محققان در مورد بدافزارهایی که میتوانند با استفاده از ویژگیهای مجاز موجود در ویندوز کدهای مخرب را به فرآیندها وارد نمایند، هشدار دادهاند.
محققان امنیتی روش جدیدی را شناسایی نمودهاند که امکان وارد کردن کدهای مخرب به فرآیندهای دیگر را برای بدافزار فراهم میکند؛ این روش توسط آنتی ویروسها و سایر سیستمهای امنیتی موجود در Endpointها قابل شناسایی نمیباشد.
این روش جدید از سوی محققان شرکت امنیتی Ensilo ارائه گردیده و AtomBombing نام گرفته است؛ این نامگذاری به دلیل استفاده این روش از مکانیسم جدولهای اتمی ویندوز میباشد. این جداول از طریق سیستمعاملها ارائه شده و برای اشتراکگذاری دادهها بین برنامههای کاربردی مورد استفاده قرار میگیرد.
به گفته یکی از محققان این شرکت، عامل تهدیدکننده میتواند کد مخرب را در جدول اتمی وارد نموده و یک برنامه مجاز را وادار به بازیابی کد مخرب از جدول نماید. ضمن اینکه برنامههای مجاز در حال حاضر دربردارنده کد مخربی هستند که برای اجرای این کد میتوان آن را دستکاری نمود.
وی افزود: در حال حاضر این تکنیک جدید Code-Injection، از طریق برنامههای امنیتی در Endpointها و آنتیویروسها قابل شناسایی نمیباشد، زیرا مبتنی بر یک عملکرد مجاز در سیستم میباشد. علاوه بر این، مکانیسم جدولهای اتمی در تمامی نسخههای ویندوز وجود دارد و از آنجایی که آسیبپذیری محسوب نمیشود، امکان Patch نمودن آن نیز وجود ندارد.
بدافزارها به دلایل مختلفی از تکنیکهای Code-Injection استفاده میکنند. به عنوان مثال، تروجان Banking کد مخرب را در فرآیندهای مرورگر وارد میکند که وبسایتهای نمایش داده شده به صورت Local (معمولا وبسایتهای بانکداری) را مانیتور و تغییر دهد؛ بدین ترتیب اطلاعات Login و اطلاعات کارت پرداخت مشتریان را به سرقت برده و یا تراکنشها را به صورت مخفیانه به حسابهای کاربری آنها هدایت مینماید.
همچنین میتوان از این تکنیک برای عبور از محدودیتها استفاده نموده و امکان دسترسی به دادههای خاصی را صرفا از طریق فرآیندهایی خاص فراهم کرد. به عنوان مثال، برای سرقت رمز عبور از سایر برنامهها یا گرفتن عکس از دسکتاپ کاربران در شرایطی که بدافزار دسترسیهای مورد نیاز در این رابطه را دارا نمیباشد.
در حال حاضر تکنیکهای شناخته شدهی معدودی برای Code-Injection وجود داشته و تعداد زیادی از محصولات امنیتی دارای مکانیسم مناسب برای شناسایی آنها میباشند.
بهرحال AtomBombing به عنوان یک تکنیک جدیدِ Code-Injection، از آنتی ویروس و سایر راهکارهای پیشگیری از نفوذ به Endpoint، عبور مینماید.
Liviu Arsene، از تحلیلگران ارشد تهدیدات الکترونیک در Bitdefender عنوان کرد: حتی در صورت Exploit نشدن آسیبپذیری در نرمافزار، باز هم فروشندگان محصولات امنیتی میتوانند Payloadهای مخرب را شناسایی و مسدود نمایند. در صورتی که Payload اجرا شده و اقدام به وارد نمودن کد مخرب در برنامههای مجاز و قانونی نماید، باز هم امکان شناسایی و متوقف نمودن این فرآیند وجود دارد، زیرا Vendorهای امنیتی غالبا فرآیندها و سرویسها را در سراسر چرخه اجرا مانیتور میکنند.
به گفته یکی از نمایندگان شرکت مایکروسافت، این شرکت به منظور جلوگیری از این آلودگی بدافزاری، مشتریان خود را تشویق به انجام کارهای خود با دقت بیشتر به خصوص در شرایط آنلاین مینماید. از جمله اقداماتی که میتوان در این زمینه انجام داد دقت برای کلیک بر روی لینکها در صفحات وب، باز کردن فایلهای ناشناس یا پذیرفتن فرآیند انتقال فایلها میباشد. زیرا قبل از آنکه نرمافزار بتواند از تکنیک Code-Injection استفاده نماید، سیستم باید در معرض خطر داشته باشد.
