about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
آسیب پذیری
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ

اجرای کد مخرب از طریق RDP با سوءاستفاده از MSTSC

یک تکنیک که به مهاجمین اجازه می‌دهد یک تاکتیک حمله تحت عنوان بارگذاری جانبی DLL، کدهای مخرب را از طریق پروتکل دسترسی از راه دور دسکتاپ (RDP) اجرا کنند.

به گزارش کارگروه امنیت سایبربان، بارگذاری جانبی DLL زمانی اتفاق می‌افتد که یک برنامه به‌صورت نادرست یا مبهم، یک فایل DLL موردنیاز را مشخص می‌کند. درنتیجه این امر، برنامه در معرض آسیب‌پذیری قرار می‌گیرد که ممکن است در آن‌یک DLL ناخواسته در برنامه بارگذاری شود. مهاجمین می‌توانند از برنامه‌های قانونی که در برابر بارگذاری جانبی (side-loading) آسیب‌پذیر هستند، سوءاستفاده کنند تا DLL مخرب را بارگیری کرده و از شناسایی هرگونه اقدام مخرب تحت پوشش یک سیستم یا فرآیند پردازشی قابل‌اعتماد، جلوگیری کنند.

کاربران برای اجرای RDP، به MSTSC در ویندوز دسترسی پیدا می‌کنند تا بتوانند با استفاده از یک اتصال شبکه، یک کامپیوتر از راه دور یا یک ماشین مجازی را کنترل کنند. MSTSC به‌عنوان‌ یکی از منابع خود به فایل mstscax.dll متکی است. پژوهشگران متوجه شدند كه MSTSC اجرای با تأخیر (delay-loading) فایل mstscax.dll را به‌گونه‌ای انجام می‌دهد كه منجر به سوءاستفاده مهاجمین و دور زدن كنترل‌هاي امنيتي می‌شود. به گفته پژوهشگران، mstscax.dll بدون بررسی یکپارچگی برای تأیید صحت کد کتابخانه، بارگیری می‌شود.

دو راهکار برای بهره‌برداری از این روش شناسایی‌شده است:

مهاجم می‌تواند فایل mstscax.dll را در پوشه c:\windows\system۳۲، که به سطح دسترسی محلی نیاز داد، قرار دهد. بیشتر مهاجمین توسط تکنیک‌های مختلف سطح دسترسی محلی را به دست می‌آورند، بنابراین می‌توانند از این روش نیز استفاده کنند و برای دور زدن راهکارهای امنیتی و حملات آتی از آن استفاده کنند.

در سناریوی دیگر، یک مهاجم می‌تواند mstsc.exe را در یک پوشه خارجی کپی کند، فایل DLL خود را در همان پوشه قرار دهد و mstsc.exe را ازآنجا اجرا کند. این امر به سطح دسترسی ادمین نیاز ندارد. مایکروسافت می‌گوید mstsc نباید در خارج از پوشه c:\windows\system۳۲ استفاده شود، بااین‌حال الزامی برای این موضوع پیاده‌سازی نشده است.

هر دو سناریو به مهاجمین اجازه می‌دهند تا کنترل‌های امنیتی را دور بزنند، زیرا کد مخرب در چارچوب mstsc.exe اجرا می‌شود، که یک فایل اجرایی با امضای مایکروسافت است. علاوه بر این، سناریو اول برای مهاجمین پایداری حمله را نیز فراهم می‌کند، زیرا با هر بار اجرای mstsc.exe، کد مخرب نیز اجرا می‌شود.

به این دلیل که اکثر کنترل‌های امنیتی، به دلیل امضای مایکروسافت امنیت فایل mstsc.exe را بررسی نمی‌کنند، مهاجمین می‌توانند از این روش سوءاستفاده و کدهای مخرب خود را با شانس بالای عدم شناسایی، اجرا کنند.

برای رفع این تهدید، سازمان‌ها می‌توانند استفاده از mstsc.exe را غیرفعال کنند، از کنترل‌های امنیتی برای نظارت بر رفتار غیرعادی و مخرب mstsc.exe استفاده کنند، و به‌صورت دستی فایل mstscax.dll را اعتبارسنجی کنند.

منبع:

افتا

موضوع:

تازه ترین ها
واگذاری
1405/04/02 - 10:02- آسیا

واگذاری حاکمیت دیجیتال ارمنستان به آذربایجان

ارمنستان اعلام کرد که طی یک توافق‌نامه، داوطلبانه حاکمیت دیجیتال را به آذربایجان واگذار می‌کند.

انتقاد
1405/04/02 - 09:45- تلگرام

انتقاد دوروف از مسدودسازی تلگرام در هند

بنیان‌گذار پیام‌رسان تلگرام تأکید کرد که این اقدام میلیون‌ها کاربر عادی را متضرر کرده و تأثیر چندانی در جلوگیری از افشای سؤالات امتحانی نداشته است.

ضربه
1405/04/02 - 09:43- جرم سایبری

ضربه بین‌المللی به شبکه بدافزاری مرتبط با گروه هکری روسی

نهادهای مجری قانون در چند کشور با اجرای یک عملیات مشترک بین‌المللی، شبکه بدافزاری مرتبط با گروه سایبری روسی موسوم به اویل کورپ را هدف قرار دادند.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.