Hotpatching در اصلاح فنی به وصلهسازی زنده یا بهروزرسانی پویای نرمافزاری مشهور است. راهکاری که در آن بدون اینکه به خاموش کردن یا راهاندازی مجدد دستگاه نیازی باشد، وصله مربوطه را روی سیستمعامل نصب میکند. گزارش مایکروسافت نشان میدهد این گروه کار خود را از سال 2009 آغاز کردهاند و در خلال این سالها موفق شدهاند به مراکز مهمی همچون سازمانهای دولتی، آژانسهای امنیتی، مؤسسات دفاعی و ارائهدهندگان سرویسهای ارتباطی در جنوب و جنوب شرق آسیا نفوذ کنند. در مکانیزم تهدید پیشرفته متناوب APT، سرنام Advanced Persistent Threat، اصل مهم پنهان ماندن است. این مدل از تهدید از راهکارهای پیشرفتهای استفاده کرده و در بهترین حالت ممکن به جمعآوری متناوب اطلاعات درباره یک فرد یا یک سازمان اقدام میکند.
در حقیقت تهدید پیشرفته متناوب را میتوان زیر مجموعهای از تهدیدات در نظر گرفت که در یک الگوی درازمدت استفاده میشود و مقصود از آن راهاندازی حملات پیچیدهای است که هدفش سازمانهای بزرگ است. در این مدل از حمله هکرها از مجموعهای گسترده و جامع از تکنیکها بهمنظور جمعآوری اطلاعات و دادهها استفاده میکنند. در حالی که این مدل حمله از تکنیکهای پیشرفته نفوذ برای جمعآوری اطلاعات استفاده میکند، اما میتواند از تکنیکهای دیگری از قبیل فناوریهای شنود ارتباطات یا تصویربرداری ماهوارهای برای جمعآوری اطلاعات استفاده کند. در مکانیزم تهدید پیشرفته متناوب هکرها از هر دو گروه ابزارهای رایج و مرسوم همچون بدافزارها و همچنین نسخه سفارشی و توسعهیافته ابزارهای رایج استفاده میکنند. گزارش مایکروسافت نشان میدهد که تمرکز این گروه عمدتاً روی اهداف خاص بوده و به دنبال کسب منافع مالی نبودهاند. در نتیجه احتمال اینکه این گروه هکری توسط سازمان دیگری هدایت و خطدهی شوند، وجود دارد. مؤلفه HotPatching از سال 2003 و همراه با سیستمعامل ویندوز سرور 2003 توسط مایکروسافت معرفی شد. هکرها با استفاده از این مؤلفه و ترکیب آن با روش «Spear- Phishing»، به شبکهها نفوذ میکردند. Spear Phishing گونهای از فیشینگ بوده که هدف آن فرد یا سازمان خاصی است. در این حمله هکرها تا حد امکان سعی میکنند اطلاعات شخصی خاصی را بهمنظور افزایش ضریب موفقیت خود به دست آورند. گروه پلاتینیوم با بهرهبرداری از ویژگی HotPatching، ویندوز کدهای مخرب خود را در فرایندهای در حال اجرا تزریق میکردند و در ادامه درهای پشتی و بدافزارهای نصبشده روی سیستم قربانی را از دید محصولات ضدبدافزاری پنهان میکردند. مایکروسافت در گزارش خود آورده است که هکرها معمولاً از تکنیک تزریق کد با استفاده از CreateRemoteThread NtQueueApcThread (برای اجرای یک تهدید پیشرفته مستمر در پردازههای مقصد)، RtlCreatUserThread و NtCreateThreadEx در مؤلفههای ویندوز همچـــــــون lsass.exe، winlogon.exe و schost.exe استفاده میکنند. در این روش هکرها کدهایی در ساختار یک فایل اجرایی (PE) تزریق کردهاند که این بخش با نام .hotp1 در ساختار سرباره hotpatch قرار میگرفته است. این ساختار همه اطلاعات لازم برای بارگذاری و دسترسی به بخشهایی همچون PAGE_READWRITE را امکانپذیر میکرده است. کارشناسان امنیتی اعلام کردهاند که این گروه موفق به نصب درهای پشتی Abdupd، Dipsing و JPIN روی شبکههایی که سازمانهای مختلف و ارائهدهندگان خدمات اینترنتی استفاده میکنند، شدهاند و در نهایت حجم قابل ملاحظهای از اطلاعات را به سرقت بردهاند.
تحلیلها نشان میدهند که این گروه با هدف کسب فواید مادی این کار را انجام ندادهاند، بلکه بیشتر در جستوجوی اطلاعاتی بودند که در جاسوسیهای اقتصادی از آنها استفاده میشود. آمارها نشان میدهد، تمرکز این گروه عمدتاً بر کشورهای اندونزی، چین، هند و مالزی قرار داشته است. در حالی که گروه پلاتینیوم همچنان فعال است و به کار خود ادامه میدهد، اما یکی از کارشناسان امنیتی مایکروسافت اعلام کرده است برای اجتناب از دستبرد این گروه به اطلاعات سازمانی، سازمانها بهتر است مکانیزم اجرای HotPatching را تنها با مجوز مدیریتی فعال سازند. در این حالت تنها راهکاری که هکرها با استفاده از آن میتوانند به مجوزهای مدیریتی دست پیدا کنند، ارسال ایمیلهای Spear-phising است که همراه با ایمیلهای فیشینگ، مستندات آفیس آلودهای را برای فریب کاربران و آلودهسازی سیستم آنها ارسال میکنند.
برای کسب اطلاعات بیشتر به اینجا مراجعه کنید.
==============================
شاید به این مقالات هم علاقمند باشید:
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟