شماره: IRCNE2014062229
تاريخ :07/04/93
به گزارش شركت مك آفي پس از يك روند رو به كاهش در طول دو سال گذشته، تعداد نمونه هاي rootkit هاي جديد در سه ماهه اول سال جاري افزايش قابل توجهي داشته است و به آمار سال 2011 نزديك گرديده است. افزايش ناگهاني روت كيت ها مربوط به روت كيت هايي بوده كه سيستم هاي ويندوز 32 بيتي را هدف قرارداده بود با اين حال، روت كيت هاي جديد طراحي شده براي سيستم هاي 64 بيتي به احتمال زياد به افزايش اين نوع از حمله در آينده منجر مي شوند.
روت كيت ها برنامه هاي مخربي هستند كه براي پنهان كردن ساير برنامه هاي مخرب و فعاليت آنها از ديد كابران طراحي شده اند. آنها به طور معمول در داخل هسته سيستم عامل با بالاترين حق دسترسي سيستم اجرا مي شوند و حذف و تشخيص آنها به سختي براي محصولات امنيتي امكان پذيراست.
محققان مك آفي بر اين باورند كه كاهش در تعداد نمونه روت كيت هاي جديد مشاهده شده در طول 2012 و 2013 را مي توان به رشد به روزرساني روتكيت ها به نسخه هاي 64 بيتي براي مقابله با تدابير امنيتي از جمله PatchGuard و اجراي امضاي ديجيتالي درايورها مرتبط دانست كه موجب افزايش هزينه توليد روتكيت براي سيستم عامل هاي 64 بيتي ميگردد. با اين حال با رشد استفاده از سيستم هاي 64 بيتي انگيزه جهت سرمايه گذاري بيشتر براي دور زدن ابزارهاي دفاعي آنها بيشتر شده است. قابليت هاي امنيتي قرارداده شده در سيستم هاي 64 بيتي براي مهاجمان سازمان يافته تنها حكم سرعت گير را دارد كه به زودي از آن عبور خواهند نمود.
يكي از تكنيك هاي سواستفاده از آسيب پذيري هاي سيستم هاي 64 بيتي ميتواند نصب يك سخت افزار يا نرم افزار با درايور داراي امضاي ديجيتال و سپس سعي در دسترسي به كرنل باشد. يكي از اين نوع روتكيت ها Uroburos نام دارد كه يك روتكيت پيچيده است كه در ماه فوريه سال جاري كشف شده كه در حملات جاسوسي اطلاعات با نصب نسخه هاي قديمي درايور VirtualBox داراي امضاي ديجيتال استفاده شده است. در اين نوع حمله پس از سوء استفاده از آسيب پذيري، افزايش سطح دسترسي صورت مي گيرد.
يكي ديگر از روش معمول براي حمله به سيستم هاي 64 بيتي، سرقت گواهينامه هاي امضاي ديجيتال از شركت هاي معتبر و استفاده از آنها در كد هاي مخرب جهت عدم شناسايي ميباشد. از ژانويه 2012 حداقل در 21 نمونه روتكيت 64 بيتي منحصر به فرد گواهي هاي به سرقت رفته استفاده شده است. نرم افزار مخرب W64/Winnti حداقل پنج كليد خصوصي از فروشندگان قانوني به سرقت برده و در نصب روتكيت هاي خود بر روي سيستم هاي 64 بيتي از سال 2012 استفاده نموده است. از اين پنج كليد حداقل دو كليد ابطال نشده و ممكن است براي اهداف نا مشروع و مخرب درحال استفاده باشد.
طي سال جاري تعداد برنامه هاي مخرب داراي امضا ديجيتالي به طور كلي رو به افزايش بوده است. در حال حاضر بيش از 25 ميليون نمونه شناخته شده از نرم افزارهاي مخرب ديجيتالي امضا شده، كه بيش از 2.5 ميليون از اين نرم افزارها در سه ماهه اول سال جاري كشف شده اند.
راه ديگر براي دور زدن تدابير دفاعي سيستم هاي 64 بيتي توسط روتكيت ها، بهره برداري از آسيب پذيري افزايش سطح دسترسي كشف شده در هسته ويندوز بوده كه تعداد اين نقص ها در چند سال گذشته رو به افزايش مي باشد. پژوهشگران در حال توسعه ابزار هدفمند بررسي شرايط رقابتي مانند “Double Fetch” براي پيدا كردن نقص در كد هسته مي باشند. به گفته آنها، موج جديدي از حملات روتكيت ها در برابر سيستم هاي 64 بيتي با استفاده از تعداد فزاينده اي از آسيب پذيري ها درراه است.
يك كلاس خاص از روتكيت ها به نام bootkits مي باشد كه كدهاي مخرب را در مستر بوت ركورد سيستم در اولين بخش 512 بايت از هارد ديسك كپي ميكند كه به طور معمول شامل كد هاي بوت لودر سيستم عامل ميباشد. اجراي كد MBR قبل از هسته سيستم عامل آغاز مي گردد، بنابراين كد هاي مخرب ذخيره شده مي توانند پيش از اجراي هر برنامه امنيتي نصب شده در سيستم عامل اجرا شوند.
در طول سه ماهه اول سال جاري نسبت به سه ماهه اول دو سال گذشته بيش از 900.000 از انواع نرم افزارهاي مخرب جديد را با MBR Payload كشف و شناسايي شده است . از نظر شركت مك آفي تعداد نرم افزار هاي مخرب آلوده ساز MBR بيش از 6 ميليون مي باشد.
يكي از راهكارهاي مقابله با اين نوع حملات استفاده از قابليت بوت امن با جايگزيني UEFI، Unified Extensible Firmware Interface ، با Bios در كامپيوتر هاي جديد جهت جلوگيري از نصب و راه اندازي Bootkit مي باشد. UEFI كدهاي بوت را با يك ليست سفيد از كدهاي تاييد شده و داراي امضاي ديجيتال چك مي كند و در صورت عدم مغايرت اجازه بوت شدن سيستم عامل را مي دهد. اگر چه در سال گذشته محققان امنيتي آسيب پذيري هاي متعدد در پياده سازي UEFI يافته اند كه مي توان از طريق آنها نسبت به غير فعال كردن بوت امن اقدام نمود.
منبع خبر:
http://www.cso.com.au/article/548445/researchers_expect_large_wave_rootkits_targeting_64-bit_system…
- 5