مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

انتشار شده در تاریخ 1399/02/03 - 17:28

اجرای کد مخرب از طریق RDP با سوءاستفاده از MSTSC

یک تکنیک که به مهاجمین اجازه می‌دهد یک تاکتیک حمله تحت عنوان بارگذاری جانبی DLL، کدهای مخرب را از طریق پروتکل دسترسی از راه دور دسکتاپ (RDP) اجرا کنند.

به گزارش کارگروه امنیت سایبربان، بارگذاری جانبی DLL زمانی اتفاق می‌افتد که یک برنامه به‌صورت نادرست یا مبهم، یک فایل DLL موردنیاز را مشخص می‌کند. درنتیجه این امر، برنامه در معرض آسیب‌پذیری قرار می‌گیرد که ممکن است در آن‌یک DLL ناخواسته در برنامه بارگذاری شود. مهاجمین می‌توانند از برنامه‌های قانونی که در برابر بارگذاری جانبی (side-loading) آسیب‌پذیر هستند، سوءاستفاده کنند تا DLL مخرب را بارگیری کرده و از شناسایی هرگونه اقدام مخرب تحت پوشش یک سیستم یا فرآیند پردازشی قابل‌اعتماد، جلوگیری کنند.

کاربران برای اجرای RDP، به MSTSC در ویندوز دسترسی پیدا می‌کنند تا بتوانند با استفاده از یک اتصال شبکه، یک کامپیوتر از راه دور یا یک ماشین مجازی را کنترل کنند. MSTSC به‌عنوان‌ یکی از منابع خود به فایل mstscax.dll متکی است. پژوهشگران متوجه شدند كه MSTSC اجرای با تأخیر (delay-loading) فایل mstscax.dll را به‌گونه‌ای انجام می‌دهد كه منجر به سوءاستفاده مهاجمین و دور زدن كنترل‌هاي امنيتي می‌شود. به گفته پژوهشگران، mstscax.dll بدون بررسی یکپارچگی برای تأیید صحت کد کتابخانه، بارگیری می‌شود.

دو راهکار برای بهره‌برداری از این روش شناسایی‌شده است:

مهاجم می‌تواند فایل mstscax.dll را در پوشه c:\windows\system۳۲، که به سطح دسترسی محلی نیاز داد، قرار دهد. بیشتر مهاجمین توسط تکنیک‌های مختلف سطح دسترسی محلی را به دست می‌آورند، بنابراین می‌توانند از این روش نیز استفاده کنند و برای دور زدن راهکارهای امنیتی و حملات آتی از آن استفاده کنند.

در سناریوی دیگر، یک مهاجم می‌تواند mstsc.exe را در یک پوشه خارجی کپی کند، فایل DLL خود را در همان پوشه قرار دهد و mstsc.exe را ازآنجا اجرا کند. این امر به سطح دسترسی ادمین نیاز ندارد. مایکروسافت می‌گوید mstsc نباید در خارج از پوشه c:\windows\system۳۲ استفاده شود، بااین‌حال الزامی برای این موضوع پیاده‌سازی نشده است.

هر دو سناریو به مهاجمین اجازه می‌دهند تا کنترل‌های امنیتی را دور بزنند، زیرا کد مخرب در چارچوب mstsc.exe اجرا می‌شود، که یک فایل اجرایی با امضای مایکروسافت است. علاوه بر این، سناریو اول برای مهاجمین پایداری حمله را نیز فراهم می‌کند، زیرا با هر بار اجرای mstsc.exe، کد مخرب نیز اجرا می‌شود.

به این دلیل که اکثر کنترل‌های امنیتی، به دلیل امضای مایکروسافت امنیت فایل mstsc.exe را بررسی نمی‌کنند، مهاجمین می‌توانند از این روش سوءاستفاده و کدهای مخرب خود را با شانس بالای عدم شناسایی، اجرا کنند.

برای رفع این تهدید، سازمان‌ها می‌توانند استفاده از mstsc.exe را غیرفعال کنند، از کنترل‌های امنیتی برای نظارت بر رفتار غیرعادی و مخرب mstsc.exe استفاده کنند، و به‌صورت دستی فایل mstscax.dll را اعتبارسنجی کنند.