عبداللطيف والشوربجي يشهدان توقيع بروتوكول الخدمات التعليمية والتحول الرقمي بدار التحرير    البورصة المصرية تختتم تعاملات اليوم بارتفاع جماعي وربح 9 مليارات جنيه    وزيرا خارجية مصر والصين يبحثان تطورات التصعيد في المنطقة    داخل جبال إيران في عمق 500 متر.. كيف تحمي أنفاق "السكة الحديد" ترسانة الصواريخ من الضربات الإسرائيلية؟    فرص تتويج الأهلي والزمالك بلقب دوري السوبر الممتاز للطائرة    إصابة 13 عاملًا فى حادث انقلاب أتوبيس بكوبرى خزان أسوان    لمنع الكوارث.. توجيهات مُهمة للمواطنين أثناء الطقس السيئ    محكمة القاهرة تعاقب البلوجر «مداهم» في قضية بث فيديوهات خادشة للحياء    سيدة تتعدى على زوجها في الشرقية بعد 3 أشهر من الزواج    مهرجان المسرح العالمي يكرم الفنان سامي عبد الحليم بإطلاق اسمه على دورته ال41    عمرو الليثى بمناسبة عيد إذاعة القرآن الكريم: حفظت تراث التلاوة المصرية    عروض مسرحية مميزة في ثاني أيام مهرجان أيام الشارقة المسرحية    أستاذ إدارة أعمال: الملف الاقتصادي وتوفير حياة كريمة الشغل الشاغل للرئيس السيسي    الأزهر يواصل حملة «وعي».. مدير شؤون القرآن بقطاع المعاهد يرد على شبهة اختفاء خُطَبِ النبي صلى الله عليه وسلم    محافظ كفر الشيخ يتفقد مستشفى مركز الأورام الجديد    الأردن يفتح باب استيراد العجل المبرد من مصر لتعزيز المعروض الغذائي    محافظ بورسعيد يتفقد محطة صرف صحي MK بعزبة أبو عوف بحي الزهور ويتابع كفاءة التشغيل واستعدادها لمواجهة التقلبات الجوية    "اطمئن"..لماذا لا تتأثر مصر بالإشعاعات رغم كل ما يحدث في المنطقة؟    بالصواريخ العنقودية.. ضربات إيران تستهدف كامل الجغرافيا الإسرائيلية    مصرع فتاة فى انهيار سقف عقار بالجمرك بسبب الأمطار الغزيرة على الإسكندرية    غرامة تاريخية على ميتا.. 375 مليون دولار بسبب انتهاكات سلامة الأطفال    الأردن: سقوط شظية في منطقة خالية من السكان بمرج الحمام جنوب عمان    حكاية محمد صلاح بين أساطير الدوري الإنجليزي التاريخيين . بالأرقام    باكستان تؤكد دعم السعودية في مواجهة الاعتداءات الإيرانية    محافظة قنا تطلق مشروع تكويد الأشجار ضمن مبادرة 100 مليون شجرة    مصطفى كامل: خروج هاني شاكر من العناية المركزة وبدء مرحلة العلاج الطبيعي    جلسة خاصة فى الأهلى لحسم موقف المُعارين.. اعرف التفاصيل    شتاء 2026.. أفضل الأدعية المستحبة عند نزول المطر    مصر تُرسل نحو 1000 طن من المساعدات الإغاثية العاجلة إلى لبنان الشقيق    تكريم 26 من حفظة القرآن فى احتفالية كبرى بقرية الخمايسة بسوهاج.. صور    وزير الرى يتابع أعمال نموذج تطوير إدارة المياه في زمام ترعة الإسماعيلية    هيئة الدواء: كود ثنائى الأبعاد لكل عبوة دوائية يضمن تتبعها لحظيا داخل السوق    نصائح لكبار السن والأطفال للوقاية من مضاعفات تقلبات الطقس    شوربة العدس مش الاختيار الوحيد.. أفضل الأكلات لمواجهة التقلبات الجوية    عاجل| تأخير مواعيد بعض القطارات اليوم بسبب الطقس السيء    صراع سعودي مرتقب لضم محمد صلاح بعد رحيله عن ليفربول نهاية الموسم    ضبط مالك شركة وشقيقه بحوزتهما 15 مليون قرص مخدر بالقليوبية    السيسي: المرأة المصرية تاج الكرامة ووسام العزة على جبين مصر    تسريب «سفاح التجمع» يثير الجدل.. تساؤلات من محمد سيد بشير رغم سحبه السريع    حكاية المصريين القدماء    الصحف الإنجليزية تودع محمد صلاح.. "نهاية أسطورة" تشعل العناوين    السيسي يوجه بتوافر احتياطيات آمنة من النقد الأجنبي لتأمين الاحتياجات الاستراتيجية من السلع الأساسية    «التأمين الصحى» يعلن اعتماد نظام جديد لصرف أدوية الأمراض المزمنة كل شهرين    كاراجر: رحيل محمد صلاح خسارة للبريميرليج.. وسيتفوق على رونالدو بين الأساطير    وزير المالية: نتطلع للتعاون مع جهاز مستقبل مصر لطرح مزيد من الفرص الاستثمارية لمشاركة القطاع الخاص    قطاع الزهور الكيني يخسر ملايين الدولارات أسبوعيا بسبب حرب إيران    قمة الحسم.. الأهلي والزمالك يتنافسان على لقب دوري السوبر الممتاز للطائرة    تشاهدون اليوم.. مباريات قوية فى تصفيات أمم أفريقيا 2027 وصدامات عنيفة بالدورى الجزائري    وزير العمل والمنظمة الدولية يبحثان تعزيز التعاون وإطلاق العمل اللائق في مصر    جامعة عين شمس تستقبل وفد جامعة المنصورة لتعزيز التعاون الأكاديمي    وزير الخارجية: استمرار الحرب يفاقم التداعيات الاقتصادية على مصر والعالم    هل التعرض لماء المطر سُنة عن النبي؟.. «الإفتاء» تجيب    بالصور ..."حنظلة" الإيرانية تنشر وثائق سرية لرئيس الموساد السابق    وزير الخارجية يلتقى مع مجموعة من السفراء المتقاعدين ويبحث محددات الموقف المصرى من التطورات الإقليمية    التطبيق من اليوم، تفاصيل تصديق السيسي على تعديلات قانون الخدمة العسكرية    أسقف أوديسا والبلطيق يدعو المؤمنين للهدوء بعد وفاة البطريرك فيلايتار    بسبب "برشامة".. تامر حسني يتصدر تريند جوجل بعد إشادته المفاجئة بالفيلم    صناديق الاستثمار الرياضي.. مصر تطلق ثورة جديدة لصناعة الأبطال    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



عودة انتشار البرمجية الخبيثة "إنفي" من جديد تحت اسم "فودر"
الفجر نشر في الفجر يوم 07 - 08 - 2017

رصدت شركة بالو ألتو نتوركس في شهر فبراير من العام 2017 مراحل تطور برمجية خبيثة تدعى إنفي Infy، والتي كان يطلق عليها سابقاً اسم فودر Foudre (التي تعنى البرق باللغة الفرنسية)، ويبدو أن الجهات المهاجمة استفادت وتعلمت من الإجراءات التي طبقتها شركة بالو ألتو نتوركس سابقاً من أجل تفكيك وإعادة توجيه بنيتهم التحتية الخاصة بالأوامر والتحكم.
وتضمنت برمجية فودر الأخيرة تقنيات جديدة قادرة على تفادي عمليات الاستحواذ والسيطرة عليها بهدف تجنب محاولات إعادة توجيه سلسلة الأوامر والتحكم الخاصة بها، الأمر الذي نجحت بالو ألتو نتوركس بتحقيقه في العام 2016.
وقامت الشركة في شهر مايو 2016 بتوثيق ونشر نتائج أبحاثها الأصلية حول الحملات التي استخدمت فيها برمجية إنفي الخبيثة على مدى عقد من الزمن، وبعد مرور شهر من نشر هذه النتائج، قدمت بالو ألتو نتوركس شرح تفصيلي حول كيفية تمكنها من الاستحواذ على حركة سيرفرات الأوامر والتحكم التابعة للجهات المهاجمة وإعادة توجيهها.
وقدم كل من كلاوديو غوارنييري وكولين أندرسون، من مؤسسة بلاك هات يو إس، أدلة وبراهين في شهر يوليو من العام 2016 على قيام شركة الاتصالات الإيرانية (AS12880) بحجب نطاقات الأوامر والتحكم الفرعية، التي تعمل على إعادة توجيه البيانات، وذلك بواسطة التلاعب بسيرفرات أسماء النطاقات DNS، وترشيح بروتوكول نقل النص التشعبي HTTP، الأمر الذي أدى إلى منع أوامر إعادة التوجيه من الوصول إلى النطاق المحلي لإيران.
وتشير توقعات بالو ألتو نتوركس إلى أن أحد نطاقات خوارزميات توليد النطاق DGA قام بتسمية وتسجيل النطاقات قبل القيام بالهجمة، وعندما حاولت الجهات المستهدفة الاتصال بسيرفرات الأوامر والتحكم الخاصة بذلك النطاق، لم تتمكن من التعرف على نطاق بالو ألتو نتوركس لأنها لا تملك المفتاح المخصص لنظام عمليات التشفير الرئيسية العامة، ومع ذلك تمكنت بالو ألتو نتوركس من رسم خريطة خاصة بالجهات المستهدفة باستخدام نظام المعلومات الجغرافية لعناوين بروتوكولات الانترنت GeoIP.
واستهدفت هذه الهجمات مؤسسات في الولايات المتحدة وبريطانيا والعراق وإيران والسويد وألمانيا وكندا وأذربيجان والسيشل، وأشارت بالو ألتو نتوركس إلى أن العدد القليل جداً من الجهات المستهدفة في هذه الحملة يشير إلى وجود دوافع غير مادية، فمثلا إحدى الجهات العراقية المستهدفة تستخدم بروتوكول الإنترنت من ذات الفئة C في الشبكة، التي تمت مهاجمتها سابقاً من قبل برمجية إنفي الخبيثة، مما يشير إلى أن الجهة المهاجمة تستهدف نفس المؤسسة المحددة أو حتى نفس الكمبيوتر.
واكتشفت بالو ألتو نتوركس، رغم عدم توفر المفتاح المخصص لنظام عمليات التشفير الرئيسية العامة RSA وعدم القدرة على الاتصال مع أي من الجهات المستهدفة، أنه عن طريق إرسال ملف توقيع غير ساري الصلاحية (نظراً لعدم وجود نظام للتحقق من صحة المدخلات في محتوى/حجم ملف التوقيع) إلى الجهة المستهدفة، واستطاعت إيقاف عمل ملف ال rundll32، الذي يعمل على تشغيل ملف DLL الخاص ببرمجية فودر الخبيثة، ما يتيح إمكانية تعطيل انتشار العدوى بهذه البرمجية الخبيثة حتى تقوم الجهة المستهدفة بإعادة تشغيل النظام.
وتعمل هذه الحملة من الهجمات الخبيثة منذ عشر سنوات على الأقل، وهي لا تزال نشطة وفعالة منذ عشر سنوات على الأقل.
وقد وثقت بالو ألتو نتوركس عملياتها لتفكيك وإعادة توجيه البنية التحتية الخاصة بالأوامر والتحكم للجهة المهاجمة، لذا، يجب ألا نفاجأ بعودة برمجية إنفي الخبيثة – لكي تقوم ذات البرمجيات الخبيثة باستهداف ذات الجهات المستهدفة سابقاً.
وتدرك الجهات المهاجمة أنها بحاجة لامتلاك بنية تحتية أكثر قوةً لسيرفرات الأوامر والتحكم كي تتمكن من منع عمليات التسلل والاستحواذ. وقد تضفي خوارزميات توليد النطاق بعض المرونة في أداء هذه المهمة، إلا أنها ليست منيعة بما يكفي لعدم الاستحواذ عليها، ومع ذلك ان استخدام التوقيع الرقمي تعتبر آلية دفاع فعالة عن سيرفرات الأوامر والتحكم.
ويعتبر من المستحيل، في حال عدم القدرة على الوصول إلى المفاتيح المخصصة، الاستحواذ على سيرفرات الأوامر والتحكم حتى إذا كان نطاق خوارزميات توليد النطاق مسجلاً من قبل الباحث، وبالإمكان حفظ المفاتيح المخصصة على المستوى المحلي ضمن سيرفر الأوامر والتحكم، لكن في حال تعذر الوصول إلى سيرفر الأوامر والتحكم، فإنه لا يمكننا تأكيد وجود نقطة الضعف (الثغرة) المحتملة هذه في البنية التحتية

انقر هنا لقراءة الخبر من مصدره.