Pull apart an EXE file with Ghidra (NSA Tool) (Reverse Engineering)
قامت مجموعة cyberespionage نشطة في آسيا بالاستفادة من ميزة Windows المعروفة باسم hotpatching من أجل إخفاء برامجها الضارة بشكل أفضل من المنتجات الأمنية.
المجموعة ، التي تقوم ببرامج خبيثة باحثين من Microsoft بالاتصال بلاتينيوم ، وقد نشطت منذ عام 2009 على الأقل واستهدفت بشكل رئيسي المنظمات الحكومية ومعاهد الدفاع ووكالات الاستخبارات ومقدمي خدمات الاتصالات في جنوب وجنوب شرق آسيا ، وخاصة من ماليزيا وإندونيسيا والصين.
حتى الآن استخدمت المجموعة رسائل البريد الإلكتروني الاحتيالية التي تستهدف منظمات أو أفراد معينين - كأسلوب الهجوم الرئيسي ، وغالبا ما تجمعها مع مآثر للشراء في السابق غير معروف أو عدم وجود نقاط ضعف في يوم من الأيام تثبت برامج ضارة مخصصة. إنه يولي أهمية كبيرة للبقاء غير مكتشوف.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]لتحقيق ذلك ، يتم إطلاق عدد صغير فقط من حملات الهجوم كل عام. تشتمل مكونات البرامج الضارة المخصصة على إمكانات الحذف الذاتي ، وهي مصممة للتشغيل فقط خلال ساعات عمل الضحايا ، لإخفاء نشاطهم بين حركة مرور المستخدمين العادية ، كما قال فريق Microsoft Defender Advanced Threat Hunting في تقرير.
بينما كان باحثو Microsoft لم يصلوا إلى القول على وجه اليقين بأن البلاتين هي مجموعة سيبرسايوناج ترعاها الدولة ، وقالوا إن "المجموعة تُظهر سمات كونها ممولة بشكل جيد ، منظمة ، وتركز على المعلومات التي ستكون أكثر فائدة للهيئات الحكومية."
One من التقنيات الأكثر إثارة للاهتمام المستخدمة من قبل المجموعة يعرف باسم hotpatching. هذا يعزز ميزة غامضة إلى حد ما تم تقديمها لأول مرة في Windows Server 2003 والتي تسمح بالتحديث الديناميكي لمكونات النظام دون الحاجة إلى إعادة تشغيل الكمبيوتر.
تمت إزالة Hotpatching في Windows 8 والإصدارات الأحدث ، لأنه نادرًا ما تم استخدامه. خلال فترة الاثنتي عشرة سنة من عمر Windows Server 2003 ، استخدمت 10 تصحيحات فقط.
تم وصف الاستخدام المحتمل لـ hotpatching كطريقة خفية لإدخال الشفرات الخبيثة في العمليات الجارية بواسطة الباحث الأمن Alex Ionescu في مؤتمر أمن SyScan في 2013. وهو أسلوبه الذي تستخدمه مجموعة بلاتينوم.
هذه هي المرة الأولى التي يرى فيها باحثو مايكروسوفت التقنية المستخدمة في البرية من قبل مهاجمين خبيثين.
"استخدام التسخين في سياق خبيث هو أسلوب التي يمكن استخدامها لتجنب اكتشافها ، لأن العديد من حلول مكافحة البرامج الضارة تقوم بمراقبة العمليات غير النظامية لطرق الحقن العادية ، مثل CreateRemoteThread ، قال الباحثون في Microsoft في مشاركة مدونة. "ما يعنيه هذا من الناحية العملية هو أن PLATINUM تمكنت من إساءة استخدام هذه الميزة لإخفاء مستتراتها من أجهزة الاستشعار السلوكية للعديد من منتجات الأمان المضيفة."
جديد Ransomware abuses Windows PowerShell، Word document macros
يتم استخدام برنامج Ransomware جديد مكتوب في Windows PowerShell في الهجمات ضد المؤسسات ، بما في ذلك مؤسسات الرعاية الصحية يحذر باحثون من Carbon Black.
Cyberespionage abuses Windows hotpatching mechanism for malware stealth
قامت مجموعة Cyberespionage النشطة في آسيا بالاستفادة من ميزة Windows المعروفة باسم hotpatching من أجل تحسين إخفاء برامجها الضارة من المنتجات الأمنية.
