Nethammer اختیار دستگاه شما را به دست هکرها می دهد!
تاریخ انتشار: ۳۱ اردیبهشت ۱۳۹۷ | کد خبر: ۱۸۶۷۳۵۱۴
ایتنا - این حمله از یک آسیب پذیری شناخته شده در DRAM از طریق کارت های شبکه و با استفاده از دسترسی به حافظه RDMA اکسپلویت را انجام میشود.
چندی پیش، ما در مورد حمله Rowhammer مقاله ای را منتشر ساختیم، این حمله که مبتنی بر شبکه بود Throwhammer نامیده می شد و از یک آسیب پذیری شناخته شده در DRAM از طریق کارت های شبکه و با استفاده از دسترسی مستقیم به حافظه RDMA اکسپلویت را انجام می داد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
به گزارش سرویس اخبار تکنولوژی از کسپرسکی آنلاین، تیمی از محققان هم اکنون تکنیک دومی که Rowhammer به کار گرفته است را کشف کردند. این تکنیک می تواند برای حمله به سیستم ها از حافظه های کش نشده یا دستورالعمل فلاش در زمان پردازش درخواست های دیگر شبکه استفاده کند.
این تحقیق توسط محققانی که آسیب پذیریهای Meltdown و Specter را شناسایی کرده بودند، انجام شد. محققان مستقل از آمستردام هستند و توانستند مجموعه ای از حملات Rowhammer که شامل Throwhammer می شود را در هفته قبل مشخص و رونمایی کنند.
اگر در جریان کامل این حمله قرار ندارید باید بگوییم که Rowhammer یک مشکل حیاتی و جدی در تراشه های نسل آخر حافظه RAM اما با قابلیت دسترسی مجدد DRAM است که در دسترسی مکرر به یک ردیف از حافظه می تواند bit flipping را در ردیف مجاور ایجاد کند که این موضوع به مجرمان اجازه می دهد تا محتویات حافظه را تغییر دهند.
از زمان اولین تکنیک به بعد به چندین روش مختلف برای افزایش امتیاز مجرمان به سطح کرنل و دستیابی به اجرای کد از راه دور در سیستم های آسیب پذیر اکسپلویت شدند اما در این روش مجرمان نیاز به دسترسی به سیستم قربانیان دارند.
با این حال تکنیک جدیدی که در حمله Rowhammer و با نام Nethammer به کار برده شده است می تواند امکانات بیشتری را در اختیار مجرمان قرار دهد. این حمله می تواند روش سریع نوشتن و بازنوشتن حافظه ی مورد استفاده برای پردازش بسته را به منظور اجرای کدهای دلخواه بر روی سیستم قربانی را به مجرمان بدهد که این کار تنها با یک اتصال سریع بین شبکه مجرم و قربانی امکان پذیر است.
این کار باعث اختلال در DRAM می شود زیرا که تعداد زیادی از حافظه ها به مجموعه ای مشابه از مکان های حافظه دسترسی پیدا می کنند و در نهایت باعثflipping مقدار بیت های DRAM به صورت کاملا سهوی میشود.
پس از آن آلودگی اطلاعات حاصل می تواند توسط مجرمان دستکاری و کنترل سیستم قربانی به دست آن ها بیوفتد.
در مقاله ای که توسط محققان نوشته شده است، بیان شده :" برای نصب یک حمله Rowhammer دسترسی به حافظه بایستی به صور مستقیم توسط حافظه اصلی انجام بگیرد. از همین رو مجرمان قبل از آن بایستی اطمینان حاصل کنند که داده ها در حافظه کش ذخیره نمیشوند".
از آنجایی که کش کردن یک حمله را پیچیده و دشوار می سازد، محققان روش هایی را گسترش داده اند که به آنها اجازه می دهد تا کش را دور بزنند و بتوانند به طور مستقیم به DRAM حمله کنند.
محققان حمله NetHammer را برای سه تکنیک که کمک می کند تا کش را دور بزنند مورد آزمایش قرار دادند: محرک کرنل هر بار که یه بسته را دریافت می کند، یک آدرس را فلاش و بازگذاری مجدد میکند
پردازندههای Xeon اینتل با Intel CAT برای خروج سریع کش
حافظه کش نشده بر روی یک دستگاه تلفن همراه مبتنی بر ARM محققان ثابت کردند که هر سه سناریو قابل اجرا است.
در پیاده سازی تجربی این سناریوها محققان توانستند به طور موفقیت آمیز در هر 350 میلی ثانیه یک bit flip را توسط ارسال یک جریان از بسته های UDP تا 500 مگابایت بر ثانیه به سیستم هدف وادار کنند.
از آنجایی که روش حمله Nethammer برخلاف روش Rowhammer به هیچ کد حمله ای نیاز ندارد و هیچ کنترل کدی توسط مجرمان بر روی سیستم صورت نمی گیرد بنابراین اکثر اقدامات از این حمله جلوگیری نمی کند.
همانطور که قبلا هم گفته بودیم Rowhammer از نقص سخت افزاری یک کامپیوتر اکسپلویت را انجام می دهد و هیچ پچ نرم افزاری نمی تواند این مشکل را رفع کند.
منبع: ايتنا
کلیدواژه: بدافزار
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.itna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۸۶۷۳۵۱۴ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
هشدار به ایرانیها؛ بدافزار خطرناک PlugX در حال نفوذ به کامپیوترها است
براساس گزارش مؤسسهی امنیتی Sekoia، میلیونها دستگاه در سراسر دنیا دربرابر بدافزار رهاشدهی PlugX USB آسیبپذیر هستند. این بدافزار خطرناک که توانایی تکثیر دارد، در بازهای ۶ ماهه از سپتامبر ۲۰۲۳ (شهریور و مهر ۱۴۰۲) آثاری از خود در نزدیک به ۲٫۵ میلیون آدرس IP نشان داده است.
به گزارش زومیت، بیش از ۸۰ درصد تمامی دستگاههای آلودهشده به بدافزار PlugX USB مربوط به ۱۵ کشور بودهاند که در بین آنها، نیجریه، هند، چین، ایران، اندونزی، بریتانیا، عراق و آمریکا بهترتیب در رتبههای اول تا هفتم قرار گرفتند. PlugX USB درمجموع کامپیوترهای ۱۷۰ کشور را آلوده کرد.
Sekoiaبدافزارهای USBمحور قبلی معمولاً کشورهایی را تحتتأثیر قرار میدادند که بین دستگاههای آنها شباهتهایی مشاهده میشد؛ اما این گفته برای PlugX USB صدق نمیکند. برای نمونه، بدافزار RETADUP بیشترین نرخ نفوذ به سیستمها را در کشورهای اسپانیاییزبان ثبت کرده بود.
محققان شرکت Sekoia میگویند که بدافزار PlugX USB ازطریق دستگاههای ذخیرهسازی USB (فلش) بهراحتی در بین سیستمها منتقل میشود. بررسیهای Sekoia نشان میدهد که تقریباً بهطور روزانه ۹۰٬۰۰۰ تا ۱۰۰٬۰۰۰ دستگاه به PlugX USB آلوده شدهاند.
Sekoia از شرکتهای امنیتی و دولتها درخواست کرده است که ازطریق راهکاری خاص که به ارسال دستور متنی وابسته است، به حذف PlugX USB از کامپیوترها کمک کنند؛ اما این راهکار کاملاً کارساز نیست و امکان آلودهشدن مجدد سیستمها وجود دارد؛ چون PlugX USB ازطریق دستگاههای USB در حال انتقال بین سیستمها است.
بدافزار PlugX حداقل از سال ۲۰۰۸ استفاده شده و بیشتر برای جاسوسی و دسترسی به سیستمها از راه دور کاربرد داشته است. حتی در برهههایی زمانی از PlugX برای حمله به دولتها و سازمانهای سیاسی در آسیا و سپس غرب استفاده شد. محققان باور دارند که کد منبع PlugX در سال ۲۰۱۵ فاش شده است.
فعلاً راهکار مشخصی برای مقابله با PlugX وجود ندارد. به شما توصیه میکنیم که از اتصال دستگاههای ناشناس USB به کامپیوتر خود جلوگیری کنید.
کانال عصر ایران در تلگرام