[ad_1]

جمجمه و استخوان های متقاطع سبک شده از یک و صفر ساخته شده است.

یکی از پرخاشگرانه ترین تهدیدها در اینترنت ، احتمال آلوده کردن یکی از مهمترین قسمتهای هر رایانه امروزی ، بدتر شده است.

Trickbot بخشی از بدافزار است که با ویژگی های پیشرفته آن مشخص می شود. چارچوب مدولار آن با بدست آوردن امتیازات قدرتمند مدیریتی ، توزیع سریع کامپیوتر به رایانه در شبکه ها و انجام اطلاعاتی است که رایانه های آلوده متعلق به اهداف با ارزش را مشخص می کند. او اغلب از نرم افزارهای قابل دسترسی مانند Mimikatz یا سو explo استفاده هایی مانند EternalBlue که توسط آژانس امنیت ملی به سرقت رفته استفاده می کند.

Trickbot که یک کلاهبردار ساده بانکی در Trojan بود ، در طول سالها به عنوان یک سرویس به یک پلت فرم بدافزار کامل تبدیل شده است. اپراتورهای Trickbot دسترسی به تعداد زیادی از ماشین های آلوده خود را به سایر مجرمان که از botnet برای پخش Trojans بانک ، باج افزار و بسیاری از بدافزارهای دیگر استفاده می کنند ، می فروشند. مشتریان به جای اینکه از مشکلات بردگی قربانیان عبور کنند ، یک گروه رایانه آماده دارند که با نرم افزار مجرمانه خود کار خواهند کرد.

اولین حلقه در زنجیره امنیت

اکنون Trickbot به قدرت جدیدی دست یافته است: توانایی اصلاح UEFI در رایانه. UEFI به اختصار از Unified Extensible Firmware Interface (نرم افزار توسعه یافته و یکپارچه) ، نرم افزاری است که سیستم عامل دستگاه رایانه را به سیستم عامل آن متصل می کند. به عنوان اولین نرم افزاری که تقریباً هر ماشین مدرنی روشن است ، این اولین حلقه در زنجیره امنیت است. از آنجا که UEFI در یک تراشه فلش روی مادربرد قرار دارد ، تشخیص و از بین بردن عفونت ها دشوار است.

با توجه به نتایج مطالعه منتشر شده در روز پنجشنبه ، Trickbot به روز شده است که شامل یک راننده گیج کننده برای RWEverything ، ابزاری آماده است که مردم از آن برای نوشتن میان افزار تقریباً در هر دستگاهی استفاده می کنند.

محققان اکنون Trickbot را کشف کرده اند و تنها با استفاده از این ابزار بررسی می کنند که آیا دستگاه آلوده در برابر تغییرات غیرمجاز UEFI محافظت می شود یا خیر. اما با یک خط کد ، می توان بدافزار را اصلاح کرد تا قسمت مهم سیستم عامل را کاملاً آلوده یا حذف کند.

در نشریه مشترک روز پنجشنبه شرکت های امنیتی AdvIntel و Eclypsium آمده است: “این فعالیت اپراتورهای TrickBot را بر آن داشته است تا اقدامات پیشگیرانه تری مانند نصب کاشت سیستم عامل و درهای عقب یا تخریب (آجر) دستگاه مورد نظر را انجام دهند.” “کاملاً ممکن است کسانی که درگیر تهدید هستند از این آسیب پذیری ها در برابر اهداف با ارزش بالا بهره برداری می کنند.”

تاکنون نادر است

تاکنون تنها دو مورد مستند از آلوده شدن بدافزار به UEFI وجود دارد. اولین مورد ، که دو سال پیش توسط ارائه دهنده امنیتی ESET کشف شد ، توسط Fancy Bear ، یکی از پیشرفته ترین گروه های هک در جهان و بخشی از دولت روسیه ساخته شده است. با هدایت یک ابزار ضد سرقت قانونی معروف به LoJack ، هکرها توانستند سیستم عامل UEFI را اصلاح کنند تا به سرورهای Fancy Bear و نه LoJack گزارش دهد.

دسته دوم عفونت های واقعی UEFI فقط دو ماه پیش توسط شرکت امنیتی مستقر در مسکو آزمایشگاه کسپرسکی کشف شد. محققان این شرکت سیستم عامل مخرب را بر روی دو رایانه یافتند که هر دو متعلق به دیپلمات های مستقر در آسیا بودند. عفونت ها یک پرونده مخرب در پوشه راه اندازی رایانه قرار می دهند تا هر زمان که کامپیوتر شروع به کار می کند ، شروع به کار کند.

تراشه های فلش رزیدنت که UEFI را ذخیره می کنند دارای مکانیزم های کنترل دسترسی هستند که می توانند در حین فرآیند راه اندازی قفل شوند تا از تغییرات غیرمجاز سیستم عامل جلوگیری شود. با این حال ، غالباً ، این محافظت ها غیرفعال ، پیکربندی نادرست یا توسط آسیب پذیری ها جلوگیری می شود.

عفونت های UEFI در مقیاس بزرگ

محققان اکنون مشاهده کرده اند که Trickbot از قابلیت های نوشتاری UEFI که به تازگی به دست آورده است ، برای آزمایش وجود حفاظت در محل استفاده می کند. تصور می شود که اپراتورهای مخرب در حال تهیه لیستی از ماشین آلات آسیب پذیر در برابر چنین حملاتی هستند. سپس اپراتورها می توانند دسترسی به این ماشین ها را بفروشند. مشتریانی که باج افزار را کلیک می کنند می توانند با استفاده از این لیست ، UEFI را بازنویسی کنند تا تعداد زیادی از ماشین ها از قابلیت بوت خارج شوند. مشتریان جاسوسی Trickbot می توانند از این لیست برای کاشت درهای پشتی سخت در کامپیوتر در شبکه های با ارزش استفاده کنند.

در آغوش گرفتن Trickbot با کد نوشتاری UEFI تهدید می کند که چنین حملاتی گسترده است. دسترسی به رایانه های آسیب پذیر UEFI به جای تحت سلطه بودن گروه های پیشرفته با تهدیدهای مداوم ، كه معمولاً از طرف كشورهای ملی تأمین می شود ، به همان مجرمان سطح پایین كه اكنون از Trickbot برای انواع دیگر حملات مخرب استفاده می كنند ، اجاره داده می شود. نرم افزار.

محققان AdvIntel و Eclypsium می نویسند: “تفاوت در اینجا این است که رویکرد خودکار مدولار TrickBot ، زیرساخت های قوی و قابلیت استقرار سریع انبوه سطح جدیدی از مقیاس را به این روند می رساند.” “همه قطعات اکنون برای انجام فعالیتهای گسترده مخرب یا جاسوسی آماده شده اند که می توانند کل عمودیها یا بخشهایی از زیرساختهای مهم را هدف قرار دهند.”

[ad_2]

منبع: tarjome-news.ir