورهایی که دارای یک امضا دیجیتال معتبر هستند می‌توانند در کرنل بارگیری شوند. نتیجه آلوده‌سازی یک سیستم با TDL، استخراج مخفیانه اطلاعات یا نفوذ به یک شبکه است. حملات از ابزار هک Squiblydoo/Squiblytwo به همراه ابزار دیگری با نام DotNetToJs برای اجرای کد NET. دلخواه استفاده می‌کند.
هنگامی که یک مهاجم بدافزار را در حالت کرنل اجرا می‌کند، به راحتی می‌تواند هر نرم‌افزار امنیتی که در حال اجرا است را غیر فعال کند. در پاسخ به حملات مشابه TDL، مایکروسافت (Virtualization Based Security (VBS را پیاده‌سازی کرده است که کرنل را در sandbox قرار می‌دهد. این ویژگی در حال حاضر در حال اجرا روی تعداد کمی از دستگاه‌های دارای ویندوز ۱۰ است و همچنین نیاز به بروزرسانی سخت‌افزاری دارد. اما پژوهشگران برای دور زدن آن نیز راهی یافته‌اند و با بررسی طراحی VSB نشان دادند که حملات کرنل می‌توانند به طور مخفیانه آنتی‌ویروس و نرم‌افزار EDR را حتی اگر VBS و HVCI اعمال شده باشند، غیر فعال کنند.
علاوه بر این، پژوهشگران حملات مخفیانه و مخرب‌تری را نیز توسعه دادند. آنها نشان دادند که چگونه یک حمله مبتنی بر داده می‌تواند برای اجرای حملات
Return Oriented Programming یا (ROP) بکار گرفته شود که به مهاجم اجازه می‌دهد تا توابع کرنل دلخواه را با دسترسی کامل ring۰ اجرا کند.
پژوهشگران روشی را بیان کردند که قابلیت شناسایی اینگونه حملات کرنل مبتنی بر ROP را دارد. این روش از واحد نظارت بر کارایی (PMU) در پردازندههای اینتل استفاده می‌کند و می‌توان مهاجم را در لحظه شناسایی و متوقف کند. در نشست Black Hat دو ابزار (Marta و KASR) نیز برای مقابله با بدافزارهای کرنل منتشر شد.

منبع:
/https://threatpost.com/stealthy-new-kernel-attack-flies-under-windows-mitigation-radar/۱۳۴۸۴۷
منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری