انطلاق الدراسة في 214 مدرسة ببني سويف    «رجعوا التلامذة».. 222 مدرسة فى الإسكندرية تستقبل طلابها فى أول أيام العام الدراسى الجديد (صور)    التعريف ب "علم مصر" في الحصة الأولى بمدارس كفر الشيخ - صور    بالصور- محافظ بورسعيد يوزع الأقلام على التلاميذ داخل الفصول    نتيجة تنسيق الثانوية الأزهرية 2024.. الرابط الرسمي للاستعلام (فور إعلانها)    سعر الدولار في البنوك المصرية اليوم السبت 21 سبتمبر 2024    تنمية المشروعات يقدم برامج تدريبية مجانا لشباب دمياط لدعم وتنمية مشروعاتهم    19 جنيها لكيلو البطاطس.. أسعار الخضروات والفاكهة في سوق العبور اليوم السبت    بينها 37 ألف طن طماطم.. 6.4 مليون طن صادرات زراعية منذ يناير 2024    «المشاط» تبحث تعزيز الشراكة مع الوكالة الفرنسية للتنمية لتمكين القطاع الخاص    أوكرانيا: ارتفاع حصيلة قتلى الجيش الروسي إلى 640 ألفًا و920 جنديًا    إيران: الاحتلال يشعل النار في المنطقة لإنقاذ نفسه وسيحاسب على جرائمه    تصرفات متهورة من إسرائيل.. برلماني: مصر حذرت مرارًا من عواقب التصعيد في المنطقة    تشكيل مانشستر يونايتد المتوقع أمام كريستال بالاس.. جارناتشو يقود الهجوم    التشكيل المتوقع للأهلي أمام جورماهيا    محافظ القاهرة: الدولة اتخذت كافة الإجراءات لإنجاح العملية التعليمية    آخر ساعات الصيف.. توقعات حالة الطقس اليوم والأسبوع الأول لفصل الخريف 2024    قتلت بنتها عشان علاج بالطاقة.. وصول المضيفة التونسية لمحكمة الجنايات    صور| شلل مروري بسبب كسر ماسورة مياه أسفل كوبري إمبابة    انطلاق الدورة 17 من مهرجان سماع تحت شعار رسالة سلام إلى العالم (صور)    عمر عبد العزيز: "كريم عبد العزيز بيفكرني ب رشدي أباظة" (فيديو)    من هم الخلفاء الراشدين والتابعين الذين احتفلوا بالمولد النبوي؟.. الإفتاء توضح    "الصحة" تعلن خطة التأمين الطبي للمدارس تزامنًا مع بدء العام الدراسي    «بعد حبسه».. بلاغ جديد للنائب العام ضد الشيخ صلاح التيجاني يتهمه بازدراء الدين    أستاذ علوم سياسية: توسيع الحرب مع حزب الله يعرض تل أبيب لخطر القصف    وزير العمل يعلن عن وظائف في محطة الضبعة النووية برواتب تصل ل25 ألف جنيه    زاهي حواس: حركة الأفروسنتريك تهدف إلى إثارة البلبلة لنشر معلومة زائفة وكاذبة    مسار صعب يخوضه رئيس الوزراء الفرنسي .. تحديات بانتظار الحكومة الجديدة    حكاية بطولة استثنائية تجمع بين الأهلي والعين الإماراتي في «إنتركونتيننتال»    بوتين يشكل لجنة لإمداد الجيش الروسي بالمتعاقدين    أسعار الأسماك اليوم السبت 21 سبتمبر في سوق العبور    الولاء والانتماء والمشروعات القومية.. أول حصة في العام الدراسي الجديد    انخفاض جديد في درجات الحرارة.. الأرصاد تزف بشرى سارة لمحبي الشتاء    أسعار الفاكهة في سوق العبور السبت 21 سبتمبر    اليوم.. نهائي بطولة باريس للاسكواش ومصر تسيطر على لقبي الرجال والسيدات    ترتيب الدوري الإنجليزي الممتاز قبل الجولة الخامسة    هاني فرحات وأنغام يبهران الجمهور البحريني في ليلة رومانسية رفعت شعار كامل العدد    مجلس الأمن يحذر من التصعيد ويدعو إلى ضبط النفس بلبنان    تعرف على مواقيت الصلاة اليوم السبت 21-9-2024    ما حكم تلف السلعة بعد تمام البيع وتركها أمانة عند البائع؟.. الإفتاء تجيب    بدء التصويت في الانتخابات الرئاسية في سريلانكا    احتجزه في الحمام وضربه بالقلم.. القصة الكاملة لاعتداء نجل محمد رمضان على طفل    مدحت العدل يوجه رسالة لجماهير الزمالك.. ماذا قال؟    ضبط 12شخصا من بينهم 3 مصابين في مشاجرتين بالبلينا وجهينة بسوهاج    وفاة والدة اللواء محمود توفيق وزير الداخلية    هل يؤثر خفض الفائدة الأمريكية على أسعار الذهب في مصر؟    رياضة ½ الليل| مواعيد الإنتركونتينتال.. فوز الزمالك.. تصنيف القطبين.. وإيهاب جلال الغائب الحاضر    مريم متسابقة ب«كاستنج»: زوجي دعمني للسفر إلى القاهرة لتحقيق حلمي في التمثيل    بسمة وهبة تحتفل بزفاف نجلها في إيطاليا (فيديو)    عبد المنعم على دكة البدلاء| نيس يحقق فوزا كاسحًا على سانت إيتيان ب8 أهداف نظيفة    "ألا بذكر الله تطمئن القلوب".. أذكار تصفي الذهن وتحسن الحالة النفسية    «الإفتاء» توضح كيفية التخلص من الوسواس أثناء أداء الصلاة    تحرش بهما أثناء دروس دينية، أقوال ضحيتين جديدتين ل صلاح التيجاني أمام النيابة    بدائل متاحة «على أد الإيد»| «ساندوتش المدرسة».. بسعر أقل وفائدة أكثر    ضائقة مادية.. توقعات برج الحمل اليوم 21 سبتمبر 2024    مستشفى قنا العام تسجل "صفر" فى قوائم انتظار القسطرة القلبية لأول مرة    عمرو أديب يطالب الحكومة بالكشف عن أسباب المرض الغامض في أسوان    أكثر شيوعًا لدى كبار السن، أسباب وأعراض إعتام عدسة العين    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



برمجيات إنترنت الأشياء الخبيثة تستغلّ الثغرات الأمنية الجديدة
شموس نشر في شموس يوم 24 - 01 - 2018

بالو ألتو نتوركس: برمجيات إنترنت الأشياء الخبيثة تستغلّ الثغرات الأمنية الجديدة في أجهزة الراوتر المنزلية
دبي، الإمارات العربية المتحدة، 24 يناير 2018: بحلول أوائل شهر ديسمبر من العام 2017، اكتشفت شركة 360 نت لاب عائلة جديدة من البرمجيات الخبيثة التي أطلقوا عليها اسم ساتوري Satori، المشتقة من برمجية ميراي Mirai الخبيثة، والتي تستهدف ثغرتين أمنيتين، الأولى هي عبارة عن ثغرة أمنية في نص برمجي تنفيذي موجود ضمن خدمة بروتوكول النفاذ إلى الدليل البسيط miniigd SOAP الخاصة براوتر Realtek SDK، والثانية ثغرة أمنية اكتشفت مؤخراً في بوابة الراوتر HG532e المنزلي من هواوي، المصححة في أوائل شهر ديسمبر من العام 2017.
وقد قامت الوحدة 42 التابعة لشركة بالو ألتو نتوركس بالبحث والتحري حول برمجية ساتوري Satori الخبيثة، واستناداً على عمليات استقصاء البيانات التي قمنا بها، تبين لنا وجود ثلاثة صيغ مختلفة لهذه البرمجية الخبيثة، حيث ظهرت أولاها خلال شهر أبريل من العام 2017، أي قبل ثمانية أشهر من موجة الهجمات الأخيرة.
كما عثرت الوحدة 42 أيضاً على دلائل تشير إلى أن صيغة برمجية ساتوري الخبيثة التي تقوم باستغلال الثغرة الأمنية التي كانت نشطة في أواخر شهر نوفمبر 2017، أي قبل أن تقوم شركة هواوي بتصحيح الثغرة الأمنية، ما يشير إلى أن هذه الصيغة من برمجية ساتوري الخبيثة كانت تجسد هجوم اليوم-الصفر التقليدي، وهو هجوم يستهدف ثغرة أمنية غير مكتشفة سابقاً، ولم يتم إصدار أي تصحيح لها بعد ذلك.
وتثبت نتائج عملية التحليل التي قمنا بها حول كيفية تطور برمجية ساتوري الخبيثة صحة نظريتنا القائلة بتطور المزيد من برمجيات إنترنت الأشياء الخبيثة من أجل استغلال إما إحدى الثغرات الأمنية المعروفة، أو حتى استغلال الثغرة الأمنية اليوم-الصفر.
نشير هنا إلى أن الصيغ الأولى من برمجيات إنترنت الأشياء الخبيثة، مثل غافغيت Gafgyt والصيغة الأصلية لبرمجية ميراي، استغلت كلمات السر الافتراضية أو الضعيفة كي تهاجم الأجهزة. ورداً على ذلك، بدأ المستخدمون والمصنعون بتغيير كلمات السر الافتراضية، وتصعيب صيغة كلمات السر بهدف إحباط هذه الهجمات.
وعليه، قام بعض مصممي برمجيات إنترنت الأشياء الخبيثة، على غرار الجهات التي تقف وراء البرمجية الخبيثة أمنسيا Amnesia وآي أو تي_ريبر IoT_Reaper، بتغيير طرق استغلال الثغرات الأمنية المعروفة ضمن بعض أجهزة إنترنت الأشياء IoT. وبطبيعة الحال، استجابت الشركات الموردة لتقنيات إنترنت الأشياء IoT لهذا الأمر بتصحيح الثغرات الأمنية.
أما الخطوة المنطقية التالية والمتوقعة من قبل الجهات المهاجمة فتتمثل في الانتقال إلى استخدام نموذج هجوم اليوم-الصفر التقليدي لاستهداف الثغرات الأمنية غير المعروفة وغير المكتشفة.
لذا، فإننا نستعرض من خلال هذه المدونة المراحل الرئيسية لتطور برمجية ساتوري الخبيثة، لتصبح فيما بعد من عائلة برمجيات إنترنت الأشياء الخبيثة التي تستهدف ثغرات اليوم-الصفر الأمنية. كما أننا نعرض كيف تمكنت برمجية ساتوري الخبيثة، المشتقة من برمجية ميراي الخبيثة، من إعادة استخدام بعض نصوص شيفرة المصدر الخاصة ببرمجية ميراي الخبيثة لتحقيق مسح شامل لبروتوكول ال وكلمات السر للقيام بهجمة عنيفة تستهدف المهام الوظيفية. وقد قامت برمجية ساتوري الخبيثة أيضاً بتحديد نوع من أجهزة إنترنت الأشياء، حيث أظهر سلوكيات مختلفة وفقاً لاختلاف أنواع هذه الأجهزة. وهو ما يؤكد لنا بأن مصمم برمجية ساتوري Satori الخبيثة بدأ بعكس هندسة البرامج الثابتة في العديد من أجهزة إنترنت الأشياء، وذلك بهدف جمع المعلومات الأصلية للجهاز، واكتشاف ثغرات أمنية جديدة. وفي حال صح هذا الأمر، فقد نشهد في المستقبل القريب صيغ جديدة لبرمجية ساتوري الخبيثة تستهدف العديد من الثغرات الأمنية غير المعروفة في الأجهزة الأخرى.
مراحل تطور برمجية ساتوري الخبيثة
تمكنا منذ شهر أبريل من العام 2017 من رصد عدد من الهجمات التي شنتها برمجية ساتوري Satori الخبيثة، ومن خلال تحليل سجلات الهجمات التي قمنا برصدها، واستناداً على نتائج عميلات تحليل العينة، استطعنا تحديد ثلاثة صيغ رئيسية مختلفة لبرمجية ساتوري الخبيثة (كما هو مبين في الشكل رقم "1")، حيث تشير نتائج عمليات التحليل التي قمنا بها إلى أن هذه الصيغ الثلاث تنفذ أوامر مختلفة،
الصيغة الأولى تقوم فقط بفحص الإنترنت، والتحقق من عنوان بروتوكول الإنترنت IP لمعرفة أيها يحوي على ثغرة أمنية ضمن تسجيل الدخول إلى بروتوكول ال Telnet، وذلك عن طريق محاولات تجريب كلمات السر المختلفة. وبمجرد نجاحها في تسجيل الدخول فإنها تقوم بتفعيل جدار صد ضد عمليات الوصول، ومن ثم تعمل على تنفيذ الأوامر /bin/busybox satori أو "/bin/busybox SATORI فقط.
أما الصيغة الثانية فإنها محاطة بطبقة حماية وتمويه من أجل تفادي كشفها من قبل عمليات الكشف الثابتة. وفي الوقت نفسه، قامت الجهة المهاجمة بإضافة كلمة السر aquario ضمن دليل كلمات المرور (الشكل رقم "2")، لكي تستخدمها دائماً للدخول من أول محاولة لها، كما أن كلمة السر aquario تعتبر كلمة السر الافتراضية لأجهزة الراوتر الرائجة في دول أمريكا الجنوبية، وهو ما يشير إلى أن الجهة المهاجمة بدأت بالتغلب على البرامج المؤتمتة في أمريكا الجنوبية.
في حين قامت الصيغة الثالثة من البرمجية باستغلال ثغرتين أمنيتين لتنفيذ النص البرمجي عن بعد، بما في ذلك ثغرة اليوم-الصفر الأمنية (CVE-2017-17215)، وهو وجه الشبه الذي يربطها ببعض عينات الصيغة الثانية، فهما تحملان نفس الأوامر المدرجة.
النتيجة
تظهر برمجية ساتوري الخبيثة أن برمجيات إنترنت الأشياء الخبيثة تتطور باستمرار على نطاق واسع، فهي تبدأ من الهجمات العنيفة لكشف كلمات السر، وصولاً إلى هجمات استغلال الثغرات الأمنية.
كما أن شيفرة المصدر المفتوح لبرمجية ميراي الخبيثة وفّر لمصممي برمجيات إنترنت الأشياء الخبيثة نقطة انطلاق جيدة نحو تطوير صيغ جديدة، الأمر الذي قد يصبح من التوجهات السائدة إذا ما واصل مصممو برمجيات إنترنت الأشياء الخبيثة اعتمادهم على استغلال المزيد من الثغرات الأمنية المعروفة، أو اكتشاف ثغرات اليوم-الصفر الأمنية لمهاجمة أجهزة إنترنت الأشياء.
تجدر الإشارة إلى أن شركة بالو ألتو نتوركس قامت بإصدار التصحيح رقم (37896) لأنظمة كشف ومنع الاختراق الخاص بثغرة اليوم-الصفر التي تستغله برمجية ساتوري الخبيثة. كما تمكنت شركة وايلدفاير أيضاً من تدارك نقاط الكشف عن عينات برمجية ساتوري الخبيثة، في حين قامت شركة سي تو إس بتصنيفها ضمن البرمجيات الخبيثة. وبإمكان عملاء حل AutoFocus التحقق من هذا النشاط عبر الوسم: Satori.

انقر هنا لقراءة الخبر من مصدره.