يستخدم المتسللون برامج مفتوحة المصدر تحظى بشعبية لدى الغشاشين في ألعاب الفيديو للسماح للبرامج الضارة المستندة إلى Windows بتجاوز القيود التي وضعتها Microsoft لمنع حدوث مثل هذه الإصابات.
يأتي البرنامج في شكل أداتين برمجيتين متاحتين على GitHub. يستخدمها الغشاشون للتوقيع رقميًا على برامج تشغيل الأنظمة الضارة حتى يتمكنوا من تعديل ألعاب الفيديو بطرق تمنح اللاعب ميزة غير عادلة. تعمل برامج التشغيل على إزالة العقبة الكبيرة المطلوبة لتشغيل كود الغش داخل نواة Windows ، وهي الطبقة المحصنة من نظام التشغيل المخصصة للوظائف الأكثر أهمية وحساسية.
قال باحثون من فريق تالوس الأمني التابع لشركة سيسكو يوم الثلاثاء إن العديد من مجموعات التهديد الناطقة بالصينية قد أعادت استخدام الأدوات – واحدة تسمى HookSignTool والأخرى FuckCertVerifyTimeValidity. بدلاً من استخدام الوصول إلى kernel للغش ، يستخدمه المهاجمون لإعطاء قدراتهم البرمجية الخبيثة التي لم تكن لتوفرها لولا ذلك.
طريقة جديدة لتجاوز قيود برنامج تشغيل Windows
كتب الباحثون: “خلال بحثنا ، حددنا الجهات الفاعلة في التهديد التي تستفيد من HookSignTool و FuckCertVerifyTimeValidity ، أدوات تزوير الطابع الزمني للتوقيع والتي كانت متاحة للجمهور منذ 2019 و 2018 على التوالي ، لنشر هذه المحركات الضارة”. “على الرغم من أنها اكتسبت شعبية في مجتمع تطوير غش الألعاب ، فقد لاحظنا استخدام هذه الأدوات على برامج تشغيل Windows الضارة التي لا علاقة لها بخداع الألعاب.”
مع ظهور نظام التشغيل Windows Vista لأول مرة ، سنت Microsoft قيودًا جديدة صارمة على تحميل برامج تشغيل النظام التي يمكن تشغيلها في وضع kernel. تعد برامج التشغيل ضرورية للأجهزة للعمل مع برامج مكافحة الفيروسات والطابعات وأنواع أخرى من البرامج والأجهزة الطرفية ، لكنها لطالما كانت وسيلة ملائمة للمتسللين لتشغيل البرامج الضارة في وضع kernel. تتوفر هذه الاختراقات للمتسللين بعد الاستغلال ، مما يعني أنه بمجرد حصولهم بالفعل على امتيازات إدارية على جهاز مستهدف.
في حين أن المهاجمين الذين يحصلون على مثل هذه الامتيازات يمكنهم سرقة كلمات المرور وأخذ الحريات الأخرى ، يجب أن تعمل برامجهم الضارة عادةً في Windows kernel لأداء عدد كبير من المهام الأكثر تقدمًا. بموجب السياسة المطبقة مع Vista ، لا يمكن تحميل جميع برامج التشغيل هذه إلا بعد الموافقة عليها مسبقًا من قِبل Microsoft ثم توقيعها رقميًا بواسطة مرجع مصدق موثوق به للتحقق من سلامتها.
كان لدى مطوري البرامج الضارة الذين يتمتعون بامتيازات المسؤول بالفعل طريقة واحدة معروفة لتجاوز قيود السائق بسهولة. تُعرف هذه التقنية باسم “أحضر سائقك الضعيف”. إنه يعمل عن طريق تحميل برنامج تشغيل تابع لجهة خارجية متاح للجمهور تم توقيعه بالفعل وتبين لاحقًا أنه يحتوي على ثغرة أمنية تسمح بالاستيلاء على النظام. يقوم المتسللون بتثبيت برنامج التشغيل بعد الاستغلال ثم استغلال ضعف برنامج التشغيل لحقن برامجهم الضارة في نواة Windows.
على الرغم من وجود هذه التقنية منذ أكثر من عقد من الزمان ، إلا أن Microsoft لم تبتكر بعد دفاعات عاملة ولم تقدم بعد أي إرشادات قابلة للتنفيذ بشأن التخفيف من التهديد على الرغم من أن أحد مسؤوليها التنفيذيين أشاد علنًا بكفاءة Windows في الدفاع ضده.
تمثل التقنية التي اكتشفها Talos طريقة جديدة لتجاوز قيود برنامج تشغيل Windows. إنه يستغل ثغرة كانت موجودة منذ بداية السياسة التي كان الأجداد فيها في السائقين الأكبر سناً حتى عندما لم تتم مراجعتهم من قبل Microsoft للتأكد من سلامتهم. يتم تشغيل الاستثناء ، المصمم للتأكد من أن البرامج القديمة لا تزال قادرة على العمل على أنظمة Windows ، عندما يتم توقيع برنامج التشغيل من قبل سلطة شهادات موثوقة من Windows قبل 29 يوليو 2015.
أوضح منشور تالوس يوم الثلاثاء أنه “إذا تم توقيع برنامج التشغيل بنجاح بهذه الطريقة ، فلن يتم منعه من التثبيت والبدء كخدمة”. نتيجة لذلك ، تم تطوير أدوات متعددة مفتوحة المصدر لاستغلال هذه الثغرة. هذه تقنية معروفة على الرغم من التغاضي عنها غالبًا على الرغم من أنها تشكل تهديدًا خطيرًا لأنظمة Windows وسهولة الأداء نسبيًا بسبب توفر الأدوات بشكل عام “.