اقتحام مستشفى حُميّات أسوان بسلاح أبيض يكشف انهيار المنظومة الصحية في زمن السيسي    بيل جيتس يخطط للتبرع بكل ثروته البالغة نحو 200 مليار دولار    اعرف أسعار الأسماك بأسواق كفر الشيخ اليوم... البلاميطا ب100 جنيه    لقاء خارج عن المألوف بين ترامب ووزير إسرائيلي يتجاوز نتنياهو    إصابة 5 أشخاص بحالات اختناق بينهم 3 اطفال في حريق منزل بالقليوبية    مروان موسى عن ألبومه: مستوحى من حزني بعد فقدان والدتي والحرب في غزة    الهيئة العامة للرعاية الصحية تُقرر فتح باب التقدم للقيد بسجل الموردين والمقاولين والاستشاريين    طريقة عمل العجة المقلية، أكلة شعبية لذيذة وسريعة التحضير    «دمياط للصحة النفسية» تطلق مرحلة تطوير استثنائية    افتتاح وحدة عناية مركزة متطورة بمستشفى دمياط العام    وزيرة البيئة: تكلفة تأخير العمل على مواجهة التغير المناخى أعلى بكثير من تكلفة التكيف معه    المهمة الأولى ل الرمادي.. تشكيل الزمالك المتوقع أمام سيراميكا كليوباترا    ستحدث أزمة لتعدد النجوم.. دويدار يفاجئ لاعبي الأهلي بهذا التصريح    مواعيد مباريات اليوم الجمعة 9- 5- 2025 والقنوات الناقلة    أسعار الدولار أمام الجنيه المصري.. اليوم الجمعة 9 مايو 2025    «أوقاف شمال سيناء»: عقد مجالس الفقه والإفتاء في عدد من المساجد الكبرى غدًا    التنمر والتحرش والازدراء لغة العصر الحديث    زعيم كوريا الشمالية يشرف على تجارب لأنظمة صواريخ باليستية قصيرة المدى    تكريم حنان مطاوع في «دورة الأساتذة» بمهرجان المسرح العالمي    الخارجية الأمريكية: لا علاقة لصفقة المعادن بمفاوضات التسوية الأوكرانية    حبس المتهمين بسرقة كابلات كهربائية بالطريق العام بمنشأة ناصر    أسرة «بوابة أخبار اليوم» تقدم العزاء في وفاة زوج الزميلة شيرين الكردي    في ظهور رومانسي على الهواء.. أحمد داش يُقبّل دبلة خطيبته    حملات تفتيش مكثفة لضبط جودة اللحوم والأغذية بكفر البطيخ    في أجواء من الفرح والسعادة.. مستقبل وطن يحتفي بالأيتام في نجع حمادي    تبدأ 18 مايو.. جدول امتحانات الترم الثاني 2025 للصف الرابع الابتدائي بالدقهلية    تسلا تضيف موديل «Y» بنظام دفع خلفي بسعر يبدأ من 46.630 دولارًا    طريقة عمل الآيس كوفي، الاحترافي وبأقل التكاليف    خبر في الجول - أحمد سمير ينهي ارتباطه مع الأولمبي.. وموقفه من مباراة الزمالك وسيراميكا    الأهلي يقترب من الإتفاق مع جوميز.. تفاصيل التعاقد وموعد الحسم    طلب مدرب ساوثهامبتون قبل نهاية الموسم الإنجليزي    رئيس الطائفة الإنجيلية مهنئا بابا الفاتيكان: نشكر الله على استمرار الكنيسة في أداء دورها العظيم    سعر الفراخ البيضاء والساسو وكرتونة البيض بالأسواق اليوم الجمعة 9 مايو 2025    عاجل- مسؤول أمريكي: خطة ترامب لغزة قد تطيح بالأغلبية الحكومية لنتنياهو    موجة شديدة الحرارة .. الأرصاد تكشف عن حالة الطقس اليوم الجمعة 9 مايو 2025    الجثمان مفقود.. غرق شاب في ترعة بالإسكندرية    في المقابر وصوروها.. ضبط 3 طلاب بالإعدادية هتكوا عرض زميلتهم بالقليوبية    جامعة المنصورة تمنح النائب العام الدكتوراه الفخرية لإسهاماته في دعم العدالة.. صور    وسائل إعلام إسرائيلية: ترامب يقترب من إعلان "صفقة شاملة" لإنهاء الحرب في غزة    بوتين وزيلينسكى يتطلعان لاستمرار التعاون البناء مع بابا الفاتيكان الجديد    زيلينسكي: هدنة ال30 يومًا ستكون مؤشرًا حقيقيًا على التحرك نحو السلام    المخرج رؤوف السيد: مضيت فيلم نجوم الساحل قبل نزول فيلم الحريفة لدور العرض    غزو القاهرة بالشعر.. الوثائقية تعرض رحلة أحمد عبد المعطي حجازي من الريف إلى العاصمة    تفاصيل لقاء الفنان العالمي مينا مسعود ورئيس مدينة الإنتاج الإعلامي    «ملحقش يتفرج عليه».. ريهام عبدالغفور تكشف عن آخر أعمال والدها الراحل    موعد نهائى الدورى الأوروبى بين مانشستر يونايتد وتوتنهام    «إسكان النواب»: المستأجر سيتعرض لزيادة كبيرة في الإيجار حال اللجوء للمحاكم    كيفية استخراج كعب العمل أونلاين والأوراق المطلوبة    أيمن عطاالله: الرسوم القضائية عبء على العدالة وتهدد الاستثمار    إلى سان ماميس مجددا.. مانشستر يونايتد يكرر سحق بلباو ويواجه توتنام في النهائي    سالم: تأجيل قرار لجنة الاستئناف بالفصل في أزمة القمة غير مُبرر    حكم إخفاء الذهب عن الزوج والكذب؟ أمين الفتوى يوضح    مصطفى خليل: الشراكة المصرية الروسية تتجاوز الاقتصاد وتعزز المواقف السياسية المشتركة    عيسى إسكندر يمثل مصر في مؤتمر عالمي بروما لتعزيز التقارب بين الثقافات    محافظة الجيزة: غلق جزئى بكوبري 26 يوليو    ب3 مواقف من القرآن.. خالد الجندي يكشف كيف يتحول البلاء إلى نعمة عظيمة تدخل الجنة    علي جمعة: السيرة النبوية تطبيق عملي معصوم للقرآن    "10 دقائق من الصمت الواعي".. نصائح عمرو الورداني لاستعادة الاتزان الروحي والتخلص من العصبية    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



برمجيات إنترنت الأشياء الخبيثة تستغلّ الثغرات الأمنية الجديدة
شموس نشر في شموس يوم 24 - 01 - 2018

بالو ألتو نتوركس: برمجيات إنترنت الأشياء الخبيثة تستغلّ الثغرات الأمنية الجديدة في أجهزة الراوتر المنزلية
دبي، الإمارات العربية المتحدة، 24 يناير 2018: بحلول أوائل شهر ديسمبر من العام 2017، اكتشفت شركة 360 نت لاب عائلة جديدة من البرمجيات الخبيثة التي أطلقوا عليها اسم ساتوري Satori، المشتقة من برمجية ميراي Mirai الخبيثة، والتي تستهدف ثغرتين أمنيتين، الأولى هي عبارة عن ثغرة أمنية في نص برمجي تنفيذي موجود ضمن خدمة بروتوكول النفاذ إلى الدليل البسيط miniigd SOAP الخاصة براوتر Realtek SDK، والثانية ثغرة أمنية اكتشفت مؤخراً في بوابة الراوتر HG532e المنزلي من هواوي، المصححة في أوائل شهر ديسمبر من العام 2017.
وقد قامت الوحدة 42 التابعة لشركة بالو ألتو نتوركس بالبحث والتحري حول برمجية ساتوري Satori الخبيثة، واستناداً على عمليات استقصاء البيانات التي قمنا بها، تبين لنا وجود ثلاثة صيغ مختلفة لهذه البرمجية الخبيثة، حيث ظهرت أولاها خلال شهر أبريل من العام 2017، أي قبل ثمانية أشهر من موجة الهجمات الأخيرة.
كما عثرت الوحدة 42 أيضاً على دلائل تشير إلى أن صيغة برمجية ساتوري الخبيثة التي تقوم باستغلال الثغرة الأمنية التي كانت نشطة في أواخر شهر نوفمبر 2017، أي قبل أن تقوم شركة هواوي بتصحيح الثغرة الأمنية، ما يشير إلى أن هذه الصيغة من برمجية ساتوري الخبيثة كانت تجسد هجوم اليوم-الصفر التقليدي، وهو هجوم يستهدف ثغرة أمنية غير مكتشفة سابقاً، ولم يتم إصدار أي تصحيح لها بعد ذلك.
وتثبت نتائج عملية التحليل التي قمنا بها حول كيفية تطور برمجية ساتوري الخبيثة صحة نظريتنا القائلة بتطور المزيد من برمجيات إنترنت الأشياء الخبيثة من أجل استغلال إما إحدى الثغرات الأمنية المعروفة، أو حتى استغلال الثغرة الأمنية اليوم-الصفر.
نشير هنا إلى أن الصيغ الأولى من برمجيات إنترنت الأشياء الخبيثة، مثل غافغيت Gafgyt والصيغة الأصلية لبرمجية ميراي، استغلت كلمات السر الافتراضية أو الضعيفة كي تهاجم الأجهزة. ورداً على ذلك، بدأ المستخدمون والمصنعون بتغيير كلمات السر الافتراضية، وتصعيب صيغة كلمات السر بهدف إحباط هذه الهجمات.
وعليه، قام بعض مصممي برمجيات إنترنت الأشياء الخبيثة، على غرار الجهات التي تقف وراء البرمجية الخبيثة أمنسيا Amnesia وآي أو تي_ريبر IoT_Reaper، بتغيير طرق استغلال الثغرات الأمنية المعروفة ضمن بعض أجهزة إنترنت الأشياء IoT. وبطبيعة الحال، استجابت الشركات الموردة لتقنيات إنترنت الأشياء IoT لهذا الأمر بتصحيح الثغرات الأمنية.
أما الخطوة المنطقية التالية والمتوقعة من قبل الجهات المهاجمة فتتمثل في الانتقال إلى استخدام نموذج هجوم اليوم-الصفر التقليدي لاستهداف الثغرات الأمنية غير المعروفة وغير المكتشفة.
لذا، فإننا نستعرض من خلال هذه المدونة المراحل الرئيسية لتطور برمجية ساتوري الخبيثة، لتصبح فيما بعد من عائلة برمجيات إنترنت الأشياء الخبيثة التي تستهدف ثغرات اليوم-الصفر الأمنية. كما أننا نعرض كيف تمكنت برمجية ساتوري الخبيثة، المشتقة من برمجية ميراي الخبيثة، من إعادة استخدام بعض نصوص شيفرة المصدر الخاصة ببرمجية ميراي الخبيثة لتحقيق مسح شامل لبروتوكول ال وكلمات السر للقيام بهجمة عنيفة تستهدف المهام الوظيفية. وقد قامت برمجية ساتوري الخبيثة أيضاً بتحديد نوع من أجهزة إنترنت الأشياء، حيث أظهر سلوكيات مختلفة وفقاً لاختلاف أنواع هذه الأجهزة. وهو ما يؤكد لنا بأن مصمم برمجية ساتوري Satori الخبيثة بدأ بعكس هندسة البرامج الثابتة في العديد من أجهزة إنترنت الأشياء، وذلك بهدف جمع المعلومات الأصلية للجهاز، واكتشاف ثغرات أمنية جديدة. وفي حال صح هذا الأمر، فقد نشهد في المستقبل القريب صيغ جديدة لبرمجية ساتوري الخبيثة تستهدف العديد من الثغرات الأمنية غير المعروفة في الأجهزة الأخرى.
مراحل تطور برمجية ساتوري الخبيثة
تمكنا منذ شهر أبريل من العام 2017 من رصد عدد من الهجمات التي شنتها برمجية ساتوري Satori الخبيثة، ومن خلال تحليل سجلات الهجمات التي قمنا برصدها، واستناداً على نتائج عميلات تحليل العينة، استطعنا تحديد ثلاثة صيغ رئيسية مختلفة لبرمجية ساتوري الخبيثة (كما هو مبين في الشكل رقم "1")، حيث تشير نتائج عمليات التحليل التي قمنا بها إلى أن هذه الصيغ الثلاث تنفذ أوامر مختلفة،
الصيغة الأولى تقوم فقط بفحص الإنترنت، والتحقق من عنوان بروتوكول الإنترنت IP لمعرفة أيها يحوي على ثغرة أمنية ضمن تسجيل الدخول إلى بروتوكول ال Telnet، وذلك عن طريق محاولات تجريب كلمات السر المختلفة. وبمجرد نجاحها في تسجيل الدخول فإنها تقوم بتفعيل جدار صد ضد عمليات الوصول، ومن ثم تعمل على تنفيذ الأوامر /bin/busybox satori أو "/bin/busybox SATORI فقط.
أما الصيغة الثانية فإنها محاطة بطبقة حماية وتمويه من أجل تفادي كشفها من قبل عمليات الكشف الثابتة. وفي الوقت نفسه، قامت الجهة المهاجمة بإضافة كلمة السر aquario ضمن دليل كلمات المرور (الشكل رقم "2")، لكي تستخدمها دائماً للدخول من أول محاولة لها، كما أن كلمة السر aquario تعتبر كلمة السر الافتراضية لأجهزة الراوتر الرائجة في دول أمريكا الجنوبية، وهو ما يشير إلى أن الجهة المهاجمة بدأت بالتغلب على البرامج المؤتمتة في أمريكا الجنوبية.
في حين قامت الصيغة الثالثة من البرمجية باستغلال ثغرتين أمنيتين لتنفيذ النص البرمجي عن بعد، بما في ذلك ثغرة اليوم-الصفر الأمنية (CVE-2017-17215)، وهو وجه الشبه الذي يربطها ببعض عينات الصيغة الثانية، فهما تحملان نفس الأوامر المدرجة.
النتيجة
تظهر برمجية ساتوري الخبيثة أن برمجيات إنترنت الأشياء الخبيثة تتطور باستمرار على نطاق واسع، فهي تبدأ من الهجمات العنيفة لكشف كلمات السر، وصولاً إلى هجمات استغلال الثغرات الأمنية.
كما أن شيفرة المصدر المفتوح لبرمجية ميراي الخبيثة وفّر لمصممي برمجيات إنترنت الأشياء الخبيثة نقطة انطلاق جيدة نحو تطوير صيغ جديدة، الأمر الذي قد يصبح من التوجهات السائدة إذا ما واصل مصممو برمجيات إنترنت الأشياء الخبيثة اعتمادهم على استغلال المزيد من الثغرات الأمنية المعروفة، أو اكتشاف ثغرات اليوم-الصفر الأمنية لمهاجمة أجهزة إنترنت الأشياء.
تجدر الإشارة إلى أن شركة بالو ألتو نتوركس قامت بإصدار التصحيح رقم (37896) لأنظمة كشف ومنع الاختراق الخاص بثغرة اليوم-الصفر التي تستغله برمجية ساتوري الخبيثة. كما تمكنت شركة وايلدفاير أيضاً من تدارك نقاط الكشف عن عينات برمجية ساتوري الخبيثة، في حين قامت شركة سي تو إس بتصنيفها ضمن البرمجيات الخبيثة. وبإمكان عملاء حل AutoFocus التحقق من هذا النشاط عبر الوسم: Satori.

انقر هنا لقراءة الخبر من مصدره.