about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
آسیب پذیری
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

انتشار شده در تاریخ

بدافزار «LoJax» از سیستم شما بیرون نمی رود

پژوهشگران کمپانی امنیتی «ESET» از دور تازه‌ حملات گروه «Sednit» پرده برداشته‌اند که «Firmware» مادربورد سیستم‌ها و لپ تاپ‌ها را به «RootKit» آلوده می‌کند.

به گزارش کارگروه امنیت سایبربان؛ پژوهشگران نشان داده‌اند دیگر RootKit های UEFI یک تهدید نظری نیستند و در دنیای واقعی هم اکنون وجود دارند. آنها حملات مورد بحث را کار گروه Sednit می‌دانند که با اسم‌های دیگری چون Fancy Bear نیز شناخته می‌شود و به دولت روسیه نسبت داده می‌شود. حالا می دانیم هکرها راهی یافته‌اند تا بتوان تراشه حافظه BIOS مادربرد را به بدافزار آلوده کرد. با آلوده شدن تراشه حافظه نگه دارنده UEFI که به عنوان SPI Flash شناخته می شود، با هر بار راه اندازی سیستم بدافزارها بارگذاری می‌شوند و عملاً راه دیگری جز فلش زدن Firmware سالم برای پاک کردن آن وجود ندارد.

بدافزار مورد بحث که LoJax نام گرفته، یک فایل اجرایی به نام  autochk.exe را به تراشه حافظه Firmware مادربرد تزریق می‌کند، پس از آن هنگام راه اندازی سیستم، autochk.exe بر روی یک پارتیشن از حافظه‌های ذخیره سازی متصل به سیستم کپی می‌شود. در نهایت  autochk.exe در مراحل آغازین بارگذاری ویندوز اجرا می‌شود و کارکرد آن آلوده کردن سیستم به بدافزارهای مورد نظر حمله کننده است. در واقع autochk.exe فاقد هرگونه کُد مخرب است اما به عنوان Dropper برای بدافزارها عمل می کند.

مجموعه بدافزار LoJax که از چندین کامپوننت مختلف تشکیل شده، از یک درایور سطح هسته سیستم عامل به نام RwDrv استفاده می‌کند که در اصل متعلق به یک برنامه بی خطر به نام RWEverything است. در حقیقت هکرها از درایور سیستمی RWEverything که از امضای دیجیتال معتبر برخوردار است برای دست‌کاری Firmware سیستم‌ها سوء استفاده می‌کنند. اگر ساده تر بخواهیم بگوییم، در این حمله محتوای تراشه حافظه BIOS به طور کامل استخراج می‌شود، پس از تزریق فایل مخرب autochk.exe به آن، مجدداً در تراشه حافظه نوشته می‌شود که حاصل آن ماندگاری بدافزار و اجرای آن با هر بار راه اندازی سیستم است.
به گفته ESET در حال حاضر هیچ راه قطعی دیگری جز فلش زدن یک نسخه دست‌کاری نشده از Firmware مادربرد سیستم وجود ندارد که آن هم در وجود بدافزار می‌تواند مجدداً آلوده شود، از این رو باید سیستم کاربر به یک آنتی ویروس به روز که قادر به تشخیص LoJax است مجهز باشد. خبر خوب اینکه فعال کردن قابلیت Secure Boot از طریق BIOS UEFI مادربرد می‌تواند اغلب مواقع از اجرای autochk.exe جلوگیری کند. قابلیت یاد شده مانع از بارگذاری هر گونه Firmware دستکاری‌شده و فاقد امضای دیجیتال می‌شود.

برخی کامپیوترهای دولتی در کشورهای حوزه بالکان، مرکز و شرق اروپا، جزو قربانیان این بدافزار هستند.

موضوع:

تازه ترین ها
قاچاق
1405/04/02 - 19:22- آسیا

قاچاق سیستم‌های استارلینک به ایران توسط رژیم صهیونیستی

نخست‌وزیر سابق رژیم صهیونیستی اعلام کرد که سیستم‌های استارلینک را به ایران قاچاق کرده است.

سوءاستفاده
1405/04/02 - 18:59- آسیب پذیری

سوءاستفاده از جام جهانی توسط مجرمان سایبری

مجرمان سایبری با استفاده از طرح‌های فیشینگ از هیاهوی جام جهانی سوءاستفاده می‌کنند.

ادغام
1405/04/02 - 17:53- هوش مصنوعي

ادغام هوش مصنوعی در برنامه‌های اصلی دولت اندونزی

اندونزی قصد دارد هوش مصنوعی را در برنامه‌های اصلی دولتی بین سال‌های ۲۰۲۶ تا ۲۰۲۹ ادغام ‌کند.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.