مطالب پربازدید

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

انتشار شده در تاریخ 1399/02/03 - 17:28

اجرای کد مخرب از طریق RDP با سوءاستفاده از MSTSC

یک تکنیک که به مهاجمین اجازه می‌دهد یک تاکتیک حمله تحت عنوان بارگذاری جانبی DLL، کدهای مخرب را از طریق پروتکل دسترسی از راه دور دسکتاپ (RDP) اجرا کنند.

به گزارش کارگروه امنیت سایبربان، بارگذاری جانبی DLL زمانی اتفاق می‌افتد که یک برنامه به‌صورت نادرست یا مبهم، یک فایل DLL موردنیاز را مشخص می‌کند. درنتیجه این امر، برنامه در معرض آسیب‌پذیری قرار می‌گیرد که ممکن است در آن‌یک DLL ناخواسته در برنامه بارگذاری شود. مهاجمین می‌توانند از برنامه‌های قانونی که در برابر بارگذاری جانبی (side-loading) آسیب‌پذیر هستند، سوءاستفاده کنند تا DLL مخرب را بارگیری کرده و از شناسایی هرگونه اقدام مخرب تحت پوشش یک سیستم یا فرآیند پردازشی قابل‌اعتماد، جلوگیری کنند.

کاربران برای اجرای RDP، به MSTSC در ویندوز دسترسی پیدا می‌کنند تا بتوانند با استفاده از یک اتصال شبکه، یک کامپیوتر از راه دور یا یک ماشین مجازی را کنترل کنند. MSTSC به‌عنوان‌ یکی از منابع خود به فایل mstscax.dll متکی است. پژوهشگران متوجه شدند كه MSTSC اجرای با تأخیر (delay-loading) فایل mstscax.dll را به‌گونه‌ای انجام می‌دهد كه منجر به سوءاستفاده مهاجمین و دور زدن كنترل‌هاي امنيتي می‌شود. به گفته پژوهشگران، mstscax.dll بدون بررسی یکپارچگی برای تأیید صحت کد کتابخانه، بارگیری می‌شود.

دو راهکار برای بهره‌برداری از این روش شناسایی‌شده است:

مهاجم می‌تواند فایل mstscax.dll را در پوشه c:\windows\system۳۲، که به سطح دسترسی محلی نیاز داد، قرار دهد. بیشتر مهاجمین توسط تکنیک‌های مختلف سطح دسترسی محلی را به دست می‌آورند، بنابراین می‌توانند از این روش نیز استفاده کنند و برای دور زدن راهکارهای امنیتی و حملات آتی از آن استفاده کنند.

در سناریوی دیگر، یک مهاجم می‌تواند mstsc.exe را در یک پوشه خارجی کپی کند، فایل DLL خود را در همان پوشه قرار دهد و mstsc.exe را ازآنجا اجرا کند. این امر به سطح دسترسی ادمین نیاز ندارد. مایکروسافت می‌گوید mstsc نباید در خارج از پوشه c:\windows\system۳۲ استفاده شود، بااین‌حال الزامی برای این موضوع پیاده‌سازی نشده است.

هر دو سناریو به مهاجمین اجازه می‌دهند تا کنترل‌های امنیتی را دور بزنند، زیرا کد مخرب در چارچوب mstsc.exe اجرا می‌شود، که یک فایل اجرایی با امضای مایکروسافت است. علاوه بر این، سناریو اول برای مهاجمین پایداری حمله را نیز فراهم می‌کند، زیرا با هر بار اجرای mstsc.exe، کد مخرب نیز اجرا می‌شود.

به این دلیل که اکثر کنترل‌های امنیتی، به دلیل امضای مایکروسافت امنیت فایل mstsc.exe را بررسی نمی‌کنند، مهاجمین می‌توانند از این روش سوءاستفاده و کدهای مخرب خود را با شانس بالای عدم شناسایی، اجرا کنند.

برای رفع این تهدید، سازمان‌ها می‌توانند استفاده از mstsc.exe را غیرفعال کنند، از کنترل‌های امنیتی برای نظارت بر رفتار غیرعادی و مخرب mstsc.exe استفاده کنند، و به‌صورت دستی فایل mstscax.dll را اعتبارسنجی کنند.