وفد طلابي من هندسة دمنهور يشارك في فعاليات ملتقى "موبيليتي توك"    بعد شائعات انتشاره.. خطوات تقديم شكوى في حالة اكتشاف بنزين مغشوش    باكستان تؤكد استهدافها بهجوم صاروخي هندي وتتوعد بالرد    شهيد و3 مصابين في غارة للاحتلال على قرية كفر رمان جنوب لبنان    سفير مصر في اليونان: أثينا تقدر دور القاهرة في غزة والعلاقات بين البلدين نموذجية واستراتيجية    نقل حسام عاشور للمستشفى بعد تعرضه لأزمة صحية    متعة التشامبيونز مستمرة| الإنتر وبرشلونة يلجآن لشوطيين إضافيين    توقعات طقس ال 72 ساعة المقبلة.. هل يستمر ارتفاع درجات الحرارة؟    وزير الثقافة والسياحة التركي يزور منطقة أهرامات الجيزة    كندة علوش: الأمومة غيرت حياتي وعلمتني الصبر (فيديو)    مركز السينما العربية ينظم ندوة عن ازدهار السينما المصرية في مهرجان كان السينمائي    أحدث تقنيات جراحات الأنف والأذن والحنجرة دمياط بالملتقى العلمي العاشر    وزير الأوقاف: المسلمون والمسيحيون في مصر تجمعهم أواصر قوية على أساس من الوحدة الوطنية    بيسيرو لم يتم إبلاغه بالرحيل عن الزمالك.. ومران اليوم لم يشهد وداع للاعبين    البابا تواضروس أمام البرلمان الصربي: إخوتنا المسلمون تربطهم محبة خاصة للسيدة العذراء مريم    ارمِ.. اذبح.. احلق.. طف.. أفعال لا غنى عنها يوم النحر    أمين الفتوي يحرم الزواج للرجل أو المرأة في بعض الحالات .. تعرف عليها    نائب رئيس جامعة الأزهر: الشريعة الإسلامية لم تأتِ لتكليف الناس بما لا يطيقون    تحديد جلسة طعن سائق أوبر على حكم حبسه في وفاة حبيبة الشماع    الأول من نوعه في الصعيد.. استخراج مقذوف ناري من رئة فتاة بالمنظار    اليوم العالمى للربو.. مخاطر تزيد أعراضك سوءاً وأهم النصائح لتجنب الإصابة    «الخارجية» تصدر بيانا بشأن السفينة التي تقل بحارة مصريين قبالة السواحل الإماراتية    الأمطار تخلق مجتمعات جديدة فى سيناء    الوزير: تطوير الصناعات الوطنية لتحقيق الاكتفاء الذاتى    هل تحاول إدارة ترامب إعادة تشكيل الجيش الأمريكي ليخدم أجندتها السياسية؟    طلاب جامعة طنطا يحصدون 7 مراكز متقدمة في المجالات الفنية والثقافية بمهرجان إبداع    هل يجب على المسلمين غير العرب تعلم اللغة العربية؟.. علي جمعة يُجيب    جولة تفقدية لوكيل مديرية التعليم بالقاهرة لمتابعة سير الدراسة بالزاوية والشرابية    البنك الإسلامي للتنمية والبنك الآسيوي للتنمية يتعهدان بتقديم ملياري دولار لمشاريع التنمية المشتركة    "ثقافة الفيوم" تشارك في فعاليات مشروع "صقر 149" بمعسكر إيواء المحافظة    وفد البنك الدولى ومنظمة الصحة العالمية في زيارة لمنشآت صحية بأسيوط    "قومي المرأة" يشارك في تكريم المؤسسات الأهلية الفائزة في مسابقة "أهل الخير 2025"    «النهارده كام هجري؟».. تعرف على تاريخ اليوم في التقويم الهجري والميلادي    من منتدى «اسمع واتكلم».. ضياء رشوان: فلسطين قضية الأمة والانتماء العربى لها حقيقى لا يُنكر    ظافر العابدين ينضم لأبطال فيلم السلم والثعبان 2    بولندا تتهم روسيا بالتدخل في حملة الانتخابات الرئاسية    حالة الطقس غدا الأربعاء 7-5-2025 في محافظة الفيوم    رئيس الوزراء الهندي: حصتنا من المياه كانت تخرج من البلاد سابقا والآن نريد الاحتفاظ بها    النائب العام يشارك في فعاليات قمة حوكمة التقنيات الناشئة بالإمارات    السعودية.. مجلس الوزراء يجدد التأكيد لحشد الدعم الدولي لوقف العنف في غزة    رئيس "شباب النواب": استضافة مصر لبطولة الفروسية تعكس مكانة مصر كوجهة رياضية عالمية    رئيس شركة فيزا يعرض مقترحًا لزيادة تدفق العملات الأجنبية لمصر -تفاصيل    منها إنشاء مراكز بيع outlet.. «مدبولي» يستعرض إجراءات تيسير دخول الماركات العالمية إلى الأسواق المصرية    موعد وقفة عرفات وعيد الأضحى 2025 في مصر والدول العربية    تأجيل محاكمة 7 متهمين في خلية "مدينة نصر" الإرهابية ل 16 يونيو    تأجيل محاكمة نقاش قتل زوجته فى العمرانية بسبب 120 جنيها لجلسة 2 يونيو    بعد رحيله عن الأهلي.. تقارير: عرض إماراتي يغازل مارسيل كولر    نائب وزير الصحة: تحسين الخصائص السكانية ركيزة أساسية في الخطة العاجلة لتحقيق التنمية الشاملة    كريم رمزي: الأهلي سيخاطب اتحاد الكرة بشأن علي معلول لتواجده في قائمة كأس العالم للأندية    ضبط محل يبيع أجهزة ريسيفر غير مصرح بتداولها في الشرقية    الجيش الإسرائيلي يصدر إنذارا بإخلاء منطقة مطار صنعاء الدولي بشكل فوري    وكيل الأزهر: على الشباب معرفة طبيعة العدو الصهيوني العدوانية والعنصرية والتوسعية والاستعمارية    ادعوله بالرحمة.. وصول جثمان الفنان نعيم عيسى مسجد المنارة بالإسكندرية.. مباشر    لينك طباعة صحيفة أحوال المعلم 2025 بالرقم القومي.. خطوات وتفاصيل التحديث    "هذه أحكام كرة القدم".. لاعب الزمالك يوجه رسالة مؤثرة للجماهير    «الداخلية»: ضبط شخص عرض سيارة غير قابلة للترخيص للبيع عبر «فيس بوك»    رحيل بيسيرو يكلف خزينة الزمالك 7 ملايين جنيه ومفاجأة حول الشرط الجزائي    حالة الطقس اليوم الثلاثاء 6 مايو في مصر    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



عودة انتشار البرمجية الخبيثة "إنفي" من جديد تحت اسم "فودر"
الفجر نشر في الفجر يوم 07 - 08 - 2017

رصدت شركة بالو ألتو نتوركس في شهر فبراير من العام 2017 مراحل تطور برمجية خبيثة تدعى إنفي Infy، والتي كان يطلق عليها سابقاً اسم فودر Foudre (التي تعنى البرق باللغة الفرنسية)، ويبدو أن الجهات المهاجمة استفادت وتعلمت من الإجراءات التي طبقتها شركة بالو ألتو نتوركس سابقاً من أجل تفكيك وإعادة توجيه بنيتهم التحتية الخاصة بالأوامر والتحكم.
وتضمنت برمجية فودر الأخيرة تقنيات جديدة قادرة على تفادي عمليات الاستحواذ والسيطرة عليها بهدف تجنب محاولات إعادة توجيه سلسلة الأوامر والتحكم الخاصة بها، الأمر الذي نجحت بالو ألتو نتوركس بتحقيقه في العام 2016.
وقامت الشركة في شهر مايو 2016 بتوثيق ونشر نتائج أبحاثها الأصلية حول الحملات التي استخدمت فيها برمجية إنفي الخبيثة على مدى عقد من الزمن، وبعد مرور شهر من نشر هذه النتائج، قدمت بالو ألتو نتوركس شرح تفصيلي حول كيفية تمكنها من الاستحواذ على حركة سيرفرات الأوامر والتحكم التابعة للجهات المهاجمة وإعادة توجيهها.
وقدم كل من كلاوديو غوارنييري وكولين أندرسون، من مؤسسة بلاك هات يو إس، أدلة وبراهين في شهر يوليو من العام 2016 على قيام شركة الاتصالات الإيرانية (AS12880) بحجب نطاقات الأوامر والتحكم الفرعية، التي تعمل على إعادة توجيه البيانات، وذلك بواسطة التلاعب بسيرفرات أسماء النطاقات DNS، وترشيح بروتوكول نقل النص التشعبي HTTP، الأمر الذي أدى إلى منع أوامر إعادة التوجيه من الوصول إلى النطاق المحلي لإيران.
وتشير توقعات بالو ألتو نتوركس إلى أن أحد نطاقات خوارزميات توليد النطاق DGA قام بتسمية وتسجيل النطاقات قبل القيام بالهجمة، وعندما حاولت الجهات المستهدفة الاتصال بسيرفرات الأوامر والتحكم الخاصة بذلك النطاق، لم تتمكن من التعرف على نطاق بالو ألتو نتوركس لأنها لا تملك المفتاح المخصص لنظام عمليات التشفير الرئيسية العامة، ومع ذلك تمكنت بالو ألتو نتوركس من رسم خريطة خاصة بالجهات المستهدفة باستخدام نظام المعلومات الجغرافية لعناوين بروتوكولات الانترنت GeoIP.
واستهدفت هذه الهجمات مؤسسات في الولايات المتحدة وبريطانيا والعراق وإيران والسويد وألمانيا وكندا وأذربيجان والسيشل، وأشارت بالو ألتو نتوركس إلى أن العدد القليل جداً من الجهات المستهدفة في هذه الحملة يشير إلى وجود دوافع غير مادية، فمثلا إحدى الجهات العراقية المستهدفة تستخدم بروتوكول الإنترنت من ذات الفئة C في الشبكة، التي تمت مهاجمتها سابقاً من قبل برمجية إنفي الخبيثة، مما يشير إلى أن الجهة المهاجمة تستهدف نفس المؤسسة المحددة أو حتى نفس الكمبيوتر.
واكتشفت بالو ألتو نتوركس، رغم عدم توفر المفتاح المخصص لنظام عمليات التشفير الرئيسية العامة RSA وعدم القدرة على الاتصال مع أي من الجهات المستهدفة، أنه عن طريق إرسال ملف توقيع غير ساري الصلاحية (نظراً لعدم وجود نظام للتحقق من صحة المدخلات في محتوى/حجم ملف التوقيع) إلى الجهة المستهدفة، واستطاعت إيقاف عمل ملف ال rundll32، الذي يعمل على تشغيل ملف DLL الخاص ببرمجية فودر الخبيثة، ما يتيح إمكانية تعطيل انتشار العدوى بهذه البرمجية الخبيثة حتى تقوم الجهة المستهدفة بإعادة تشغيل النظام.
وتعمل هذه الحملة من الهجمات الخبيثة منذ عشر سنوات على الأقل، وهي لا تزال نشطة وفعالة منذ عشر سنوات على الأقل.
وقد وثقت بالو ألتو نتوركس عملياتها لتفكيك وإعادة توجيه البنية التحتية الخاصة بالأوامر والتحكم للجهة المهاجمة، لذا، يجب ألا نفاجأ بعودة برمجية إنفي الخبيثة – لكي تقوم ذات البرمجيات الخبيثة باستهداف ذات الجهات المستهدفة سابقاً.
وتدرك الجهات المهاجمة أنها بحاجة لامتلاك بنية تحتية أكثر قوةً لسيرفرات الأوامر والتحكم كي تتمكن من منع عمليات التسلل والاستحواذ. وقد تضفي خوارزميات توليد النطاق بعض المرونة في أداء هذه المهمة، إلا أنها ليست منيعة بما يكفي لعدم الاستحواذ عليها، ومع ذلك ان استخدام التوقيع الرقمي تعتبر آلية دفاع فعالة عن سيرفرات الأوامر والتحكم.
ويعتبر من المستحيل، في حال عدم القدرة على الوصول إلى المفاتيح المخصصة، الاستحواذ على سيرفرات الأوامر والتحكم حتى إذا كان نطاق خوارزميات توليد النطاق مسجلاً من قبل الباحث، وبالإمكان حفظ المفاتيح المخصصة على المستوى المحلي ضمن سيرفر الأوامر والتحكم، لكن في حال تعذر الوصول إلى سيرفر الأوامر والتحكم، فإنه لا يمكننا تأكيد وجود نقطة الضعف (الثغرة) المحتملة هذه في البنية التحتية

انقر هنا لقراءة الخبر من مصدره.