الضعف في الأداة "السلاسل" المستخدمة على نطاق واسع قد يفسد مشكلة لمحللي البرامج الضارة

واحدة من الأشياء الأولى التي يقوم بها محلل البرامج الضارة عند مواجهة ملف قابل للتنفيذ المشبوه هو استخراج سلاسل النص الموجودة داخلها ، لأنها يمكن أن توفر أدلة فورية حول الغرض منها. لقد تم اعتبار هذه العملية آمنة منذ فترة طويلة ، ولكنها يمكن أن تؤدي في الواقع إلى اختراق النظام ، كما وجد الباحث الأمني.

يتم إجراء استخراج السلسلة عادة باستخدام أداة سطر أوامر Linux تسمى السلاسل التي تعد جزءًا من جنو بينوتيلس ، وهي مجموعة من الأدوات لتحليل الملف الثنائي والتحكم فيه متاح بشكل افتراضي في معظم توزيعات لينكس من جنو Binutils ويستخدم لتحليل تنسيق الملف. الغموض هو فعل توفير مدخلات غير متوقعة لتطبيق مثل libbfd من أجل تحريك سلوك يمكن استغلاله.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

ما وجده زيليوسكي ، على حد قوله ، "مجموعة من الأعطال المربكة والتي يمكن استغلالها خارج الحدود بسبب عمليات فحص محدودة النطاق." هذه هي أنواع الأخطاء التي يمكن أن تؤدي إلى تنفيذ تعليمات برمجية عشوائية.

"العديد من مستخدمي shell ، وبالتأكيد معظم الأشخاص وقال زاليوسكي في مدونة نشر فيها أحد هذه الثغرات: "إن العمل في مجال الطب الشرعي بالحاسب الآلي أو المجالات الأخرى لأمن المعلومات ، له عادة تشغيل / usr / bin / strings على الملفات الثنائية التي تنشأ من الإنترنت". "فهمهم هو أن الأداة تقوم ببساطة بمسح الملف لتشغيل الأحرف القابلة للطبع وإزالتها إلى شيء stdout الذي من غير المحتمل أن يضعك في أي خطر."

وفقًا ل Zalewski ، هذا ليس هو الحال لأن أداة السلاسل يعتمد على libbfd لتحسين عملية التحليل للصيغ القابلة للتنفيذ المدعومة. وهذا يعني أن المهاجم يمكن أن ينشئ ملفًا ثنائيًا يستغل نقاط الضعف في libbfd عند تحليله بواسطة الأداة المساعدة من أجل تنفيذ أوامر عشوائية على النظام الأساسي.

تتفاقم المشكلة بسبب حقيقة أن الكثير من توزيعات Linux تعمل على شحن أداة السلاسل بدون تعيير مخطط مساحة العنوان (ASLR) ، وهي آلية حماية تجعل استغلال نقاط الضعف أكثر صعوبة. هذا يجعل هجمات محتملة "أسهل وأكثر موثوقية - حالة تذكرنا بأحد البق الأخيرة في bash" ، قال Zalewski.

التأثير لا يقتصر على السلاسل. من المحتمل أن تكون مكونات GNU Binutils الأخرى مثل objdump و read-to ، أو حتى الأدوات المخصصة التي تستفيد من libbfd عرضة لهجمات مماثلة.

تنفيذ سلاسل مقابل ملف ثنائي تم تنزيله من الإنترنت ليس شيئًا عادةً ما يقوم به المستخدم العادي - على الأقل بدون يجري هندستها اجتماعيا من قبل المهاجم. ومع ذلك ، فإن الخطر أعلى بكثير بالنسبة للأشخاص الذين تتمثل مهمتهم في تحليل الملفات المعادية كل يوم.

"خلاصة القول هي أنه إذا كنت تستخدم لتشغيل سلاسل على ملفات عشوائية ، أو تعتمد على أي أدوات تعتمد على libbfd لأسباب تتعلق بالطب الشرعي ، ربما ينبغي عليك تغيير عاداتك "، قال زاليوسكي. "بالنسبة للسلسلة على وجه التحديد ، يبدو أن استدعاءها باستخدام المعلمة -a تمنع استخدام libbfd. قد يرغب موردو التوزيعات في التفكير في إعداد الوضع الافتراضي أيضًا. "

صحيح أن معظم الباحثين في البرامج الضارة وأخصائيي الطب الشرعي بالكمبيوتر يقومون بتحليل الملفات المشبوهة في بيئات خاضعة للرقابة ، على الأنظمة المعدة خصيصًا لهذا الغرض. ومع ذلك ، فمن المعروف أيضًا أنها تجعل الاستثناء العرضي عندما يحتاجون إلى نتيجة سريعة ، خاصة مع مثل هذه العمليات التي تبدو آمنة مثل استخراج السلاسل.

"أنا متأكد من أن الكثير منا مذنب بتشغيل" سلاسل "في ملف غير موثوق به وقال كارستن إييرام ، كبير مسؤولي الأبحاث في شركة مخابرات أمن المخاطر ، عبر البريد الإلكتروني: "عند نقطة أو أخرى خارج أنظمة الاختبار لدينا ، فإن هذا يعد بمثابة تذكير بأن لا شيء آمن وأن هناك نقاط ضعف في أي رمز". .

وقال بوجدان بوتيزاتو ، محلل كبير في التهديد الإلكتروني في شركة مكافحة الفيروسات ، إن الحل الوسط غير مرغوب فيه حتى عندما يتعلق الأمر بنظام مخصص فقط للتحليل.

"لا يريد الباحث أن يتم فحص هذا النظام من الخارج". بيتدفندر ، عبر البريد الإلكتروني. "يمكن للمهاجم الحصول على معلومات عن طوبولوجيا الشبكة ، والأدوات التي تعمل على الكمبيوتر المعني أو حتى رفض الخدمة على هذا الجهاز. إنه في الغالب جمع المعلومات الاستخبارية بدلاً من المساس بالمنظمة ، لكنه لا يزال يشكل تهديدًا يجب أخذه بعين الاعتبار. "

تمتد المخاطر التي تشكلها نقاط الضعف في libbfd أيضًا إلى ما وراء صناعة الأمان.

" هناك العديد من الأدوات التي تستخدم libbfd ، بما في ذلك بعض الأدوات المساعدة لتصحيح الأخطاء التي تقوم باستخراج البيانات ذات الصلة من مقالب الأعطال ، ”قال Botezatu. "جميعهم يعتمدون على libbfd ، سواء استخدمت هذه الأدوات للطب الشرعي أو لتصحيح الأخطاء."

الاستغلال لا يقتصر أيضًا على الحالات التي يتم فيها استخدام السلاسل يدويًا. هناك أيضًا أدوات تلقائية تستفيد من الأدوات المساعدة المتعلقة بالشبكة libbfd لتحليل العينات المقدمة من الأنظمة الداخلية الأخرى أو مباشرة من المستخدمين من الإنترنت.