IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

یک عامل تهدید با انگیزه مالی که با نام Scattered Spider شناخته شده بود، در حال تلاش برای استقرار درایور‌های تشخیص اترنت اینتل در یک حمله BYOVD (Bring Your Own Vulnerable Driver) برای فرار از شناسایی محصولات امنیتی EDR (Endpoint Detection and Response) مشاهده شده‌اند.

تکنیک BYOVD شامل عوامل تهدید می‌شود که از یک درایور در حالت کرنل استفاده می‌کنند که به عنوان بخشی از حملات خود برای به دست آوردن اختیارات بالاتر در ویندوز، در برابر اکسپلویت‌ها آسیب‌پذیر هستند، به کار گرفته می‌شود.

از آنجایی که درایور‌های دستگاه دسترسی کرنل به سیستم عامل دارند، سواستفاده از یک نقص در آن‌ها به عوامل تهدید اجازه می‌دهد تا کد‌هایی را با بالاترین اختیارات در ویندوز اجرا کنند.

مجموعه Crowdstrike این تاکتیک جدید را درست پس از انتشار گزارش قبلی شرکت اطلاعات سایبری درباره Scattered Spider در ابتدای ماه گذشته مشاهده کرده است.

طبق آخرین گزارش Crowdstrike، هکر‌ها سعی کردند از روش BYOVD برای دور زدن Microsoft Defender برای Endpoint، Palo Alto Networks Cortex XDR و SentinelOne استفاده کنند.

غیرفعال کردن محصولات امنیتی
مجموعه CrowdStrike گزارش می‌دهد که عامل تهدید Scattered Spider در حال تلاش برای سواستفاده از CVE-2015-2291، یک آسیب‌پذیری با شدت بالا در درایور تشخیص اترنت اینتل است که به مهاجم اجازه می‌دهد تا کد دلخواه را با اختیارات کرنل با استفاده از کال‌های ساخته شده خاص اجرا کند.

اگرچه این آسیب‌پذیری در سال ۲۰۱۵ برطرف شد، اما با نصب نسخه قدیمی‌تر و همواره آسیب‌پذیر روی دستگاه‌های نقض‌شده، عوامل تهدید می‌توانند بدون توجه به بروزرسانی‌هایی که قربانی روی سیستم اعمال کرده است، از این نقص استفاده کنند.

درایور استفاده شده توسط Scattered Spider یک درایور کرنل کوچک ۶۴ بیتی با ۳۵ عملکرد است که توسط سرتیفیکیت‌های مختلف به سرقت رفته از رده‌های بالای ساین‌کننده مانند NVIDIA و Global Software LLC امضا شده است، بنابراین ویندوز آن را مسدود نمی‌کند.

عوامل تهدید از این درایور‌ها برای غیرفعال کردن محصولات امنیتی اندپوینت و محدود کردن قابلیت‌های شناسایی و پیشگیری از تهدید مدافعان سایبری استفاده می‌کنند و زمینه را برای مراحل بعدی عملیات آن‌ها در شبکه‌های هدف فراهم می‌کنند.

پس از راه‌اندازی، درایور یک رشته رمزگذاری شده از محصولات امنیتی هدفمند را رمزگشایی می‌کند و درایور‌های مورد نظر را با آفست‌های کدگذاری سخت پچ می‌کند.

روال بدافزار تزریقی تضمین می‌کند که درایور‌های نرم‌افزار امنیتی همچنان به طور عادی کار می‌کنند، حتی اگر دیگر از رایانه محافظت ننمایند.

مجموعه Crowdstrike می‌گوید «Scattered Spider» دامنه هدف‌گیری بسیار محدود و مشخصی دارد، اما هشدار می‌دهد که هیچ سازمانی نمی‌تواند احتمال حملات BYOVD را به طور صد درصدی نادیده بگیرد.

آن‌ها افزودند که اخیراً، ما در مورد سایر عوامل تهدید‌کننده سطح بالا، مانند گروه باج‌افزار BlackByte و گروه هکر کره شمالی Lazarus گزارش دادیم که از حملات BYOVD برای تقویت نفوذ خود با اختیارات ویندوز در سطح بالا استفاده می‌کنند.

مشکل قدیمی ویندوز
مایکروسافت سعی کرد این مشکل امنیتی شناخته شده در ویندوز را با معرفی یک لیست بلاک در سال ۲۰۲۱ برطرف کند.

با این حال، این مشکل به طور قاطع حل نشد، زیرا ویندوز به طور پیش‌فرض این درایور‌ها را مسدود نمی‌کند، مگر اینکه ویندوز ۱۱ ۲۰۲۲ و بالاتر را اجرا کنید، که در سپتامبر ۲۰۲۲ منتشر شده است.

بدتر از آن، همانطور که ArsTechnica در ماه اکتبر گزارش داد، مایکروسافت فقط لیست بلاک درایور‌ها را در تمام نسخه‌های اصلی ویندوز به روز کرد و دستگاه‌ها را در برابر این نوع حملات آسیب‌پذیر کرد. مایکروسافت از آن زمان بروزرسانی‌هایی را منتشر کرده است که این مسیر خدمات را برای بروزرسانی درست لیست بلوک درایور رفع می‌کند.

مایکروسافت توصیه می‌کند که کاربران ویندوز، فهرست بلاک درایور را برای محافظت در برابر این حملات BYOVD فعال کنند. این مقاله پشتیبانی اطلاعاتی در مورد فعال کردن لیست بلاک با استفاده از ویژگی Windows Memory Integrity یا Windows Defender Application Control (WDAC) ارائه می‌دهد.

متأسفانه، فعال کردن یکپارچگی حافظه در دستگاه‌هایی که ممکن است درایور‌های جدیدتری نداشته باشند، ممکن است دشوار باشد.