هجوم وترينغ هول المفاجئ على متصفح إنترنت إكسبلورر، يحبس برنامج بلاي لود الخبيث في الذاكرة

لقد وعَدَت مايكروسوفت بإصدار الإصلاح الخفيف نسبيًّا غدًا الثلاثاء، ولكن ذلك لا يعني أن الباحثين والمطوِّرين لن يكونوا مشغولين. إن مايكروسوفت ليست مشغولة فقط بإصلاح ثغرة تيف (ملفات الصور الموسومة)

لقد وعَدَت مايكروسوفت بإصدار الإصلاح الخفيف نسبيًّا غدًا الثلاثاء، ولكن ذلك لا يعني أن الباحثين والمطوِّرين لن يكونوا مشغولين. إن مايكروسوفت ليست مشغولة فقط بإصلاح ثغرة تيف (ملفات الصور الموسومة) التي يتم مهاجمتها دون إنذار، والتي تم الإبلاغ عنها منذ أسبوعين، ولكن يوجد خطأٌ برمجيٌّ آخر سابق في إنترنت إكسبلورر لم يتم الإبلاغ عنه، قد تم وضعه على قائمة الانتظار.

 

يوم الجمعة الماضية، أبلغ الباحثون في FireEye عن هجوم “Watering Hole” جديد على موقعٍ إلكترونيٍّ لمنظمةٍ غير حكومية – مقرها الولايات المتحدة – لم يُذكَر اسمها، يتناول توجيهاتٍ للسياسات المحلية والدولية. قال مدير استخبارات الهجمات والتهديدات في FireEye دارين كيندلوند، أنه لا يزال من غير الواضح، كيفية قيام المهاجمين باختراق الموقع. تستهدف التعليمات البرمجية المستغِلة للثغرات خطأً برمجيًّا جديدًا في إنترنت إكسبلورر، يسمح بالتنفيذ البعيد للتعليمات البرمجية. ذكرت FireEye أن الإصدارات المختلفة من إنترنت إكسبلورر في ويندوز إكس بي، وويندوز 7 تتأثر بهذه الهجمات، والتي يمكن تخفيفها بواسطة مجموعة أدوات التخفيف المُحسِّنة من مايكروسوفت EMET (إيميت).

 

إن برنامج payload – بديل عن تروجان McRAT – يتم حبسه مباشرةً في الذاكرة، مما يجعل الكشف عنه وتحقيق الطب الشرعي تحديًا. قامت FireEye بالوصل بين هذه الهجمات، وهو ما تسميه OperationEphemeral Hydra، وهجوم DeputyDog السابق. سُمَّي DeputyDog بذلك الاسم بعد إيجاد سلسلةٍ من التعليمات البرمجية للهجوم، ظهرت في أيلول/ سبتمبر، وكانت مقتصرةً في ذلك الوقت على عددٍ من المواقع الإلكترونية اليابانية الإعلامية الشهيرة. اُستُخدِمَت البرمجيات الخبيثة لجمع الاستخبارات، وسرقة الوثائق وبيانات النظام من أجهزة كمبيوتر تابعة للحكومة، وشركات التكنولوجيا المتقدمة، وشركات تصنيع في اليابان. ذكر كيندلوند، أنه من غير الواضح أي أنواعٍ من المعلومات قد تمت سرقتها، في هذه الحملة الحالية.

 

قال كيندلوند: “استنادًا لما لدينا من وضوحٍ بشأن تفضيلات ممثل هذا التهديد، يبدو أن ممثل التهديد مهتمٌّ باستخباراتٍ خاصةٍ بالصناعة”.

 

حتى الآن، قالت FireEye، أن الهجوم من دون انتظار الجديد على إنترنت إكسبلورر، يقتصر على هذا الموقع الإلكتروني الذي لم يُذكَر اسمه، والذي خلافًا لهجمات watering hole الأخرى، لم يتم تأمينه بواسطة إطارiframe  خبيث، أو أجهزة إعادة توجيه الاختراق إلى موقعٍ إلكترونيٍّ يتم التحكم فيه من قِبَل مهاجمٍ ما؛ حيث يتم تحميل المزيد من البرمجيات الخبيثة. بدلًا من ذلك، فإن التعليمات البرمجية الخبيثة        (shell code) يتم إدخالها مباشرةً في الذاكرة، وهو ما يُعد طريقةً ملتويةً جديدةً في هذه الأنواع من الهجمات المستهدفة.

 

قال كيندلوند: “باستخدام أساليب الذاكرة فقط، يكون من الصعب للغاية على المدافعين عن الشبكة أن يقوموا باكتشافه، عند محاولة الفحص وتأكيد أي النقاط الطرفية هي المصابة، باستخدام أساليب الطب الشرعي المعتمدة على الأقراص”.

 

قال كيندلوند، أن برنامج payload الخبيث، يذهب خلال عددٍ من الخطوات قبل أن يقوم بتنفيذ مهمته ـ بما في ذلك ثلاثة مستويات من فك تشفير XOR قبل أن يقوم المتغير McRAT، الذي يتم التعرف عليه باعتباره Trojan.APT.9002، بالاستيلاء على الجهاز المصاب. تلك الأنواع المختلفة من التشفير وفك التشفير تعرض تعقيدًا يمكن أن يحبط التكنولوجيا التقليدية في الكشف، وأضاف: أن البرمجيات الخبيثة خفيفةٌ إلى حدٍّ ما، مما يعني أن الضحية لن يلاحظ أي شيءٍ يحدث في جهازه.

 

ومع ذلك، فإن حبس البرمجيات الخبيثة في الذاكرة، يضع بعض القيود على المهاجمين؛ منها على سبيل المثال: عدم الثبات؛ حيث يجب على المهاجمين أن يقوموا مسبقًا بترشيح البيانات سريعًا، قبل أن يتم إغلاق الجهاز من قِبَل المستخدم؛ لأن ذلك من شأنه أن يمسح التروجان من الذاكرة.

 

قال كيندلوند: “هذا يعني أن المهاجم يجب أن يصل إلى النقطة الطرفية سريعًا، ويقوم مسبقًا بترشيح البيانات أو يتحرك أفقيًّا داخل الشبكة المخترَقة، قبل إغلاق/ إعادة ضبط النقطة الطرفية، فإذا تم إغلاق أو إعادة ضبط النقطة الطرفية، فإن البرمجيات الخبيثة يتم محوها تمامًا من النقطة الطرفية، وسيكون على المهاجم أن يقوم بإعادة إصابة النظام مرةً أخرى”.

 

قالت FireEye: “بدلًا من ذلك، فإن استخدام المرحلة الأولى غير الثابتة، قد يقترح على المهاجمين أن يكونوا واثقين من أن هدفهم المقصود ببساطةٍ سيعيد زيارة الموقع المشبوه، وبذلك فإن الجهاز سيُصاب مرةً أخرى”.

 

ذكَرَ كيندلوند، أنه باختيار وسيلة الإصابة هذه، فهم أيضًا يحِدون من كمية الأتمتة (التشغيل الآلي)، التي ينطوي عليها الأمر.

 

قال كيندلوند: “هذا النوع من النشاط يتطلب المزيد من القوى العاملة؛ لهذا السبب، يبدو أن المهاجم قام بتشغيل برنامج استغلال الثغرات وإيقافه بإرادته خلال هذه الحملة؛ للحد من كثرة عدد الأجهزة المصابة؛ بسبب أن المهاجمين ليس لديهم الموارد الكافية لقياس وتشغيل هذا الجزء من الهجوم (لقد كان يُدار بشريًّا بالكامل). وكنتيجةٍ لتشغيل وإيقاف برنامج استغلال الثغرات، فقد جعل أيضًا مهمة المدافعين عن الشبكة أكثر صعوبة، في التحقق من أن الهجوم كان لا يزال يحدث طوال الحملة”.

 

وذكرت FireEye، أن هذا الإصدار من Trojan.APT.9002 يتصل بخادمٍ للقيادة والسيطرة، مقرّه هو 111[.]68[.]9[.]93 باستخدام المنفذ 443، من خلال استخدام بروتوكول للاتصال، مختلف عن الإصدارات السابقة. تمكن الباحثون أيضًا من تجميع وربط الأمور، من خلال تحليل MD5 hash، الذي شاطر سلوكياتٍ لمتغيرات McRAT أخرى، بما في ذلك نطاق dll[.]freshdns[.]org الذي استُخدِم في حملة DeputyDog.

 

قال كيندلوند: “نحن نعتقد أنه يوجد رابطٌ بين هذه الحملة وDeputyDog؛ ومع ذلك، فليست لدينا الأدلة الكافية، لتأكيد أن ممثل التهديد هو نفسه في كلا الحملتين. ولكن النظريات المتاحة في هذا الوقت هي:

 

1) أنه يوجد ممثلوا تهديداتٍ متعددين، ومتصلين ببعضهم، يعيدون استخدام البنية التحتية نفسها. أو:

2) أنه ممثل التهديد نفسه، المسؤول عن كلا الحملتين”.

:CVE-2013-3906هجوم فوري على ثغرة أمنية أخرى لدى مايكروسوفت أوفيس

في يوم الخامس من تشرين الثاني/ نوفمبر، أعلنت شركة مايكروسوفت عن اكتشاف الثغرة الجديدة CVE-2013-3906، والتي يُمكن استغلالها عندما تتم معالجة ملفات الصور الموسومة (تيف). باستغلال هذه الثغرة، من الممكن

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!