همه کاربران ویندوز باید سیستم‌عامل و نرم‌افزارهای خود را به‌روزرسانی نمایند

دو هفته پیش، محققان موسسه امنیت سایبری Eclypsium فاش کردند که تقریباً همه تولیدکنندگان بزرگ سخت‌افزار، دارای نقصی هستند که می‌تواند به اپلیکیشن‌های مخرب اجازه دهد تا هسته عملیات کاربران را در دست گیرند، در نتیجه از این طریق، دسترسی مستقیم به سیستم‌عامل و سخت‌افزار کاربران میسر می‌شود.

محققان لیستی از فروشندگان BIOS و تولیدکنندگان سخت‌افزار را منتشر کرده‌اند که شامل توشیبا (Toshiba)، ایسوس (ASUS)، هوآوی، اینتل، انویدیا و چند شرکت دیگر می‌شود. این حفره همچنین بر روی تمامی نسخه‌های جدید ویندوز شامل ویندوز ۷، ۸، ۸٫۱ و ویندوز ۱۰ نیز تأثیر می‌گذارد. اگرچه مایکروسافت پیش‌تر بیانیه‌ای را منتشر کرده بود که تأیید می‌کرد که Windows Defender توانایی زیادی برای رسیدگی به چنین مسائلی دارد، اما ردموندی‌ها ذکر نکردند که کاربران جهت بهره‌مندی از این مزایا، باید از آخرین نسخه ویندوز استفاده نمایند. در رابطه با نسخه‌های قدیمی‌تر ویندوز، مایکروسافت خاطرنشان کرد که از قابلیت HVCI استفاده می‌کند تا درایورهای مخرب را در لیست سیاه قرار دهد. متأسفانه، این ویژگی فقط در پردازنده‌های نسل ۷ به بالای اینتل موجود است، بنابراین کاربران پردازنده‌های قدیمی‌تر یا جدیدتر، که قابلیت HCVI در آن‌ها غیرفعال است، باید به‌صورت دستی اقدام به حذف این درایورها نمایند.

اگر این خبر به اندازه کافی ناخوشایند نبود، باید به شما بگوییم که هکرها اکنون موفق شده‌اند تا از این نقص، جهت سوءاستفاده از کاربران استفاده نمایند. Remote Access Trojan یا به اختصار RAT، چندین سال است که وجود دارد، اما تحولات اخیر، این بدافزار را خطرناک‌تر از همیشه نموده است. تروجان NanoCore RAT قبلاً در فضای Dark Web با قیمت ۲۵ دلاری به فروش می‌رسید اما در سال ۲۰۱۴، دوباره به بازار عرضه شد و این بار، نسخه رایگان آن در اختیار هکرها قرار گرفت. از آن زمان، این تروجان با جذب افزونه‌های بیشتر، پیچیده‌تر شده است. اکنون، محققان آزمایشگاه‌های LMNTRX، یک افزونه جدید را کشف کرده‌اند که به هکرها اجازه می‌دهد تا از حفره یاد شده استفاده نمایند. این ابزار اکنون به‌صورت رایگان در فضای Dark Web موجود است.

اگر این افزونه را دست‌کم گرفته‌اید، لازم است بدانید که این افزونه به هکرها اجازه می‌دهد تا از راه دور، کامپیوتر شما را خاموش یا ریستارت کنند، فایل‌های شما را مرور نمایند، به Task Manager ،Registry Editor و حتی ماوس شما دسترسی پیدا کرده و آن‌ها را کنترل نمایند. علاوه بر این‌ها، مهاجم می‌تواند صفحات وب را باز کرده و چراغ فعالیت وب‌کم را غیرفعال کند تا بدین‌شیوه، از قربانی بدون جلب توجه جاسوسی نموده و صدا و تصویر وی را ضبط نماید. از آنجا که مهاجمان دسترسی کاملی به کامپیوتر قربانی‌ دارند، آن‌ها همچنین می‌توانند گذرواژه‌ها را بازیابی کرده و مجوزهای ورود به سیستم را با استفاده از یک keylogger به دست آورند و نیز کامپیوتر را با رمزگذاری سفارشی خود قفل نمایند، که این اقدام همانند عملکرد یک باج‌افزار است.

خبر خوب این است که تروجان NanoCore RAT سال‌ها است که وجود دارد و این نرم‌افزار برای محققان امنیتی بسیار شناخته شده است. تیم LMNTRX تکنیک‌های تشخیص این بدافزار را به سه دسته زیر تقسیم نموده است:

• T1064 – Scripting: از آنجا که برنامه‌نویسی معمولاً برای انجام کارهای روزمره مورد استفاده قرار می‌گیرد، بنابراین  هرگونه اجرای غیرعادی برنامه‌های کدنویسی قانونی مانند: PowerShell یا Wscript، می‌تواند یک رفتار مشکوک را نشان دهد. بررسی پرونده‌های آفیس جهت پیدا کردن کدهای طولانی، می‌تواند به شناسایی کدنویسی استفاده شده توسط مهاجمان کمک نماید. پردازش‌ اپلیکیشن‌های آفیس مانند winword.exe، موارد استفاده از cmd.exe یا برنامه‌های اسکریپتی مانند wscript.exe و powershell.exe، ممکن است که فعالیت‌های مخرب را نشان دهند.
• T1060 – Registry Run Keys / Startup Folder: بررسی تغییرات کلیدها که با نرم‌افزارهای شناخته شده یا بهینه‌سازها همبستگی ندارند و همچنین نظارت بر پوشه استارت (start) در رابطه با اضافات یا تغییرات، می‌تواند به تشخیص بدافزارها کمک نماید. همچنین مقایسه فعالیت برنامه‌های مشکوک که در شروع‌کار (start-up)، فعالیت خود را آغاز می‌کنند، با سابقه تاریخی چنین اپلیکیشن‌هایی، می‌تواند تا حدودی مشکل‌گشا باشد. راه‌حل‌هایی مانند LMNTRIX Respond، که این مکان‌های مهم را رصد می‌نمایند و هشدارهایی را در رابطه با هرگونه تغییر یا افزونه‌های مشکوک، به کاربران خود می‌دهند نیز می‌تواند کمک‌رسان باشد.
• T1193 – Spearphishing Attachment: سیستم‌های شناسایی نفوذ به شبکه مانند LMNTRIX Detect، می‌توانند جهت شناسایی عملیات فیشینگ مرتبط با پیوست‌های مخرب، مورد استفاده قرار گیرند. LMNTRIX Detect می‌تواند پیوندهای مخرب را بر اساس رفتار و نه امضاها، تشخیص دهد؛ این بسیار مهم است زیرا شناسایی مبتنی بر امضا، غالباً در برابر مهاجمانی که بارها خود را تغییر داده و به‌روز می‌کنند، شکست خواهد خورد.

به‌طور کلی، این تکنیک‌های تشخیص، برای سازمان‌ها و کاربران شخصی/خانگی کاربرد دارند. بهترین کاری که در حال حاضر باید انجام دهید، به‌روزرسانی نرم‌افزارها است تا مطمئن شوید که از آخرین نسخه آن‌ها استفاده می‌نمایید. این کار شامل درایورهای ویندوز، نرم‌افزارهای شخص ثالث و حتی به‌روزرسانی‌های ویندوز نیز می‌شود. و از همه مهم‌تر، هیچ ایمیل مشکوکی را باز نکنید و هیچ نرم‌افزاری را از یک منبع نامشخص، نصب ننمایید.