گروه مقاله : مطالب خواندنی
تاريخ انتشار : 1394/01/24 - 17:00
كد :168

سرقت اطلاعات سیستم به طور خودکار توسط ابزار روت کیت جدید

اخیرا محققان امنیتی با نام‌های کوری کالنبرگ (Corey Kallenberg) و زنو کواه (Xeno Kovah) به روشی پیچیده و البته امکان‌پذیر برای هک سیستم و سرقت اطلاعات از طریق فرمور و روت‌کیت دسترسی پیدا کرده‌اند؛ در این مقاله به طور کامل این متد توضیح داده شده است.
ادوارد جوزف اسنودن متولد ۲۱ ژوئن ۱۹۸۳ میلادی، افشاگر کنونی و کارمند سابق سازمان اطلاعات مرکزی آمریکا و پیمانکار سابق آژانس امنیت ملی است. اسنودن در ژوئن ۲۰۱۳ اطلاعات طبقه بندی شده‌ای از برنامه‌های فوق سری NSA از جمله برنامه شنود پریزم را به نشریات گاردین، نیویورک تایمز و واشینگتن پست لو داد. سند فوق سری که توسط اسنودن در اختیار روزنامه گاردین قرار گرفت، نشان می‌دهد که سازمان امنیت ملی ایالات متحده آمریکا این اختیار قانونی را داشته تا بدون نیاز به حکم قضایی، اقدام به جاسوسی از ایمیل‌ها، مکالمات تلفنی و پیامک‌های شهروندان آمریکایی کند. این قانون که در سال ۲۰۱۱ میلادی به تصویب رسیده در تضاد با اظهارات باراک اوباما رئیس جمهور آمریکا و سایر مقام‌های اطلاعاتی در کنگره و سنا مبنی بر حمایت و حفاظت دولت از حریم خصوصی شهروندان این کشور است. روزنامه‌های گاردین انگلیس، واشنگتن پست آمریکا و ایندیپندنت بریتانیا شیوه‌های موسسه امنیت ملی آمریکا را برای شنود مکالمات تلفنی و الکترونیکی که اسنودن فاش کرده است، منتشر کردند.
 
 
 افشاگری‌های جدید اسنودن اطلاعات جدیدی را از نحوه کار ستاد ارتباطات دولت انگلیس و آژانس امنیت ملی ایالت محده آشکار کرد. در این گزارش نیز تمامی مراحل هک و دستیابی به اطلاعات سیستم تشریح داده شده است. در واقع این متد تمامی تکنیک‌های به کار کرفته شده توسط آژانس امنیت ملی آمریکا را آشکار می‌کند. این تکنیک‌ها شامل حملات مبتنی بر بدافزارها و روش‌های دیگری است که اجزای یک سیستم را در معرض خطر قرار می‌‌دهند. به همین دلیل تحقیقات در این زمینه  گسترده است. بنابراین چنین حملاتی باید توسط سیستم تشخیص حملات  مدرن شناسایی شوند زیرا هر لحظه امکان دارد سیستم در معرض حمله و خطر باشد. به عنوان مثال، احتمال دارد آژانس‌ها از سیستم‌هایی مانند سیستم‌عامل «Tails» که یکی از توزیع‌های لینوکس و بر پایه دبیان است، جاسوسی کنند. Tails جزو سیستم‌عامل‌های امنیتی لینوکس است که توسط ادوارد جوزف اسنودن توسعه داده شده و عملا برای جلوگیری از حملات و حتی هک مورد استفاده قرار می‌گیرد. آژانس‌های امنیتی قادر به دستیابی به تمامی اطلاعات کاربران هستند حتی آن دسته از کاربرانی که سیستمی امن دارند.
 
کوری کالنبرگ و زنو کواه جزو محققان امنیتی هستند که در کنفرانس CanSecWest مقاله‌ای را تحت عنوان «پیدا کردن آسیب‌پذیری‌های بایوس» ارائه کردند. فِرموِر بایوس اولین نرم‌افزاری است که حین راه‌اندازی سیستم بارگذار می‌شود. بایوس در داخل یک تراشه بر روی همه مادربرد در کامپیوترهای شخصی قرار می‌گیرد. فرمور به برنامه‌های سطح پایین تقریبا ثابتی گفته می‌شود که در چیپ‌های الکتریکی ذخیره شده و معمولاً کنترل آن دستگاه را بر عهده می‌گیرند. هکرهایی که به این سطح از سیستم دسترسی پیدا می‌کنند معمولا از بدافزارهایی به نام روت‌کیت استفاده می‌کنند. روت‌کیت بدافزارهایی هستند که اغلب، ﺁنها را به خودی خود نمی‌توان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروس‌ها یا کرم‌های اینترنتی یا نوع استفاده از ﺁن‌ها است که به ﺁنان ماهیتی خطرناک می‌بخشد. به عنوان یک تعریف می‌توان گفت که روت‌کیت ابزاری نرم‌افزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان نمود. روت‌کیت‌ها اغلب در سطح سیستم‌عامل فعالیت کرده و با تغییراتی که در سیستم‌عامل یا منابع ﺁن انجام می‌دهند، به مقاصد خود دست پیدا می‌کنند. به علت قابلیت پنهان‌سازی قوی اینگونه برنامه‌ها، شناسایی ﺁن‌ها یا برنامه‌هایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر می‌تواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از روت‌کیت‌ها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا می‌نمایند. سپس با قابلیت‌های خاص خود ﺁن‌را از دید کاربر مخفی می‌کنند و کرم مزبور به راحتی به فعالیت‌های مخرب خود به دور از چشم کاربر ادامه می‌دهد. روت‌کیت‌ها برنامه‌هایی هستند که از نظر ساختار کاری بسیار شبیه تروجان‌ها و درب‌های پشتی هستند، ولی با این تفاوت که شناسایی روت‌کیت بسیار مشکل‌تر از درب‌های پشتی است زیرا روت‌کیت‌ها جایگزین برنامه‌های اجرایی مهم سیستم عامل شده و در گاهی مواقع جایگزین خود هسته می‌شوند و به هکرها این اجازه را می‌دهند که از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ کنند.
 
 حال هکری که از روت‌کیت برای نفوذ به سیستم است، قادر خواهد بود سیستم‌های شناسایی و تشخیص حملات را غیرفعال کنند. هکر برای اینکه بتواند کدهای مخرب خود را در سیستم کاربر منتشر کند ابتدا باید دسترسی مدیر سیستم یا ادمین را داشته باشد؛ از این رو هکرها از اکسپلویت‌های شناخته شده سیستم از جمله اکسپلویت اینترنت اکسپلورر و برخی آسیب‌پذیری‌های بایوس استفاده می‌کند. مرحله‌ی اول معمولا به راحتی از طریق اینترنت قابل دسترسی است ولی مرحله دوم که «post-exploitation» نام دارد بسیار مشکل بوده و معمولا نهادهای دولتی و امنیتی بزرگی مانند آژانس امنیت ملی قادر به انجام آن هستند.
 
حال این محققان ابزاری را توسعه داده‌اند که عملیات شناسایی و بهره‌برداری از آسیب‌پذیری‌های بایوس را به طور خودکار انجام می‌دهد. کالنبرگ و کواه جزئیات دقیقی از این ابزار را در کنفرانس CanSecWest که در شهر وانکوور کانادا برگزار خواهد شد، ارائه می‌دهند. این کنفرانس حاوی مطالب هک «Pwn2Own» را در برمی‌گیرد. این محققان خود بدافزاری طراحی کرده و در مقابل آن توانستند با ابزار اکسپلویت جدید خود و به کمک بدافزار چندین بار به سیستم و بخش مدیریت سیستمی یا «SMM» نفوذ کنند. SMM جزئی از کامپیوتر است که کاملا توسط فریمور کنترل شده و جدا از فرآیندهای دیگر است. این بخش قادر است تمامی رویدادها و فرآیندهای سیستم را چک کرده و کنترل کند.
 
کالنبرگ در مصاحبه‌ای که با forbes  داشته بخشی از این ابزار را توضیح داد و گفت:
 
هنگامی که پیلود در سیستم جای گرفت، کد مخرب و عامل ما در SMM به فعالیت خواهد پرداخت. نکته‌ای که درباره SMM مهم است این است که کاملا مستقل از سایر بخش های سیستم کار کرده و از دید سیستم‌عامل پنهان است. این قسمت از سیستم محافظت شده و توسط سیستم‌عامل قابل نوشتن و خواندن نیست. البته اگرچه سیستم عامل Tails لینوکس دسترسی خواندن و نوشتن بر روی حافظه را ندارد اما به تمامس قسمت‌های حافظه دسترسی دارد.
منبع مقاله : زومیت
نظرات كاربران :