مقتل مطلوبين اثنين من حملة الفكر التكفيري في عملية أمنية بالأردن    اللجنة العامة للدائرة الثالثة بالغربية تعلن الحصر العددي لأصوات الناخبين    مهرجان شرم الشيخ يعلن اختيار رومانيا ضيف شرف دورته القادمة    بعد نشر صواريخ يابانية، الصين تتوعد بسحق أي تدخل أجنبي في تايوان    31 دولارا للأوقية.. ارتفاع أسعار الذهب في البورصة العالمية    ننشر المؤشرات الأولية لفرز لجان السويس في انتخابات مجلس النواب    بعد نجاح "دولة التلاوة".. دعوة لإطلاق جمهورية المؤذنين    في ذكرى ميلاده.. محطات في حياة طلعت حرب: رجل صنع استقلال مصر الاقتصادي ونهضتها الثقافية    مرتضى منصور قبل الأخير، ننشر الحصر العددي لأصوات الناخبين بميت غمر في الدقهلية    سيارة كيا EV5.. إضافة متميزة لعالم السيارات الكهربائية    بلاغ يكشف تلاعبًا في التسجيلات بقضية «سيدز الدولية»    الطب الشرعي في تركيا يكشف مفاجأة عن "الوفاة الغامضة" لسياح إسطنبول    مصطفى عبده يكتب: إرادة تختصر الزمن    مدحت عبدالدايم يكتب: عبدالمنعم إبراهيم كوميديان جاد.. تثيره مخالفة قواعد المرور    النائب العام يبحث التعاون مع الممثلة الخاصة للاتحاد الأوروبي    دار الإفتاء تؤكد حرمة ضرب الزوجة وتحث على الرحمة والمودة    مادورو: سندافع عن فنزويلا ضد أي تهديد والنصر سيكون حليفنا    دار الإفتاء تكشف.. ما يجوز وما يحرم في ملابس المتوفى    ستارمر: زيلينسكى قَبِل أغلب بنود الخطة الأمريكية للتسوية في أوكرانيا    محمود فتح الله: تصريحات حسام حسن الأخيرة تعتبر الأسوأ في تاريخ مدربي منتخب مصر    الفيوم تحتضن مهرجان البيئة وجامعة الفيوم تشارك بفاعلية في الحدث    وعكة صحية تُدخل والدة رضا البحراوى المستشفى    عودة "Stray Kids" إلى البرازيل كأول فرقة كيبوب في مهرجان روك إن ريو 2026    ريهام عبد الحكيم تتألق في «صدى الأهرامات» بأغنية «بتسأل يا حبيبي» لعمار الشريعي    مؤشرات أولية.. الإعادة بين 4 مرشحين بدائرة شبين الكوم في المنوفية    تقدم مرشح حزب النور ومستقبل وطن.. المؤشرات الأولية للدائرة الأولى بكفر الشيخ    ننشر المؤشرات الأولية لفرز لجان السويس في انتخابات مجلس النواب    ثقف نفسك | الأرض تغضب وتثور.. ما هو البركان وكيف يحدث ؟    قانون العمل الجديد | زيادة سنوية بنسبة 3%.. تعرف على ضوابطها    عاجل.. قائمة الأهلي لمواجهة الجيش الملكي في دوري أبطال إفريقيا    دعاء جوف الليل| اللهم يا شافي القلوب والأبدان أنزل شفاءك على كل مريض    خمسة لطفلك | كيف تكتشفين العدوى الفيروسية مبكرًا؟    محمد صبحي يكشف تفاصيل إصابته ب«الوسواس القهري»    دراسة تكشف عن 3 مخاطر من إيقاف أدوية إنقاص الوزن قبل الحمل    بروسيا دورتمنود يمطر شباك فياريال برباعية نظيفة    بيان رسمي.. الاتحاد السكندري: لم ننسحب من نهائي مرتبط السلة    مصرع وإصابة 4 أشخاص في حادث تصادم سيارتين بحدائق أكتوبر    ب8 سيارات إطفاء.. السيطرة على حريق مصنع تدوير القطن والأقمشة بالقليوبية| صور    القبض على 3 متهمين بسرقة مصوغات ذهبية من شقة في الطالبية    ترتيب دوري أبطال أوروبا.. تشيلسي يقترب من المربع الذهبي وبرشلونة ال15    بعد تصنيف بعض فروع الإخوان كمنظمات إرهابية.. الفقي: ترامب يبعث برسالة غير مباشرة لحماس    بمشاركة مرموش.. السيتي يخسر على ملعبه أمام ليفركوزن في دوري الأبطال    لجنة السيدة زينب تعلن محاضر فرز اللجان الفرعية للمرشحين بانتخابات النواب    محمد صبحي عن مرضه: التشخيص كشف عن وجود فيروس في المخ    كريم الدبيس: أي حد أفضل من كولر بالنسبالى.. وجالى عرضين رسميين للاحتراف    بالأرقام.. مؤشرات اللجنة الفرعية رقم 44 بدائرة المطرية محافظة القاهرة    مصرع طفل 15 سنة في تصادم دراجة وسيارة نقل خلال حفل زفاف غرب الأقصر    اتحاد الكرة يعلن حكام مباريات الخميس والسبت فى دور ال32 بكأس مصر    الفقي: نجاح البرلمان لن يتحقق إلا بوجود معارضة قوية ورجل الأعمال لا يصلح للسياسة    جامعة المنيا: اعتماد استراتيجية الابتكار والأمن السيبراني    رئيس البرازيل السابق جايير بولسونارو يبدأ تنفيذ حكم بالسجن 27 عاما بتهمة التخطيط لانقلاب    إطلاق مشروع الطريق الأخضر لعالم أكثر أمانًا بقنا بتعاون بين الإنجيلية والبيئة و"GIZ"    الصحة: ضعف المناعة أمام الفيروسات الموسمية وراء زيادة حدة الأعراض    تطوير 5 عيادات صحية ومركز كُلى وتفعيل نظام "النداء الآلي" بعيادة الهرم في الجيزة    مدبولي يلتقي نائب رئيس "المجلس الوطني للمؤتمر الاستشاري السياسي للشعب الصيني".. صور    رئيس الوزراء والوزير الأول للجزائر يترأسان غدا اجتماع اللجنة العليا المشتركة    مواجهة نارية في دوري أبطال أوروبا.. برشلونة وتشيلسي لايف    تعرف على مواقيت الصلاة اليوم الثلاثاء 25-11-2025 في محافظة قنا    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



عودة انتشار البرمجية الخبيثة "إنفي" من جديد تحت اسم "فودر"
الفجر نشر في الفجر يوم 07 - 08 - 2017

رصدت شركة بالو ألتو نتوركس في شهر فبراير من العام 2017 مراحل تطور برمجية خبيثة تدعى إنفي Infy، والتي كان يطلق عليها سابقاً اسم فودر Foudre (التي تعنى البرق باللغة الفرنسية)، ويبدو أن الجهات المهاجمة استفادت وتعلمت من الإجراءات التي طبقتها شركة بالو ألتو نتوركس سابقاً من أجل تفكيك وإعادة توجيه بنيتهم التحتية الخاصة بالأوامر والتحكم.
وتضمنت برمجية فودر الأخيرة تقنيات جديدة قادرة على تفادي عمليات الاستحواذ والسيطرة عليها بهدف تجنب محاولات إعادة توجيه سلسلة الأوامر والتحكم الخاصة بها، الأمر الذي نجحت بالو ألتو نتوركس بتحقيقه في العام 2016.
وقامت الشركة في شهر مايو 2016 بتوثيق ونشر نتائج أبحاثها الأصلية حول الحملات التي استخدمت فيها برمجية إنفي الخبيثة على مدى عقد من الزمن، وبعد مرور شهر من نشر هذه النتائج، قدمت بالو ألتو نتوركس شرح تفصيلي حول كيفية تمكنها من الاستحواذ على حركة سيرفرات الأوامر والتحكم التابعة للجهات المهاجمة وإعادة توجيهها.
وقدم كل من كلاوديو غوارنييري وكولين أندرسون، من مؤسسة بلاك هات يو إس، أدلة وبراهين في شهر يوليو من العام 2016 على قيام شركة الاتصالات الإيرانية (AS12880) بحجب نطاقات الأوامر والتحكم الفرعية، التي تعمل على إعادة توجيه البيانات، وذلك بواسطة التلاعب بسيرفرات أسماء النطاقات DNS، وترشيح بروتوكول نقل النص التشعبي HTTP، الأمر الذي أدى إلى منع أوامر إعادة التوجيه من الوصول إلى النطاق المحلي لإيران.
وتشير توقعات بالو ألتو نتوركس إلى أن أحد نطاقات خوارزميات توليد النطاق DGA قام بتسمية وتسجيل النطاقات قبل القيام بالهجمة، وعندما حاولت الجهات المستهدفة الاتصال بسيرفرات الأوامر والتحكم الخاصة بذلك النطاق، لم تتمكن من التعرف على نطاق بالو ألتو نتوركس لأنها لا تملك المفتاح المخصص لنظام عمليات التشفير الرئيسية العامة، ومع ذلك تمكنت بالو ألتو نتوركس من رسم خريطة خاصة بالجهات المستهدفة باستخدام نظام المعلومات الجغرافية لعناوين بروتوكولات الانترنت GeoIP.
واستهدفت هذه الهجمات مؤسسات في الولايات المتحدة وبريطانيا والعراق وإيران والسويد وألمانيا وكندا وأذربيجان والسيشل، وأشارت بالو ألتو نتوركس إلى أن العدد القليل جداً من الجهات المستهدفة في هذه الحملة يشير إلى وجود دوافع غير مادية، فمثلا إحدى الجهات العراقية المستهدفة تستخدم بروتوكول الإنترنت من ذات الفئة C في الشبكة، التي تمت مهاجمتها سابقاً من قبل برمجية إنفي الخبيثة، مما يشير إلى أن الجهة المهاجمة تستهدف نفس المؤسسة المحددة أو حتى نفس الكمبيوتر.
واكتشفت بالو ألتو نتوركس، رغم عدم توفر المفتاح المخصص لنظام عمليات التشفير الرئيسية العامة RSA وعدم القدرة على الاتصال مع أي من الجهات المستهدفة، أنه عن طريق إرسال ملف توقيع غير ساري الصلاحية (نظراً لعدم وجود نظام للتحقق من صحة المدخلات في محتوى/حجم ملف التوقيع) إلى الجهة المستهدفة، واستطاعت إيقاف عمل ملف ال rundll32، الذي يعمل على تشغيل ملف DLL الخاص ببرمجية فودر الخبيثة، ما يتيح إمكانية تعطيل انتشار العدوى بهذه البرمجية الخبيثة حتى تقوم الجهة المستهدفة بإعادة تشغيل النظام.
وتعمل هذه الحملة من الهجمات الخبيثة منذ عشر سنوات على الأقل، وهي لا تزال نشطة وفعالة منذ عشر سنوات على الأقل.
وقد وثقت بالو ألتو نتوركس عملياتها لتفكيك وإعادة توجيه البنية التحتية الخاصة بالأوامر والتحكم للجهة المهاجمة، لذا، يجب ألا نفاجأ بعودة برمجية إنفي الخبيثة – لكي تقوم ذات البرمجيات الخبيثة باستهداف ذات الجهات المستهدفة سابقاً.
وتدرك الجهات المهاجمة أنها بحاجة لامتلاك بنية تحتية أكثر قوةً لسيرفرات الأوامر والتحكم كي تتمكن من منع عمليات التسلل والاستحواذ. وقد تضفي خوارزميات توليد النطاق بعض المرونة في أداء هذه المهمة، إلا أنها ليست منيعة بما يكفي لعدم الاستحواذ عليها، ومع ذلك ان استخدام التوقيع الرقمي تعتبر آلية دفاع فعالة عن سيرفرات الأوامر والتحكم.
ويعتبر من المستحيل، في حال عدم القدرة على الوصول إلى المفاتيح المخصصة، الاستحواذ على سيرفرات الأوامر والتحكم حتى إذا كان نطاق خوارزميات توليد النطاق مسجلاً من قبل الباحث، وبالإمكان حفظ المفاتيح المخصصة على المستوى المحلي ضمن سيرفر الأوامر والتحكم، لكن في حال تعذر الوصول إلى سيرفر الأوامر والتحكم، فإنه لا يمكننا تأكيد وجود نقطة الضعف (الثغرة) المحتملة هذه في البنية التحتية

انقر هنا لقراءة الخبر من مصدره.