about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
آسیب پذیری
مطالب پربازدید
جایزه
1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

اعتراف
1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

یادداشتی
1404/02/30 - 11:28- هوش مصنوعي

یادداشتی بر فیلم سینمایی فرودستی(Subservience)

انتشار شده در تاریخ

اجرای کد مخرب از طریق RDP با سوءاستفاده از MSTSC

یک تکنیک که به مهاجمین اجازه می‌دهد یک تاکتیک حمله تحت عنوان بارگذاری جانبی DLL، کدهای مخرب را از طریق پروتکل دسترسی از راه دور دسکتاپ (RDP) اجرا کنند.

به گزارش کارگروه امنیت سایبربان، بارگذاری جانبی DLL زمانی اتفاق می‌افتد که یک برنامه به‌صورت نادرست یا مبهم، یک فایل DLL موردنیاز را مشخص می‌کند. درنتیجه این امر، برنامه در معرض آسیب‌پذیری قرار می‌گیرد که ممکن است در آن‌یک DLL ناخواسته در برنامه بارگذاری شود. مهاجمین می‌توانند از برنامه‌های قانونی که در برابر بارگذاری جانبی (side-loading) آسیب‌پذیر هستند، سوءاستفاده کنند تا DLL مخرب را بارگیری کرده و از شناسایی هرگونه اقدام مخرب تحت پوشش یک سیستم یا فرآیند پردازشی قابل‌اعتماد، جلوگیری کنند.

کاربران برای اجرای RDP، به MSTSC در ویندوز دسترسی پیدا می‌کنند تا بتوانند با استفاده از یک اتصال شبکه، یک کامپیوتر از راه دور یا یک ماشین مجازی را کنترل کنند. MSTSC به‌عنوان‌ یکی از منابع خود به فایل mstscax.dll متکی است. پژوهشگران متوجه شدند كه MSTSC اجرای با تأخیر (delay-loading) فایل mstscax.dll را به‌گونه‌ای انجام می‌دهد كه منجر به سوءاستفاده مهاجمین و دور زدن كنترل‌هاي امنيتي می‌شود. به گفته پژوهشگران، mstscax.dll بدون بررسی یکپارچگی برای تأیید صحت کد کتابخانه، بارگیری می‌شود.

دو راهکار برای بهره‌برداری از این روش شناسایی‌شده است:

مهاجم می‌تواند فایل mstscax.dll را در پوشه c:\windows\system۳۲، که به سطح دسترسی محلی نیاز داد، قرار دهد. بیشتر مهاجمین توسط تکنیک‌های مختلف سطح دسترسی محلی را به دست می‌آورند، بنابراین می‌توانند از این روش نیز استفاده کنند و برای دور زدن راهکارهای امنیتی و حملات آتی از آن استفاده کنند.

در سناریوی دیگر، یک مهاجم می‌تواند mstsc.exe را در یک پوشه خارجی کپی کند، فایل DLL خود را در همان پوشه قرار دهد و mstsc.exe را ازآنجا اجرا کند. این امر به سطح دسترسی ادمین نیاز ندارد. مایکروسافت می‌گوید mstsc نباید در خارج از پوشه c:\windows\system۳۲ استفاده شود، بااین‌حال الزامی برای این موضوع پیاده‌سازی نشده است.

هر دو سناریو به مهاجمین اجازه می‌دهند تا کنترل‌های امنیتی را دور بزنند، زیرا کد مخرب در چارچوب mstsc.exe اجرا می‌شود، که یک فایل اجرایی با امضای مایکروسافت است. علاوه بر این، سناریو اول برای مهاجمین پایداری حمله را نیز فراهم می‌کند، زیرا با هر بار اجرای mstsc.exe، کد مخرب نیز اجرا می‌شود.

به این دلیل که اکثر کنترل‌های امنیتی، به دلیل امضای مایکروسافت امنیت فایل mstsc.exe را بررسی نمی‌کنند، مهاجمین می‌توانند از این روش سوءاستفاده و کدهای مخرب خود را با شانس بالای عدم شناسایی، اجرا کنند.

برای رفع این تهدید، سازمان‌ها می‌توانند استفاده از mstsc.exe را غیرفعال کنند، از کنترل‌های امنیتی برای نظارت بر رفتار غیرعادی و مخرب mstsc.exe استفاده کنند، و به‌صورت دستی فایل mstscax.dll را اعتبارسنجی کنند.

منبع:

افتا

موضوع:

تازه ترین ها
اسکن
1404/05/22 - 20:44- سایرفناوری ها

اسکن هویت توسط یوتیوب

هوش مصنوعی یوتیوب، کاربران را برای اسکن هویت علامت‌گذاری می‌کند.

پیشنهاد
1404/05/22 - 19:28- سایرفناوری ها

پیشنهاد خرید گوگل کروم توسط شرکت پرپلکسیتی اِی آی

شرکت هوش مصنوعی پرپلکسیتی اِی آی، پیشنهاد ۳۴.۵ میلیارددلاری برای خرید گوگل کروم ارائه داد.

نقش
1404/05/22 - 10:00- جرم سایبری

نقش روسیه در هک سیستم دادگاه‌های فدرال آمریکا

محققان شواهدی یافته‌اند که روسیه را به یک حمله سایبری علیه سیستم دادگاه‌های فدرال آمریکا که اسناد محرمانه حقوقی را ذخیره می‌کند، مرتبط می‌سازد.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.