Welcome!

By registering with us, you'll be able to discuss, share and private message with other members of our community.

SignUp Now!

پیش بینی ایجاد موجی جدید از روتكیت ها با هدف قراردادن سیستم های 64 بیتی

اطلاعات موضوع

Kategori Adı اخبار هک و امنیت
Konu Başlığı پیش بینی ایجاد موجی جدید از روتكیت ها با هدف قراردادن سیستم های 64 بیتی
نویسنده موضوع *مینا*
تاریخ شروع
پاسخ‌ها
بازدیدها
اولین پسند ارسالی
Son Mesaj Yazan *مینا*

*مینا*

مــدیـر بـازنشـسـتـه
تاریخ ثبت‌نام
Sep 12, 2013
ارسالی‌ها
3,063
پسندها
366
امتیازها
83
محل سکونت
زیر اسمون خدا
تخصص
ترانه سرا
دل نوشته
هر وقت دلت شکست خورده هاشو خودت جمع کن نزار هر نامردی منت دست زخمیشو روت بزاره
بهترین اخلاقم
بخشیدن
مدل گوشی
سیم کارت
تیم ایرانی مورد علاقه
تیم باشگاهی مورد علاقه

اعتبار :

[h=2]پیش بینی ایجاد موجی جدید از روتكیت ها با هدف قراردادن سیستم های 64 بیتی[/h]
به گزارش شركت مك آفی پس از یك روند رو به كاهش در طول دو سال گذشته، تعداد نمونه های rootkit های جدید در سه ماهه اول سال جاری افزایش قابل توجهی داشته است و به آمار سال 2011 نزدیك گردیده است. افزایش ناگهانی روت كیت ها مربوط به روت كیت هایی بوده كه سیستم های ویندوز 32 بیتی را هدف قرارداده بود با این حال، روت كیت های جدید طراحی شده برای سیستم های 64 بیتی به احتمال زیاد به افزایش این نوع از حمله در آینده منجر می شوند.
به گزارش شركت مك آفی پس از یك روند رو به كاهش در طول دو سال گذشته، تعداد نمونه های rootkit های جدید در سه ماهه اول سال جاری افزایش قابل توجهی داشته است و به آمار سال 2011 نزدیك گردیده است. افزایش ناگهانی روت كیت ها مربوط به روت كیت هایی بوده كه سیستم های ویندوز 32 بیتی را هدف قرارداده بود با این حال، روت كیت های جدید طراحی شده برای سیستم های 64 بیتی به احتمال زیاد به افزایش این نوع از حمله در آینده منجر می شوند.

روت كیت ها برنامه های مخربی هستند كه برای پنهان كردن سایر برنامه های مخرب و فعالیت آنها از دید كابران طراحی شده اند. آنها به طور معمول در داخل هسته سیستم عامل با بالاترین حق دسترسی سیستم اجرا می شوند و حذف و تشخیص آنها به سختی برای محصولات امنیتی امكان پذیراست.
محققان مك آفی بر این باورند كه كاهش در تعداد نمونه روت كیت های جدید مشاهده شده در طول 2012 و 2013 را می توان به رشد به روزرسانی روتكیت ها به نسخه های 64 بیتی برای مقابله با تدابیر امنیتی از جمله PatchGuard و اجرای امضای دیجیتالی درایورها مرتبط دانست كه موجب افزایش هزینه تولید روتكیت برای سیستم عامل های 64 بیتی میگردد. با این حال با رشد استفاده از سیستم های 64 بیتی انگیزه جهت سرمایه گذاری بیشتر برای دور زدن ابزارهای دفاعی آنها بیشتر شده است. قابلیت های امنیتی قرارداده شده در سیستم های 64 بیتی برای مهاجمان سازمان یافته تنها حكم سرعت گیر را دارد كه به زودی از آن عبور خواهند نمود.

یكی از تكنیك های سواستفاده از آسیب پذیری های سیستم های 64 بیتی میتواند نصب یك سخت افزار یا نرم افزار با درایور دارای امضای دیجیتال و سپس سعی در دسترسی به كرنل باشد. یكی از این نوع روتكیت ها Uroburos نام دارد كه یك روتكیت پیچیده است كه در ماه فوریه سال جاری كشف شده كه در حملات جاسوسی اطلاعات با نصب نسخه های قدیمی درایور VirtualBox دارای امضای دیجیتال استفاده شده است. در این نوع حمله پس از سوء استفاده از آسیب پذیری، افزایش سطح دسترسی صورت می گیرد.
یكی دیگر از روش معمول برای حمله به سیستم های 64 بیتی، سرقت گواهینامه های امضای دیجیتال از شركت های معتبر و استفاده از آنها در كد های مخرب جهت عدم شناسایی میباشد. از ژانویه 2012 حداقل در 21 نمونه روتكیت 64 بیتی منحصر به فرد گواهی های به سرقت رفته استفاده شده است. نرم افزار مخرب W64/Winnti حداقل پنج كلید خصوصی از فروشندگان قانونی به سرقت برده و در نصب روتكیت های خود بر روی سیستم های 64 بیتی از سال 2012 استفاده نموده است. از این پنج كلید حداقل دو كلید ابطال نشده و ممكن است برای اهداف نا مشروع و مخرب درحال استفاده باشد.
طی سال جاری تعداد برنامه های مخرب دارای امضا دیجیتالی به طور كلی رو به افزایش بوده است. در حال حاضر بیش از 25 میلیون نمونه شناخته شده از نرم افزارهای مخرب دیجیتالی امضا شده، كه بیش از 2.5 میلیون از این نرم افزارها در سه ماهه اول سال جاری كشف شده اند.


راه دیگر برای دور زدن تدابیر دفاعی سیستم های 64 بیتی توسط روتكیت ها، بهره برداری از آسیب پذیری افزایش سطح دسترسی كشف شده در هسته ویندوز بوده كه تعداد این نقص ها در چند سال گذشته رو به افزایش می باشد. پژوهشگران در حال توسعه ابزار هدفمند بررسی شرایط رقابتی مانند “Double Fetch” برای پیدا كردن نقص در كد هسته می باشند. به گفته آنها، موج جدیدی از حملات روتكیت ها در برابر سیستم های 64 بیتی با استفاده از تعداد فزاینده ای از آسیب پذیری ها درراه است.
یك كلاس خاص از روتكیت ها به نام bootkits می باشد كه كدهای مخرب را در مستر بوت ركورد سیستم در اولین بخش 512 بایت از هارد دیسك كپی میكند كه به طور معمول شامل كد های بوت لودر سیستم عامل میباشد. اجرای كد MBR قبل از هسته سیستم عامل آغاز می گردد، بنابراین كد های مخرب ذخیره شده می توانند پیش از اجرای هر برنامه امنیتی نصب شده در سیستم عامل اجرا شوند.


در طول سه ماهه اول سال جاری نسبت به سه ماهه اول دو سال گذشته بیش از 900.000 از انواع نرم افزارهای مخرب جدید را با MBR Payload كشف و شناسایی شده است . از نظر شركت مك آفی تعداد نرم افزار های مخرب آلوده ساز MBR بیش از 6 میلیون می باشد.
یكی از راهكارهای مقابله با این نوع حملات استفاده از قابلیت بوت امن با جایگزینی UEFI، Unified Extensible Firmware Interface ، با Bios در كامپیوتر های جدید جهت جلوگیری از نصب و راه اندازی Bootkit می باشد. UEFI كدهای بوت را با یك لیست سفید از كدهای تایید شده و دارای امضای دیجیتال چك می كند و در صورت عدم مغایرت اجازه بوت شدن سیستم عامل را می دهد. اگر چه در سال گذشته محققان امنیتی آسیب پذیری های متعدد در پیاده سازی UEFI یافته اند كه می توان از طریق آنها نسبت به غیر فعال كردن بوت امن اقدام نمود.


 
بالا پایین