أسبوع الأمن 08: عودة الفيروسات

عند مناقشة تهديدات الكمبيوتر ، غالبًا ما تسمى "البرامج الضارة" أي برامج ضارة ، ولكن هذا ليس صحيحًا تمامًا. الفيروس الكلاسيكي هو ظاهرة في عصر ما قبل الإنترنت ، عندما تم نقل المعلومات بين أجهزة الكمبيوتر بشكل رئيسي على الأقراص المرنة ، ولتوزيع التعليمات البرمجية الخبيثة كان من الضروري "إرفاقها" بالملفات القابلة للتنفيذ. نشر خبراء كاسبرسكي لاب الأسبوع الماضي دراسة عن فيروس KBOT. ينتشر عن طريق إصابة الملفات القابلة للتنفيذ وهو أول فيروس حي شوهد في البرية في السنوات القليلة الماضية.

على الرغم من طريقة الإصابة التي تم اختبارها بمرور الوقت ، فإن وظائف هذا البرنامج الضار محدثة تمامًا: سرقة بيانات الدفع وكلمات المرور ثم تنزيلها إلى خادم الأوامر ، مما يوفر الوصول عن بُعد إلى جهاز الكمبيوتر المصاب باستخدام بروتوكول RDP القياسي. إذا لزم الأمر ، يمكن لـ KBOT تنزيل وحدات إضافية من الخادم ، وبعبارة أخرى ، فإنه يوفر التحكم الكامل في النظام. كل هذا هو مجموعة شهم قياسية من أي هجوم إلكتروني حديث ، ولكن هنا نتعامل أيضًا مع العدوى المدمرة للملفات exe.

بعد تشغيل الملف المصاب ، يتم إصلاح KBOT في النظام ، وتسجيل نفسه في بدء التشغيل وجدولة المهام. تصف الدراسة بالتفصيل عملية إصابة الملفات القابلة للتنفيذ: يقوم الفيروس بتعديلها بحيث لا يتم الحفاظ على الوظائف الأصلية للبرنامج. وبسبب هذا ، يتم تعديل الملفات فقط على محركات الأقراص المنطقية الإضافية: الوسائط الخارجية ، ومحركات الشبكة ، وما إلى ذلك ، ولكن ليس على قسم النظام ، وإلا ، فبدلاً من سرقة البيانات ، سيكون نظام التشغيل غير نشط تمامًا. من بين أمور أخرى ، KBOT هو فيروس متعدد الأشكال ، أي أنه يغير رمزه في كل مرة يصاب فيها ملف.

غالبًا ما يوجد الفيروس في روسيا وألمانيا ، ولكن العدد الإجمالي للهجمات صغير نسبيًا. تم الكشف عن KBOT ووحداته بواسطة حلول Kaspersky Lab مثل Virus.Win32.Kpot.a و Virus.Win64.Kpot.a و Virus.Win32.Kpot.b و Virus.Win64.Kpot.b و Trojan-PSW.Win32.Coins .nav. نهج التوزيع التقليدي في هذا البرنامج الضار مثير للاهتمام ، ولكنه ليس فعالًا بالضرورة. أولاً ، أصبح تخزين الملفات القابلة للتنفيذ على وسائط خارجية هو الاستثناء وليس القاعدة. ثانيًا ، إذا كان تلف البيانات الموجودة على القرص الصلب أمرًا طبيعيًا للفيروسات قبل 30 عامًا ، فإن مهمة المجرم الإلكتروني الآن هي الوصول إلى البيانات الشخصية دون أن يتم ملاحظته لأطول فترة ممكنة. لا يساهم كسر الملفات التنفيذية في التخفي.

ماذا حدث

تم اكتشاف ثغرة حرجة في المكوّن الإضافي لـ GDPR Cookie Consent لـ Wordpress ، وهي إضافة بسيطة لعرض رسالة مثل "نستخدم ملفات تعريف الارتباط على موقعنا على الويب". يسمح الخطأ لأي مستخدم مسجل في Wordpress بالحصول على حقوق المسؤول. المشكلة خطيرة بشكل خاص على المواقع ذات التسجيل المفتوح ، على سبيل المثال ، للتعليق على المنشورات. ما يقرب من 700 ألف موقع مكشوف.

تم نشر دراسة F-Secure حول قرصنة الأمازون Alexa الذكية. اتصل المتخصصون بواجهة التصحيح العادية للعمود ، وتم التمهيد من الوسائط الخارجية (بطاقة SD متصلة بالدبابيس على نفس الواجهة لتصحيح الأخطاء) وحصلوا على الوصول إلى نظام الملفات على الجهاز. يسمح لك هذا السيناريو بتثبيت برامج ضارة على عمود.

أغلق إصدار متصفح Firefox 73 العديد من نقاط الضعف الخطيرة ، بما في ذلك واحدة على الأقل لديها القدرة على تنفيذ تعليمات برمجية عشوائية عند زيارة موقع ويب "معد".

بحثت Palo Alto Networks أمثلة على تكوينات Docker غير الآمنة . من خلال Shodan ، تم اكتشاف أمثلة على خوادم Docker Registry غير الآمنة. وبناءً على ذلك ، فإن صور Docker نفسها والتطبيقات المخزنة فيها كانت متاحة. تمت إزالة خمسمائة برنامج ضار

من متجر الإضافات لمتصفح Google Chrome : قاموا جميعًا بجمع بيانات المستخدم وإعادة توجيه الضحايا إلى مواقع للعدوى اللاحقة للكمبيوتر. قال Malwarebytes

حول مثال مثير للاهتمام لبرنامج ضار لنظام Android ، يتم استعادته بعد إعادة تعيين الجهاز.