التحقيق في Fivesys - التوقيع الرقمي غير المصرح به والصادر عن Microsoft

نشرت: 2022-12-23
محتويات
  • ما هو الجذور الخفية؟
  • ما هو الجذور الخفية Fivesys؟
  • كيف حصلت على توقيع Microsoft الرقمي؟
  • كيفية التخلص من الجذور الخفية مثل Fivesys؟
    • 1. استخدام برنامج إزالة الجذور الخفية.
    • 2. قم بتشغيل فحص وقت التمهيد.
    • 3. امسح الجهاز وأعد تثبيت نظام التشغيل.
  • ماذا يمكننا أن نفعل للحماية من الجذور الخفية؟
  • تغليف
التحقيق في Fivesys التوقيع الرقمي غير المصرح به من Microsoft

كان المتسللون يستغلون برنامج rootkit ، أو البرامج الضارة التي تمنح وصولاً غير مصرح به إلى نظام كمبيوتر ، والذي حصل بطريقة ما على ختم Microsoft الرقمي للموافقة. يثير هذا الاكتشاف المثير للقلق أسئلة مهمة حول مدى تعرضنا للبرامج الضارة. دعونا نلقي نظرة فاحصة على rootkit وكيف تجاوزت بروتوكولات أمان Microsoft.

ما هو الجذور الخفية؟

الجذور الخفية هي أدوات برمجية ضارة يمكن لمجرمي الإنترنت استخدامها للسيطرة على أنظمة الكمبيوتر. تسمح هذه الأدوات للمهاجمين بإخفاء البرامج الضارة والأنشطة الضارة أو حتى الوصول إلى نظام دون أن يتم اكتشافهم.

كانت الجذور الخفية هي المفترسات الرئيسية للجرائم الإلكترونية منذ أكثر من عقد من الزمان. تم تصميم برامج الكمبيوتر السرية هذه لتزويد المهاجمين بموطئ قدم غير منقطع على أجهزة كمبيوتر الضحايا مع إخفاء النشاط الضار من نظام التشغيل وحلول مكافحة البرامج الضارة.

أدت إجراءات التخفيف الأمنية المقدمة مع Windows Vista إلى طرد هؤلاء الدخلاء الذين يعيشون داخل نواة نظام التشغيل ، لكنهم يظهرون من حين لآخر.

قد تحتوي الجذور الخفية على أبواب خلفية ، و keyloggers ، وبرامج ضارة لسرقة البيانات ، ونصوص ضارة ، وطرق معقدة أخرى تجعل من الصعب على مالك النظام أو المسؤول اكتشافه. من خلال استغلال الثغرات الأمنية ، يمكنهم السيطرة على النظام دون طلب بيانات اعتماد المستخدم والوصول إلى المعلومات السرية المخزنة عليه.

على هذا النحو ، فهي تشكل تهديدًا خطيرًا للأمن السيبراني يجب عدم الاستخفاف به . في الواقع ، نظرًا لأن تهديدات الجذور الخفية أصبحت أكثر تقدمًا وتعقيدًا ، فمن الضروري بشكل متزايد للمنظمات والأفراد البقاء على اطلاع بأحدث آليات الدفاع المتاحة وتحديث أنظمتهم بانتظام للحماية من مثل هذه الهجمات.

ما هو الجذور الخفية Fivesys؟

وفقًا لتقرير صدر مؤخرًا عن شركة الأمن السيبراني Bitdefender ، يستخدم المجرمون الإلكترونيون مجموعة أدوات الجذر التي يطلق عليها اسم "FiveSys" والتي تلقت توقيعًا إلكترونيًا من Microsoft.

يُزعم أن البرنامج الضار منح المهاجمين "امتيازات غير محدودة تقريبًا" على الأنظمة المصابة ، واستخدمه المتسللون لاستهداف اللاعبين عبر الإنترنت لسرقة بيانات الاعتماد واختطاف الشراء داخل اللعبة. وفقًا للباحثين ، يمكن أيضًا إعادة توجيه "FiveSys" إلى أنواع أخرى من سرقة البيانات.

نظرًا لتضمين شهادة برنامج تشغيل Microsoft Windows Hardware Quality Labs Testing (WHQL) ذات المظهر الشرعي ، تمكن برنامج rootkit FiveSys من الوصول إلى الأنظمة المستهدفة.

ينشئ WQOS توقيعًا رقميًا فريدًا من نوعه يسمح بتثبيت برامج التشغيل المعتمدة على جهاز كمبيوتر يعمل بنظام Windows عبر برنامج Windows Update الرسمي ، مما يمنح المستخدمين النهائيين الثقة. بمجرد التحميل ، يمنح برنامج rootkit المبدعين امتيازات غير محدودة تقريبًا.

اكتشفت شركة Bitdefender الأمنية ، زيادة برامج التشغيل الخبيثة بتوقيعات إلكترونية صالحة. وفقًا للشركة ، فإن الجذور الخفية المعنية تسمح للمهاجمين بالتحايل على الأمان والوصول إلى نظام مستهدف والتحكم فيه عن طريق إعادة توجيه حركة مرور HTTP و HTTPS إلى المجالات على خوادم بروكسي يتحكم فيها المهاجمون.

شهادة WHQL المخترقة مماثلة لتلك المستخدمة في برنامج rootkit الخاص بـ Netfilter ، والذي تم اكتشافه في وقت سابق من هذا العام. Fivesys هو الإصدار الثاني من برنامج rootkit الذي يستخدم شهادة Microsoft ، ويتوقع Bitdefender أن المزيد من الهجمات ستستخدم شهادات سائق شرعية.

وفقًا لـ Bitdefender ، نشأت FiveSys في الصين وشوهدت تستهدف بشكل أساسي لاعبي الألعاب الصينيين على الإنترنت. وفقًا لشركة الأمان ، فإن الهدف النهائي هو التحكم في بيانات الاعتماد في الألعاب لإجراء عمليات شراء داخل اللعبة. لم يتم رصد Fivesys بعد في البرية خارج الصين.

العشوائية التي يقوم بها برنامج rootkit بإعادة توجيه حركة المرور المخترقة تجعل إزالتها أمرًا صعبًا. لتعقيد محاولات الإزالة المحتملة ، تتضمن مجموعة rootkit قائمة من 300 نطاق على نطاق TLD ".xyz" يبدو أنه تم إنشاؤه عشوائيًا وتخزينه في نموذج مشفر داخل البرنامج الثنائي.

لحماية نفسه ، يستخدم rootkit مجموعة متنوعة من الاستراتيجيات ، بما في ذلك منع القدرة على تحرير السجل ومنع تثبيت برامج rootkits الأخرى والبرامج الضارة من مجموعات مختلفة.

بسبب النمط العشوائي ، من الصعب تحديد المجالات وإغلاقها. من جانبها ، اتصلت Bitdefender على الفور بشركة Microsoft بخصوص استخدام شهادة برنامج تشغيل WHQL. ألغت مايكروسوفت بسرعة التوقيع الإلكتروني.

كيف حصلت على توقيع Microsoft الرقمي؟

من المعروف أن مجرمي الإنترنت يستخدمون الشهادات الرقمية المسروقة ، لكن في هذه الحالة ، تمكنوا من الحصول على شهادة صالحة. لا يزال من غير الواضح كيف تمكن مجرمو الإنترنت من الحصول على شهادة صالحة.

التوقيعات الرقمية هي خوارزميات تستخدمها الشركات والمؤسسات الكبيرة الأخرى للأمان. تولد التوقيعات الإلكترونية "بصمة افتراضية" مرتبطة بكيانات معينة وتستخدم للتحقق من مصداقيتها. كإجراء أمني ، تستخدم Microsoft عملية توقيع رقمي لرفض البرامج التي لا يبدو أنها جاءت من مصادر موثوقة.

ومع ذلك ، يبدو أن بروتوكولات الأمان الخاصة بالشركة لا تتطابق مع rootkit "FiveSys" ومعالجاتها الخاصة بالمجرمين الإلكترونيين ، الذين تمكنوا من توقيع برنامجهم الضار بختم الموافقة الرقمية من Microsoft. من غير الواضح كيف أنجزوا هذا.

كان من الممكن أن يكون قد تم تقديمه للتحقق وتم اجتياز الشيكات بطريقة ما. بينما تكتشف متطلبات التوقيع الرقمي غالبية برامج rootkits وتوقفها ، فإنها ليست مضمونة. من غير الواضح كيف ينتشر FiveSys ، لكن يعتقد الباحثون أنه يحتوي على تنزيلات برامج متصدعة.

بمجرد التثبيت ، يقوم برنامج FiveSys rootkit بإعادة توجيه حركة مرور الإنترنت إلى خادم وكيل ، وهو ما يفعله عن طريق تثبيت شهادة جذر مخصصة بحيث لا يحذر المتصفح من هوية الوكيل غير المعروفة ؛ كما أنه يمنع البرامج الضارة الأخرى من الكتابة على برامج التشغيل ، على الأرجح في محاولة لمنع مجرمي الإنترنت الآخرين من استغلال النظام المخترق.

وفقًا لتحليل الهجوم ، يتم استخدام rootkit FiveSys في الهجمات الإلكترونية ضد اللاعبين عبر الإنترنت لسرقة بيانات اعتماد تسجيل الدخول واختطاف عمليات الشراء داخل اللعبة.

نظرًا لشعبية الألعاب عبر الإنترنت ، يمكن استخدام الكثير من الأموال - ليس فقط لأن المعلومات المصرفية مرتبطة بالحسابات ولكن أيضًا لأن العناصر الافتراضية المرموقة يمكن أن تجلب مبالغ كبيرة من المال عند بيعها ، مما يعني أن المهاجمين يمكنهم استغلال الوصول للسرقة والبيع هذه العناصر.

وتستهدف الهجمات حاليًا اللاعبين في الصين ، حيث يعتقد الباحثون أن المهاجمين متمركزون أيضًا.

كيفية التخلص من الجذور الخفية مثل Fivesys؟

يمكن أن تكون إزالة الجذور الخفية مثل Fivesys مهمة شاقة ومعقدة. لا تكتشف معظم حلول مكافحة الفيروسات هذه البرامج الضارة ، لذلك من الضروري اتخاذ إجراءات استباقية ضدها. تتمثل الخطوة الأولى في إكمال فحص عميق لجهاز الكمبيوتر الخاص بك والذي يكتشف ويزيل الجذور الخفية. بعد ذلك ، اتبع الخطوات التالية:

1. استخدام برنامج إزالة الجذور الخفية.

لا تعتمد على Windows Defender أو أي برامج أمان مضمنة أخرى لأن معظم برامج rootkits يمكنها التحايل على الضمانات الأساسية. استخدم برامج متخصصة مثل Avast One للحماية الكاملة. تجمع Avast بين أكبر شبكة للكشف عن التهديدات في العالم وحماية البرمجيات الخبيثة للتعلم الآلي في أداة واحدة وخفيفة الوزن قادرة على اكتشاف وإزالة الجذور الخفية والدفاع ضد جميع أنواع التهديدات المستقبلية عبر الإنترنت.

2. قم بتشغيل فحص وقت التمهيد.

تستخدم البرامج الضارة الحديثة تقنيات متطورة لتجنب الكشف عنها بواسطة برامج مكافحة الفيروسات. يمكن للجذور الخفية على جهاز يقوم بتشغيل نظام تشغيل تفوق عمليات الفحص الآلي لمكافحة الفيروسات.

إذا طلب برنامج مكافحة الفيروسات من نظام التشغيل فتح ملف برامج ضارة معين ، يمكن للجذور الخفية تغيير تدفق البيانات وفتح ملف غير ضار بدلاً من ذلك. يمكنهم أيضًا تغيير رمز تعداد ملف البرامج الضارة ، والذي يخزن ويشارك المعلومات حول البرامج الضارة ويمنع تضمينها في الفحص.

يتم اكتشاف الجذور الخفية أثناء عملية بدء تشغيل جهاز الكمبيوتر الخاص بك عن طريق عمليات الفحص في وقت التمهيد. ميزة فحص وقت التمهيد هي أن الجذور الخفية عادة ما تكون نائمة وغير قادرة على الاختباء في نظامك.

3. امسح الجهاز وأعد تثبيت نظام التشغيل.

إذا فشل برنامج مكافحة الفيروسات وفحص وقت التمهيد في إزالة الجذور الخفية ، فحاول نسخ بياناتك احتياطيًا ، ومسح جهازك ، والتثبيت من نقطة الصفر. هذا هو الخيار الوحيد في بعض الأحيان عندما يعمل rootkit في مستويات التمهيد أو البرامج الثابتة أو برنامج Hypervisor.

أولاً ، يجب أن تفهم كيفية تهيئة محرك الأقراص الثابتة واستنساخ محرك الأقراص الثابتة لنسخ ملفاتك الأساسية احتياطيًا. على الرغم من أنك قد تحتاج إلى مسح محرك الأقراص C: الرئيسي ، فلا يزال بإمكانك الاحتفاظ بمعظم بياناتك. هذا هو الخيار الأخير لإزالة الجذور الخفية.

سيساعد التحديث المتكرر لبرامج مكافحة البرامج الضارة أيضًا في الحفاظ على نظامك آمنًا من محاولات التطفل الجديدة. مع تطبيق هذه التقنيات ، يجب أن يصبح التعامل مع الجذور الخفية الحالية والناشئة مثل Fivesys أكثر وضوحًا.

ماذا يمكننا أن نفعل للحماية من الجذور الخفية؟

تمثل الجذور الخفية تهديدًا أمنيًا خطيرًا يصعب اكتشافه وإزالته ، ولكن هناك خطوات وقائية يمكن اتخاذها لتقليل الفرص. على سبيل المثال ، يضمن تحديث نظام التشغيل والبرامج الخاصة بك عدم تعرضك لمخاطر هجومية معروفة لتثبيت برنامج rootkit. تعد الإدارة الجيدة للتصحيح أمرًا أساسيًا هنا ، كما أن برامج مكافحة الفيروسات ضرورية أيضًا - ابق على اطلاع دائم بتعريفات الفيروسات حتى يكون لدى المهاجمين خيارات أقل.

كن حذرًا عند تنزيل أي شيء أيضًا - تأكد دائمًا من أنه من مصادر موثوقة وله مراجعات جيدة. قم بتعطيل برامج التشغيل غير الموقعة أو الملفات التنفيذية ، حيث يمكن أن تكون نقاط دخول ضعيفة للجذور الخفية. أخيرًا ، سيساعد جدار الحماية القوي أو وكيل تصفية الويب في منع المهاجمين الذين يحاولون استغلال الثغرات الأمنية في الأنظمة غير المصححة. تمنحك كل هذه الإجراءات الوقائية أفضل فرصة للتخفيف من عدوى الجذور الخفية.

بينما يتم استخدام rootkit حاليًا لسرقة بيانات اعتماد تسجيل الدخول من حسابات الألعاب ، فقد يتم استخدامه ضد أهداف أخرى في المستقبل. ومع ذلك ، من خلال اتخاذ بعض احتياطات الأمن السيبراني البسيطة ، يمكنك تجنب الوقوع ضحية لهذا الهجوم أو هجمات مماثلة.

لتكون آمنًا ، قم بتنزيل البرنامج من موقع البائع على الويب أو من مصادر موثوقة فقط. علاوة على ذلك ، يمكن لحلول الأمان الحديثة اكتشاف البرامج الضارة ، بما في ذلك أدوات الجذر ، ومنع تنفيذها.

من الضروري اتخاذ خطوات لحماية نفسك من البرامج الضارة مثل FiveSys. تأكد من تحديث أنظمتك بأحدث التصحيحات - سيساعد ذلك في حمايتك من التهديدات المعروفة مثل هذه.

بالإضافة إلى ذلك ، استخدم برامج مكافحة فيروسات موثوقة للبحث عن أي نشاط مشبوه أو برامج ضارة على أنظمة الكمبيوتر لديك. أخيرًا ، كن على دراية بمحاولات التصيد الاحتيالي ؛ لا تنقر على الروابط أو تفتح المرفقات من مصادر غير معروفة لأنها قد تحتوي على برامج ضارة مثل Kovter.

موصى به
صورة BoostSpeed
قم بحل مشكلات الكمبيوتر باستخدام Auslogics BoostSpeed

إلى جانب تنظيف جهاز الكمبيوتر الخاص بك وتحسينه ، يحمي BoostSpeed ​​الخصوصية ويشخص مشكلات الأجهزة ويقدم نصائح لزيادة السرعة ويوفر أكثر من 20 أداة لتغطية معظم احتياجات صيانة الكمبيوتر والخدمة.

شعار Microsoft Partner
Auslogics BoostSpeed ​​هو منتج من Auslogics ، مطور تطبيقات Microsoft Silver المعتمد
تنزيل مجاني

تغليف

تعمل تحديثات "يوم الثلاثاء التصحيح" من Microsoft على اكتشاف وإصلاح ثغرات يوم الصفر الجديدة باستمرار. سارعت Apple أيضًا إلى تصحيح macOS في وقت سابق من هذا العام بعد أن وجد الباحثون طريقة للتحايل على GateKeeper وعزل الملفات وآليات أمان التوثيق باستخدام برامج ضارة متخفية كملف مستند عادي.

أصدرت Apple أيضًا إصدارات جديدة من جميع أنظمة التشغيل الأربعة قبل يوم من إطلاق منتجها الرئيسي في سبتمبر لمعالجة مشكلات الأمان مثل الثغرة الأمنية الناجمة عن برنامج التجسس Pegasus التابع لمجموعة NSO ، والذي يمكنه تثبيت برامج ضارة على أجهزة iPhone المستهدفة دون علمهم.

لفت اكتشاف FiveSys الانتباه إلى مدى ضعفنا عندما يتعلق الأمر بتجاوز البرامج الضارة بروتوكولات الأمان الخاصة بنا دون اكتشافها باستخدام شهادات رقمية تبدو مشروعة ولكنها مزيفة. سيساعد اتخاذ خطوات استباقية في حمايتنا من مثل هذه الهجمات ؛ الحفاظ على أنظمتنا محدثة بأحدث التصحيحات ، واستخدام برامج موثوقة لمكافحة الفيروسات ، وإدراك محاولات التصيد الاحتيالي يمكن أن يقطع شوطًا طويلاً في حماية أنفسنا من البرامج الخبيثة مثل الجذور الخفية مثل FiveSys.