اخبار التكنولوجيا : عودة انتشار البرمجية الخبيثة إنفي تحت اسم فودر

اي تي بي 0 تعليق 130 ارسل لصديق نسخة للطباعة

رصدت شركة بالو ألتو نتوركس في شهر فبراير من العام 2017 مراحل تطور برمجية خبيثة تدعى إنفي Infy، والتي كان يطلق عليها سابقاً اسم فودر Foudre (التي تعنى البرق باللغة الفرنسية)، ويبدو أن الجهات المهاجمة استفادت وتعلمت من الإجراءات التي طبقتها شركة بالو ألتو نتوركس سابقاً من أجل تفكيك وإعادة توجيه بنيتهم التحتية الخاصة بالأوامر والتحكم، فقد تضمنت برمجية فودر الأخيرة تقنيات جديدة قادرة على تفادي عمليات الاستحواذ والسيطرة عليها بهدف تجنب محاولات إعادة توجيه سلسلة الأوامر والتحكم الخاصة بها، الأمر الذي نجحت بالو ألتو نتوركس بتحقيقه في العام 2016.

وقامت الشركة في شهر مايو 2016 بتوثيق ونشر نتائج أبحاثها الأصلية حول الحملات التي استخدمت فيها برمجية إنفي الخبيثة على مدى عقد من الزمن. وبعد مرور شهر من نشر هذه النتائج، قدمت بالو ألتو نتوركس شرح تفصيلي حول كيفية تمكنها من الاستحواذ على حركة سيرفرات الأوامر والتحكم التابعة للجهات المهاجمة، وإعادة توجيهها؛ لكن في شهر يوليو من العام 2016، قدم كل من كلاوديو غوارنييري وكولين أندرسون، من مؤسسة بلاك هات يو إس، أدلة وبراهين على قيام شركة الاتصالات الإيرانية (AS12880) بحجب نطاقات الأوامر والتحكم الفرعية، التي تعمل على إعادة توجيه البيانات، وذلك بواسطة التلاعب بسيرفرات أسماء النطاقات DNS، وترشيح بروتوكول نقل النص التشعبي HTTP، الأمر الذي أدى إلى منع أوامر إعادة التوجيه من الوصول إلى النطاق المحلي لإيران.

وتشير توقعات بالو ألتو نتوركس إلى أن أحد نطاقات خوارزميات توليد النطاق DGA قام بتسمية وتسجيل النطاقات قبل القيام بالهجمة. وعندما حاولت الجهات المستهدفة الاتصال بسيرفرات الأوامر والتحكم الخاصة بذلك النطاق، لم تتمكن من التعرف على نطاق بالو ألتو نتوركس لأنها لا تملك المفتاح المخصص لنظام عمليات التشفير الرئيسية العامة. ومع ذلك، تمكنت بالو ألتو نتوركس من رسم خريطة خاصة بالجهات المستهدفة باستخدام نظام المعلومات الجغرافية لعناوين بروتوكولات الانترنت GeoIP، إذ استهدفت هذه الهجمات مؤسسات في الولايات المتحدة وبريطانيا والعراق وإيران والسويد وألمانيا وكندا وأذربيجان والسيشل.

وأشارت بالو ألتو نتوركس إلى أن العدد القليل جداً من الجهات المستهدفة في هذه الحملة يشير إلى وجود دوافع غير مادية، فمثلا إحدى الجهات العراقية المستهدفة تستخدم بروتوكول الإنترنت من ذات الفئة C في الشبكة، التي تمت مهاجمتها سابقاً من قبل برمجية إنفي الخبيثة، ما يشير إلى أن الجهة المهاجمة تستهدف نفس المؤسسة المحددة، أو حتى نفس الكمبيوتر.

وعلى الرغم من عدم توفر المفتاح المخصص لنظام عمليات التشفير الرئيسية العامة RSA، وعدم القدرة على الاتصال مع أي من الجهات المستهدفة، اكتشفت بالو ألتو نتوركس أنه عن طريق إرسال ملف توقيع غير ساري الصلاحية (نظراً لعدم وجود نظام للتحقق من صحة المدخلات في محتوى/حجم ملف التوقيع) إلى الجهة المستهدفة، واستطاعت إيقاف عمل ملف الـ rundll32، الذي يعمل على تشغيل ملف DLL الخاص ببرمجية فودر الخبيثة، ما يتيح إمكانية تعطيل انتشار العدوى بهذه البرمجية الخبيثة حتى تقوم الجهة المستهدفة بإعادة تشغيل النظام.

وتعمل هذه الحملة من الهجمات الخبيثة منذ عشر سنوات على الأقل، وهي لا تزال نشطة وفعالة منذ عشر سنوات على الأقل. وقد وثقت بالو ألتو نتوركس عملياتها لتفكيك وإعادة توجيه البنية التحتية الخاصة بالأوامر والتحكم للجهة المهاجمة.

لذا، يجب ألا نفاجأ بعودة برمجية إنفي الخبيثة - لكي تقوم ذات البرمجيات الخبيثة باستهداف ذات الجهات المستهدفة سابقاً.

من جهةٍ أخرى، تُدرك الجهات المهاجمة أنها بحاجة لامتلاك بنية تحتية أكثر قوةً لسيرفرات الأوامر والتحكم كي تتمكن من منع عمليات التسلل والاستحواذ. وقد تضفي خوارزميات توليد النطاق بعض المرونة في أداء هذه المهمة، إلا أنها ليست منيعة بما يكفي لعدم الاستحواذ عليها.

ومع ذلك، ان استخدام التوقيع الرقمي تعتبر آلية دفاع فعالة عن سيرفرات الأوامر والتحكم، وفي حال عدم القدرة على الوصول إلى المفاتيح المخصصة، فإنه من المستحيل الاستحواذ على سيرفرات الأوامر والتحكم حتى إذا كان نطاق خوارزميات توليد النطاق مسجلاً من قبل الباحث.

وبالإمكان حفظ المفاتيح المخصصة على المستوى المحلي ضمن سيرفر الأوامر والتحكم، لكن في حال تعذر الوصول إلى سيرفر الأوامر والتحكم، فإنه لا يمكننا تأكيد وجود نقطة الضعف (الثغرة) المحتملة هذه في البنية التحتية.

عزيزي الزائر لقد قرأت خبر اخبار التكنولوجيا : عودة انتشار البرمجية الخبيثة إنفي تحت اسم فودر في موقع حضرموت نت | اخبار اليمن ولقد تم نشر الخبر من موقع اي تي بي وتقع مسئولية صحة الخبر من عدمة علي عاتقهم ويمكنك مشاهدة مصدر الخبر الاصلي من الرابط التالي اي تي بي



للمزيد من التفاصيل والاخبار تابع حضرموت نت على الشبكات الاجتماعية


0 تعليق

عدن الغد
صدى عدن
عدن الحدث
بوابة حضرموت
عدن تايم
الأمناء نت
الجنوبية نت
عدن لنج
المشهد اليمني
المصدر اونلاين
نبأ حضرموت
مأرب برس
الحدث اليمني
ابابيل نت
التغيير نت
مسند للأنباء
شعب اونلاين
صوت الحرية
صوت المقاومة
الوحدوي نت
يمن سكاي
يافع نيوز
مندب برس
ساه الاخبارية
تهامة برس
يمن جول
الغد اليمني
فاست برس
الراي برس
المشهد الجنوبي
الخبر اليمنية
يمن جورنال
حضارم نت
الحزم والامل
عدن حرة
المندب نيوز
اليمني الجديد
عناوين بوست
اليمن العربي
حضرموت اليوم
الضالع نيوز
الواقع الجديد
اخبار اليمنية
سبأ العرب
اخبار دوعن
وطن نيوز
الموقع بوست
العربية نت
قناة الغد المشرق
يمني سبورت
بلقيس نيوز
الوئام
المواطن
صحيفة تواصل
هاي كورة
الكتروني
سوريا مباشر
بوابتي
جول
في الجول
اي تي بي
البيان الاماراتية
جراءة نيوز
كلنا شركاء سوريا
كورة بوست
النيلين
عين اليوم
المرصد السوري
الامارات اليوم
الانباء الكويتية
سبورت النصر
سبورت الهلال
سبورت الاتحاد
سبورت الاهلي
اخبار ريال مدريد
اخبار برشلونة
اخبار مانشستر سيتي
اخبار تشيلسي
عين ليبيا
اليوم 24
BNA
عراقنا
ابو بس
اخبار ليبيا
المجلس