کمیته رکن چهارم – در اوایل سال ۲۰۱۵، در یک عملیات پاکسازی امنیتی، شرکت کسپرسکی نفوذ سایبری به برخی از سیستمهای داخلی خود را کشف کرد. به دنبال این کشف، این شرکت شروع به انجام تحقیقات وسیعی در رابطه با این حمله کرد و توانست بدافزار جدید Duqu 2.0 را شناسایی کند.
به گزارش کمیته رکن چهارم،این بدافزار یکی از ماهرترین، مرموزترین و قدرتمندترین بدافزار از گروه Duqu است که در آن از سه آسیبپذیری روز صفر زیر برای انجام حمله استفاده شده است:
CVE-2014-4148
CVE-2014-6324
CVE-2015-2360
در این گزارش آسیبپذیری روز صفر CVE-2015-2360 بررسی خواهد شد. این آسیبپذیری اولین بار توسط شرکت کسپرسکی کشف و به مایکروسافت گزارش شد. به دنبال آن مایکروسافت این آسیبپذیری را در سیستم عاملهای ویندوز خود برطرف کرد. این آسیبپذیری مشابه بسیاری ازآسیبپذیریهای دیگراستفاده شده برای حمله، درفایل Win32k.sys ویندوز وجوددارد. به دلیل اینکه زمان زیادی از پیدایش این آسیبپذیری نمیگذرد، مستندات موجود برای این آسیبپذیری بسیار محدود هستند.
شرح آسیب پذیری
در خبرنامه مایکروسافت MS15-061، جزئیات مربوط به برخی از مشکلات سطح هستهی ویندوز گزارششده است. یکی از مشکلات شرح داده شده در این گزارش ، آسیب پذیری (CVE-2015-2360) است که در حملهی Duqu2.0 استفادهشده است.
حملهی Duqu 2.0، حملهای است که محققان کسپرسکی هرگز مشابه آن را ندیدهاند. در این حمله، تقریباً تمامی بدافزار در حافظهی رایانهها یا کارگزارهای آلودهشده به بدافزار، قرار میگیرد. زمانی که یکی از آنها خاموش و مجدداً روشن میگردد، بدافزار پاک میشود. اما بهمحض اینکه رایانهی ریبوت شده به شبکه وصل میشود،مجدداً توسط رایانهی دیگری در شبکه آلوده میگردد.
آنچه این آلودگی مجدد غیرقابل ردیابی را ممکن میسازد،آسیبپذیری روز صفرCVE-2015-2360است. احتمالاً این نقص امنیتی اصلاحنشده در رایانههای کسپرسکی و سیستمهایی که توسط Duqu مورد هدف قرارگرفته بودند،برای ماهها مکرراً استفاده شده است.درنهایت محققان کسپرسکی در ماه آوریل یا می این نقص را به مایکروسافت گزارش دادند
محققان کسپرسکی حمله با استفاده از این رخنه را بهعنوان “زمینبازی روز صفر ” نامیدند؛ به دلیل اینکه به ماژولهای آلوده اجازهی میداد تا مستقیماً به هسته ویندوز (قسمت داخلی سیستمعامل که دسترسی نامحدودی به حافظهی سیستم و تمامی دستگاههای خارجی دارد) بروند. درواقع در این حمله، بدافزار نیازمندیهای امضای دیجیتال، که برای جلوگیری از بارگذاری کدهای مخرب در فضای هسته سیستمعامل تعبیه شدهاند،را دور میزند.
مسئله قابلتوجه این است که کل عملکرد پلت فرم بدافزار، وابسته به این آسیبپذیری روز صفر است. درصورتیکه آسیبپذیری روز صفر برای رفتن به حالت هسته وجود نداشته باشد، این بدافزار کار نخواهد کرد. تکیه برآسیبپذیرهای غیرعادی یکی از ویژگیهای توسعهدهندگان باهوش Duqu است و آنها تعداد زیادی از چنین آسیبپذیریهای اصلاحنشده با قابلیتهای غیرعادی مشابهی را در اختیار خود دارند. سازندگان Duqu 2.0 آنقدر مطمئن بودند که کل پلت فرم خود را بر اساس این آسیبپذیری روز صفر ایجاد کردند؛ این بدان معنی است که اگر آن کشف شود و این روز صفر اصلاح گردد،آنها احتمالاً آسیبپذیری روز صفر دیگری برای استفاده دارند. مسلماً آنها کل پلت فرم بدافزار خود را تنها با تکیه بر یک فرض ساده که این آسیبپذیری روز صفر برای همیشه کار خواهد کرد، ایجاد نکردهاند.
منبع:رسانه خبری امنیت اطلاعات
