about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
استفاده
1404/05/18 - 08:57- تروریسم سایبری

استفاده از مایکروسافت آژور برای جاسوسی از فلسطینیان

رژیم صهیونیستی از مایکروسافت آژور برای جاسوسی از فلسطینیان، آماده‌سازی حملات هوایی مرگبار و سازماندهی عملیات‌های نظامی در غزه و کرانه باختری استفاده می‌کند.

تمرکز
1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

انتشار شده در تاریخ

بدافزار «LoJax» از سیستم شما بیرون نمی رود

پژوهشگران کمپانی امنیتی «ESET» از دور تازه‌ حملات گروه «Sednit» پرده برداشته‌اند که «Firmware» مادربورد سیستم‌ها و لپ تاپ‌ها را به «RootKit» آلوده می‌کند.

به گزارش کارگروه امنیت سایبربان؛ پژوهشگران نشان داده‌اند دیگر RootKit های UEFI یک تهدید نظری نیستند و در دنیای واقعی هم اکنون وجود دارند. آنها حملات مورد بحث را کار گروه Sednit می‌دانند که با اسم‌های دیگری چون Fancy Bear نیز شناخته می‌شود و به دولت روسیه نسبت داده می‌شود. حالا می دانیم هکرها راهی یافته‌اند تا بتوان تراشه حافظه BIOS مادربرد را به بدافزار آلوده کرد. با آلوده شدن تراشه حافظه نگه دارنده UEFI که به عنوان SPI Flash شناخته می شود، با هر بار راه اندازی سیستم بدافزارها بارگذاری می‌شوند و عملاً راه دیگری جز فلش زدن Firmware سالم برای پاک کردن آن وجود ندارد.

بدافزار مورد بحث که LoJax نام گرفته، یک فایل اجرایی به نام  autochk.exe را به تراشه حافظه Firmware مادربرد تزریق می‌کند، پس از آن هنگام راه اندازی سیستم، autochk.exe بر روی یک پارتیشن از حافظه‌های ذخیره سازی متصل به سیستم کپی می‌شود. در نهایت  autochk.exe در مراحل آغازین بارگذاری ویندوز اجرا می‌شود و کارکرد آن آلوده کردن سیستم به بدافزارهای مورد نظر حمله کننده است. در واقع autochk.exe فاقد هرگونه کُد مخرب است اما به عنوان Dropper برای بدافزارها عمل می کند.

مجموعه بدافزار LoJax که از چندین کامپوننت مختلف تشکیل شده، از یک درایور سطح هسته سیستم عامل به نام RwDrv استفاده می‌کند که در اصل متعلق به یک برنامه بی خطر به نام RWEverything است. در حقیقت هکرها از درایور سیستمی RWEverything که از امضای دیجیتال معتبر برخوردار است برای دست‌کاری Firmware سیستم‌ها سوء استفاده می‌کنند. اگر ساده تر بخواهیم بگوییم، در این حمله محتوای تراشه حافظه BIOS به طور کامل استخراج می‌شود، پس از تزریق فایل مخرب autochk.exe به آن، مجدداً در تراشه حافظه نوشته می‌شود که حاصل آن ماندگاری بدافزار و اجرای آن با هر بار راه اندازی سیستم است.
به گفته ESET در حال حاضر هیچ راه قطعی دیگری جز فلش زدن یک نسخه دست‌کاری نشده از Firmware مادربرد سیستم وجود ندارد که آن هم در وجود بدافزار می‌تواند مجدداً آلوده شود، از این رو باید سیستم کاربر به یک آنتی ویروس به روز که قادر به تشخیص LoJax است مجهز باشد. خبر خوب اینکه فعال کردن قابلیت Secure Boot از طریق BIOS UEFI مادربرد می‌تواند اغلب مواقع از اجرای autochk.exe جلوگیری کند. قابلیت یاد شده مانع از بارگذاری هر گونه Firmware دستکاری‌شده و فاقد امضای دیجیتال می‌شود.

برخی کامپیوترهای دولتی در کشورهای حوزه بالکان، مرکز و شرق اروپا، جزو قربانیان این بدافزار هستند.

تازه ترین ها
قرارداد
1404/07/14 - 14:11- هوش مصنوعي

قرارداد آسترازنکا با شرکت آلگن برای فناوری ویرایش ژن

شرکت آسترازنکا قرارداد ۵۵۵ میلیون‌دلاری برای فناوری ویرایش ژن با شرکت آلگن امضا کرد.

کمپین
1404/07/14 - 11:55- اروپا

کمپین آگاهی‌بخشی امنیت سایبری در اروپا

اتحادیه اروپا کمپین آگاهی‌بخشی امنیت سایبری علیه تهدیدات فیشینگ را آغاز کرد.

مدل‌های
1404/07/14 - 11:35- هوش مصنوعي

مدل‌های هوش مصنوعی آمریکایی از دیپ‌سیک عملکرد بهتری دارند

مدل‌های هوش مصنوعی آمریکایی از رقیب چینی خود، دیپ‌سیک عملکرد بهتری دارند.