لقد ظهرت شركة Microsoft في الأخبار مؤخرًا بسبب إعلان Windows 11 في 24 يونيو من هذا العام. لكن هذا ليس السبب الوحيد الذي جعله موضوعًا للنقاش بين الناس. هناك عدة أسباب أخرى مثل التحديثات العديدة التي أصدرها بالإضافة إلى معلومات البرامج الضارة التي تم الكشف عنها مؤخرًا.
اعترف مركز الاستجابة الأمنية لـ Microsoft (MSRC) بأنه قبل برنامج تشغيل يتضمن برنامجًا ضارًا برنامج Rootkit Malware الذي كان يتبادل البيانات مع خوادم القيادة والتحكم (C2) في الصين. يبدو أن بعض الجهات الفاعلة الخبيثة قد خدعت عملاق ريدموند للتوقيع على برنامج Netfilter Driver الذي تم تصميمه لاستهداف بيئات الألعاب. تم استخدام برنامج التشغيل لإخفاء الموقع الجغرافي للاعب واللعب من أي منطقة.
تم التعرف على المثال الأول لهذه البرامج الضارة بواسطة كارستن هان، محلل البرامج الضارة في شركة الأمن السيبراني الألمانية G Data. ""منذ نظام التشغيل Windows Vista، يلزم اختبار أي تعليمات برمجية يتم تشغيلها في وضع kernel وتوقيعها قبل الإصدار العام لضمان استقرار نظام التشغيل." صرح هان. وتابع قائلاً: "لا يمكن تثبيت برامج التشغيل التي لا تحتوي على شهادة Microsoft افتراضيًا".
كيف تعمل هذه البرامج الضارة؟
وأوضح MSRC أن الأشخاص ذوي النوايا الخبيثة استخدموا هذه البرامج الضارة لاستغلال اللاعبين الآخرين واختراق بيانات اعتماد حساباتهم باستخدام برنامج Keylogger. ومن الممكن أيضًا أن يكونوا قد تمكنوا من اختراق معلومات أخرى، بما في ذلك معلومات بطاقة الخصم/الائتمان وعناوين البريد الإلكتروني.
من المثير للاهتمام ملاحظة أن Netfilter عبارة عن حزمة تطبيقات شرعية تتيح للمستخدمين تمكين تصفية الحزم وترجمة الشبكة عناوين. ويمكنه أيضًا إضافة شهادات جذر جديدة، وإعداد خادم وكيل جديد، والمساعدة في تعديل إعدادات الإنترنت.
بمجرد قيام المستخدمين بتثبيت هذا التطبيق على نظامهم، فإنه يتصل بخادم C2 لتلقي معلومات التكوين و التحديثات. وأوضحت مايكروسوفت أيضًا أن التقنيات المستخدمة في الهجوم تحدث بعد الاستغلال، مما يشير إلى أنه يجب على الخصم أولاً الحصول على امتيازات إدارية ثم تثبيت برنامج التشغيل أثناء بدء تشغيل النظام.
"يستمر المشهد الأمني في التطور بسرعة مع قال MSRC: "تجد الجهات الفاعلة في مجال التهديد طرقًا جديدة ومبتكرة للوصول إلى البيئات عبر مجموعة واسعة من النواقل".
كان هان هو الشخص الرئيسي الذي يُنسب إليه الفضل في العثور على البرامج الضارة ولكن انضم إليه لاحقًا باحثون آخرون في البرامج الضارة بما في ذلك يوهان أيدنباس، تاكاهيرو هاروياما، وفلوريان روث. لقد كان قلقًا بشأن عملية توقيع التعليمات البرمجية من Microsoft وشكك في وجود برامج ضارة أخرى مخبأة في مجموعة برامج التشغيل المعتمدة من Microsoft.
طريقة عمل العناصر الضارة
وبمجرد إبلاغ شركة مايكروسوفت، قامت باتخاذ جميع الخطوات المطلوبة للتحقيق في الحادث واتخاذ الإجراءات الوقائية لضمان عدم تكراره مرة أخرى. وذكرت مايكروسوفت أنه لا يوجد دليل على استخدام شهادات توقيع التعليمات البرمجية المسروقة. اتبع الأشخاص الذين يقفون وراء هذه البرامج الضارة العملية الشرعية المتمثلة في إرسال برامج التشغيل إلى خوادم Microsoft وحصلوا أيضًا على الملف الثنائي الموقع من Microsoft بشكل قانوني.
صرحت Microsoft أن برامج التشغيل تم إنشاؤها بواسطة مطور تابع لجهة خارجية وتم إرسالها للموافقة عليها عبر برنامج توافق أجهزة Windows. بعد هذا الحادث، علقت Microsoft الحساب الذي أرسل برنامج التشغيل هذا وبدأت في مراجعة جميع عمليات الإرسال التي قدمها هذا الحساب على رأس الأولويات.
بالإضافة إلى ذلك، قالت Microsoft إنها ستعمل على تحسين سياسات وصول الشركاء الخاصة بها بالإضافة إلى التحقق من صحتها. وعملية التوقيع لتعزيز الحماية بشكل أكبر.
النقاط الحاسمة بشأن قبول Microsoft تسجيل الدخول إلى برنامج تشغيل Netfilter الذي تم تحميله ببرامج Rootkit Malwareتدعي Microsoft أن البرامج الضارة تم إنشاؤها لمهاجمة قطاع الألعاب في الصين ويبدو أن هذا هو العمل لعدد قليل من الأفراد فقط. لا توجد اتصالات تربط مؤسسة أو مؤسسة بالبرامج الضارة. ومع ذلك، يجب أن يكون مفهومًا أن مثل هذه الثنائيات المضللة يمكن استغلالها من قبل أي شخص لبدء هجوم برمجي واسع النطاق
. في الماضي، تم تسهيل مثل هذه الهجمات مثل هجوم ستوكسنت الذي هاجم البرنامج النووي الإيراني. وذلك لأن الشهادات المستخدمة لتوقيع التعليمات البرمجية سُرقت من Realtek وJMicron.
مع استعداد Microsoft لإطلاق Windows 11، تثير هذه الحادثة شكوكًا حول السلامة والأمان الذي توفره Microsoft مع أنظمة التشغيل الخاصة بها. . ماذا تعتقد؟ من فضلك شارك افكارك في حقل التعليقات في الاسفل. تابعونا على مواقع التواصل الاجتماعي – .
قراءة: 0
