By 
زندگی در برابر حملات نوع Land ، که از برنامه های قانونی یا ویژگی های سیستم عامل برای ایجاد آسیب استفاده می کند ، چیز جدیدی نیست ، اما با توجه به اینکه کارشناسان نرم افزار مدرن حساس به LotL را ردیابی می کنند ، مجرمان سایبری مجبور به نوآوری شدند. محققان Jean-Ian Boutin و Zuzana Hromcova در مورد یک چنین نوآوری ، استفاده از م componentsلفه ها و برنامه های قانونی Windows XP ، در کنفرانس RSA 2021 صحبت کردند.
زندگی در خارج از کشور و اجزای آسیب پذیر Windows XP
مطالعه فعالیت InvisiMole گروه ، بوتین و هرومکووا خاطر نشان کردند که استفاده از ابزارهای InvisiMole از پرونده ها برای سیستم عامل منسوخ شده به آنها کمک می کند تا زیر رادار بمانند. محققان به این پرونده ها نام عمومی VULNBins داده اند ، مانند نام LOLBins ، که جامعه امنیتی در مورد پرونده های مورد استفاده در حملات Living off the Land اعمال می کند.
البته ، بارگیری یک پرونده منسوخ شده به رایانه قربانی نیاز به دسترسی به رایانه دارد. . اما VULNBins معمولاً برای ایجاد ماندگاری در یک سیستم هدفمند مورد استفاده قرار می گیرد ، بدون اینکه مورد توجه واقع شود ، نه برای نفوذ واقعی. ایجاد تداوم شامل استفاده از یک پخش کننده ویدیوی قدیمی با آسیب پذیری سرریز بافر شناخته شده است. از طریق Task Scheduler ، مجرمان سایبری وظیفه منظمی را ایجاد می کنند که با پخش کننده ای که فایل پیکربندی آن تغییر یافته است تا از این آسیب پذیری استفاده کند ، کد مورد نیاز برای مرحله بعدی حمله را بارگیری می کند.
اگر ، با این وجود ، مهاجمان InvisiMole مدیریت دستیابی به حقوق مدیر ، آنها می توانند روش دیگری را که از اجزای قانونی سیستم setupSNK.exe ، کتابخانه ویندوز XP wdigest.dll و Rundll32.exe (همچنین از سیستم منسوخ شده) برای اجرای کتابخانه استفاده می کند ، به کار گیرند. سپس داده هایی را که کتابخانه در حافظه بار می کند دستکاری می کنند. این کتابخانه قبل از استفاده از فناوری ASLR ایجاد شده است ، بنابراین مجرمان سایبری آدرس دقیق حافظه محل بارگیری آن را می دانند.
آنها بیشتر بارهای مخرب را در رجیستری به صورت رمزگذاری شده و کلیه کتابخانه ها و موارد اجرایی ذخیره می کنند. آنها استفاده می کنند مشروع است. به همین ترتیب ، تمام آنچه که به حضور دشمن در داخل خیانت می کند ، پرونده ای با تنظیمات پخش کننده و بهره کوچکی است که کتابخانه های منسوخ شده را آدرس می دهد. به طور معمول ، این برای سو to ظن یک سیستم امنیتی کافی نیست.
چگونه ایمن بمانیم
برای جلوگیری از استفاده مجرمان سایبری از پرونده های قدیمی و اجزای سیستم منسوخ (خصوصاً مواردی که توسط ناشر قانونی امضا شده است) ، داشتن پایگاه داده از این قبیل پرونده ها شروع خوبی است. این می تواند دفاع های موجود را مسدود یا حداقل آنها را ردیابی کند (اگر به دلایلی مسدود کردن امکان پذیر نیست).
تا زمانی که چنین لیستی وجود نداشته باشد ، از راه حل کلاس EDR ما استفاده کنید:
- اجرای اجزای ویندوز واقع در خارج از پوشه سیستم را شناسایی و مسدود کنید ،
- شناسایی پرونده های سیستم بدون امضا (برخی از سیستم ها پرونده ها به جای یک امضای دیجیتالی منحصر به فرد ، با یک فایل کاتالوگ امضا می شوند ، اما یک فایل سیستمی به سیستمی منتقل می شود که فاقد پرونده مورد نیاز cat است ، بدون امضا در نظر گرفته می شود) ،
- برای ایجاد تفاوت بین نسخه سیستم عامل و نسخه هر فایل اجرایی ،
- یک قانون مشابه برای برنامه های دیگر ایجاد کنید – به عنوان مثال ، برای جلوگیری از اجرای پرونده های بیش از 10 سال پیش تنظیم شده است.
همانطور که اشاره کردیم ، برای بارگیری چیزی در رایانه قربانی ، ابتدا مهاجمان نیاز به دسترسی دارند برای جلوگیری از دسترسی VULNBins به ایستگاه های کاری شما ، راه حل های امنیتی را روی همه دستگاه های دارای اینترنت نصب کنید ، آگاهی کارمندان را در مورد اقدامات سایبری مدرن افزایش دهید و از نزدیک ابزارهای دسترسی از راه دور را کنترل کنید.
(تابع (d، s، id) {var js، fjs = d.getElementByTagName (s) [0]؛ if (d.getElementById (id)) {return} js = d.createElement (s)؛ js.id = id؛ js.src = "https: / / connect.facebook.net / en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛ .
