دعوى قضائية لإلغاء المرحلة الثانية من انتخابات مجلس النواب    المطورون العرب القابضة تواصل الأداء الإيجابي وترفع حجم التسليمات والمبيعات خلال 9 أشهر    إنفانتينو يكشف تفاصيل لقاء رئيس لبنان وخطة إنشاء ملعب فى بيروت    تمزق العضلة الخلفية سبب استبعاد عبد الله السعيد من رحلة الزمالك لجنوب أفريقيا    الاتحاد السكندري يدرس إمكانية تقديم شكوى للاتحاد الدولي للسلة    مؤشرات فرز أصوات لجنة 13 مدرسة الشهيد عمرو خالد حسين فى زفتى بالغربية    العالم هذا المساء.. تفاصيل فعالية اليونسكو فى باريس حول المتحف المصرى الكبير.. ومظاهرات في محافظتي طرطوس واللاذقية بسوريا ومطالب بالإفراج عن الموقوفين.. والحكم على رئيس البرازيل السابق بولسونارو بالسجن 27 عاما    مراسلة إكسترا نيوز ل كلمة أخيرة: الوطنية للانتخابات وفرت الضمانات للناخبين    الدباغ والجزيرى على رأس قائمة الزمالك لمباراة كايزر تشيفز في كأس الكونفيدرالية الأفريقية    انتخابات مجلس النواب 2025.. بدء عملية فرز أصوات الناخبين في الغربية (صور)    غدا.. غلق المخرج أسفل كوبرى سيدى جابر بالإسكندرية للقادم من شارع المشير    ‫ ليبيا... العودة إلى نقطة الصفر    إطلاق مشروع الطريق الأخضر لعالم أكثر أمانًا بقنا بتعاون بين الإنجيلية والبيئة و"GIZ"    الصحة: ضعف المناعة أمام الفيروسات الموسمية وراء زيادة حدة الأعراض    تطوير 5 عيادات صحية ومركز كُلى وتفعيل نظام "النداء الآلي" بعيادة الهرم في الجيزة    محافظ الإسماعيلية يتفقد المقار الانتخابية بمدرستيِّ الشهيد جواد حسني الابتدائية وفاطمة الزهراء الإعدادية    رماد بركان إثيوبيا يشل حركة الطيران في الهند ويتمدّد نحو الصين    الكرة النسائية.. منتخب الشابات بالأبيض وتونس بالأحمر في بطولة شمال أفريقيا    محافظ الدقهلية يتفقد جاهزية اللجنة العامة للانتخابات في السنبلاوين    انتخابات مجلس النواب.. إقبال كثيف على لجان الغربية    إدريسا جايي: أعتذر عن صفعي زميلي في إيفرتون    «النقل» تكشف حقيقة نزع ملكيات لتنفيذ مشروع امتداد الخط الأول لمترو الأنفاق    فى حضور 2000 من الجمهور بلندن.. ليلة استثنائية لأعمال عبد الوهاب بصوت فاطمة سعيد    العريش تطلق أسبوع قصور الثقافة للشباب    أعمال محمد عبد الوهاب بقيادة علاء عبد السلام فى أوبرا الإسكندرية    خصوصية الزوجين خط أحمر.. الأزهر يحذر: الابتزاز والتشهير محرم شرعا وقانونا    ما حكم عمل عَضَّامة فى التربة ونقل رفات الموتى إليها؟ أمين الفتوى يجيب    مدبولي يلتقي نائب رئيس "المجلس الوطني للمؤتمر الاستشاري السياسي للشعب الصيني".. صور    انعقاد جولة مشاورات سياسية بين مصر واليونان    استمرار حبس رمضان صبحي حتى 30 ديسمبر للنطق بالحكم    يلا شوت بث مباشر.. الهلال × الشرطة العراقي على تويتر بث مباشر مجانًا دون تشفير أو اشتراك | دوري أبطال آسيا 2025-2026    منتخب الكويت يهزم موريتانيا ويتأهل لمجموعة مصر في كأس العرب 2025    تامر هجرس يكشف تفاصيل دوره في فيلم "عائلة دياب ع الباب" مع محمد سعد    الصفدي: الاحتلال سجل 500 خرق لاتفاق وقف النار في غزة.. ولن ننشر قوات بالقطاع    نائب رئيس حزب المؤتمر: وعي الشعب أسقط حملات الإخوان لتشويه الانتخابات    انتخابات مجلس النواب 2025.. انتعاش حركة التصويت قبل بدء استراحة القضاة بلجان القصر العيني ووسط البلد    وكيل توفيق محمد يفجر مفاجأة بشأن انتقاله للأهلي في يناير    الجامعة الأمريكية بالقاهرة تطلق دبلومة صحافة الذكاء الاصطناعي    تأجيل محاكمة الصغير المتهم بإنهاء حياة صديقه بالمنشار في الإسماعيلية    منح جائزة صلاح القصب للتونسى فاضل الجعايبى فى أيام قرطاج المسرحية    وزير التعليم الإيطالى: أشكر مصر على الاهتمام بتعليم الإيطالية بالثانوية والإعدادية    الداخلية تكشف تفاصيل تعطيل شخص حركة المرور    ضبط 15 طن دقيق في حملات تموينية خلال 24 ساعة    ضبط 4 أشخاص يستقطبون الرجال عبر تطبيق هاتفي لممارسة الأعمال المنافية للآداب بالإسكندرية    رئيس الوزراء والوزير الأول للجزائر يترأسان غدا اجتماع اللجنة العليا المشتركة    وزير التعليم: أتوجه بالشكر للرئيس السيسى تقديرا على اهتمامه البالغ بالتعليم    مكتب الإعلام الحكومي يوثق بالأرقام: مؤسسة غزة تورطت في استدراج المُجوّعين إلى مصائد موت    إقبال كثيف على لجان شبين القناطر في اليوم الثاني لانتخابات النواب    الصين: أجواء المكالمة الهاتفية بين شي وترامب كانت "إيجابية وودية وبناءة"    وزير الصحة: مصر وتركيا شريكان استراتيجيان في بناء أمن صحي إقليمي قائم على التصنيع والتكامل    بث مباشر| مؤتمر صحفي ل«الوطنية للانتخابات» لمتابعة انتخابات النواب 2025    محاكمة فضل شاكر أمام المحكمة العسكرية اليوم    الافتاء توضح حكم الامتناع عن المشاركة في الانتخابات    باسل رحمي: نعمل على مساعدة المشروعات المتوسطة والصغيرة الصناعية على زيادة الإنتاجية والتصدير    الزراعة تطلق حملة لمواجهة مقاومة المضادات الحيوية في الثروة الحيوانية    «الصحة»: تقديم 21.9 ألف خدمة في طب نفس المسنين خلال 2025    تعرف على مواقيت الصلاة اليوم الثلاثاء 25-11-2025 في محافظة قنا    دعاء وبركة | أدعية ما قبل النوم    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



برمجيات إنترنت الأشياء الخبيثة تستغلّ الثغرات الأمنية الجديدة
شموس نشر في شموس يوم 24 - 01 - 2018

بالو ألتو نتوركس: برمجيات إنترنت الأشياء الخبيثة تستغلّ الثغرات الأمنية الجديدة في أجهزة الراوتر المنزلية
دبي، الإمارات العربية المتحدة، 24 يناير 2018: بحلول أوائل شهر ديسمبر من العام 2017، اكتشفت شركة 360 نت لاب عائلة جديدة من البرمجيات الخبيثة التي أطلقوا عليها اسم ساتوري Satori، المشتقة من برمجية ميراي Mirai الخبيثة، والتي تستهدف ثغرتين أمنيتين، الأولى هي عبارة عن ثغرة أمنية في نص برمجي تنفيذي موجود ضمن خدمة بروتوكول النفاذ إلى الدليل البسيط miniigd SOAP الخاصة براوتر Realtek SDK، والثانية ثغرة أمنية اكتشفت مؤخراً في بوابة الراوتر HG532e المنزلي من هواوي، المصححة في أوائل شهر ديسمبر من العام 2017.
وقد قامت الوحدة 42 التابعة لشركة بالو ألتو نتوركس بالبحث والتحري حول برمجية ساتوري Satori الخبيثة، واستناداً على عمليات استقصاء البيانات التي قمنا بها، تبين لنا وجود ثلاثة صيغ مختلفة لهذه البرمجية الخبيثة، حيث ظهرت أولاها خلال شهر أبريل من العام 2017، أي قبل ثمانية أشهر من موجة الهجمات الأخيرة.
كما عثرت الوحدة 42 أيضاً على دلائل تشير إلى أن صيغة برمجية ساتوري الخبيثة التي تقوم باستغلال الثغرة الأمنية التي كانت نشطة في أواخر شهر نوفمبر 2017، أي قبل أن تقوم شركة هواوي بتصحيح الثغرة الأمنية، ما يشير إلى أن هذه الصيغة من برمجية ساتوري الخبيثة كانت تجسد هجوم اليوم-الصفر التقليدي، وهو هجوم يستهدف ثغرة أمنية غير مكتشفة سابقاً، ولم يتم إصدار أي تصحيح لها بعد ذلك.
وتثبت نتائج عملية التحليل التي قمنا بها حول كيفية تطور برمجية ساتوري الخبيثة صحة نظريتنا القائلة بتطور المزيد من برمجيات إنترنت الأشياء الخبيثة من أجل استغلال إما إحدى الثغرات الأمنية المعروفة، أو حتى استغلال الثغرة الأمنية اليوم-الصفر.
نشير هنا إلى أن الصيغ الأولى من برمجيات إنترنت الأشياء الخبيثة، مثل غافغيت Gafgyt والصيغة الأصلية لبرمجية ميراي، استغلت كلمات السر الافتراضية أو الضعيفة كي تهاجم الأجهزة. ورداً على ذلك، بدأ المستخدمون والمصنعون بتغيير كلمات السر الافتراضية، وتصعيب صيغة كلمات السر بهدف إحباط هذه الهجمات.
وعليه، قام بعض مصممي برمجيات إنترنت الأشياء الخبيثة، على غرار الجهات التي تقف وراء البرمجية الخبيثة أمنسيا Amnesia وآي أو تي_ريبر IoT_Reaper، بتغيير طرق استغلال الثغرات الأمنية المعروفة ضمن بعض أجهزة إنترنت الأشياء IoT. وبطبيعة الحال، استجابت الشركات الموردة لتقنيات إنترنت الأشياء IoT لهذا الأمر بتصحيح الثغرات الأمنية.
أما الخطوة المنطقية التالية والمتوقعة من قبل الجهات المهاجمة فتتمثل في الانتقال إلى استخدام نموذج هجوم اليوم-الصفر التقليدي لاستهداف الثغرات الأمنية غير المعروفة وغير المكتشفة.
لذا، فإننا نستعرض من خلال هذه المدونة المراحل الرئيسية لتطور برمجية ساتوري الخبيثة، لتصبح فيما بعد من عائلة برمجيات إنترنت الأشياء الخبيثة التي تستهدف ثغرات اليوم-الصفر الأمنية. كما أننا نعرض كيف تمكنت برمجية ساتوري الخبيثة، المشتقة من برمجية ميراي الخبيثة، من إعادة استخدام بعض نصوص شيفرة المصدر الخاصة ببرمجية ميراي الخبيثة لتحقيق مسح شامل لبروتوكول ال وكلمات السر للقيام بهجمة عنيفة تستهدف المهام الوظيفية. وقد قامت برمجية ساتوري الخبيثة أيضاً بتحديد نوع من أجهزة إنترنت الأشياء، حيث أظهر سلوكيات مختلفة وفقاً لاختلاف أنواع هذه الأجهزة. وهو ما يؤكد لنا بأن مصمم برمجية ساتوري Satori الخبيثة بدأ بعكس هندسة البرامج الثابتة في العديد من أجهزة إنترنت الأشياء، وذلك بهدف جمع المعلومات الأصلية للجهاز، واكتشاف ثغرات أمنية جديدة. وفي حال صح هذا الأمر، فقد نشهد في المستقبل القريب صيغ جديدة لبرمجية ساتوري الخبيثة تستهدف العديد من الثغرات الأمنية غير المعروفة في الأجهزة الأخرى.
مراحل تطور برمجية ساتوري الخبيثة
تمكنا منذ شهر أبريل من العام 2017 من رصد عدد من الهجمات التي شنتها برمجية ساتوري Satori الخبيثة، ومن خلال تحليل سجلات الهجمات التي قمنا برصدها، واستناداً على نتائج عميلات تحليل العينة، استطعنا تحديد ثلاثة صيغ رئيسية مختلفة لبرمجية ساتوري الخبيثة (كما هو مبين في الشكل رقم "1")، حيث تشير نتائج عمليات التحليل التي قمنا بها إلى أن هذه الصيغ الثلاث تنفذ أوامر مختلفة،
الصيغة الأولى تقوم فقط بفحص الإنترنت، والتحقق من عنوان بروتوكول الإنترنت IP لمعرفة أيها يحوي على ثغرة أمنية ضمن تسجيل الدخول إلى بروتوكول ال Telnet، وذلك عن طريق محاولات تجريب كلمات السر المختلفة. وبمجرد نجاحها في تسجيل الدخول فإنها تقوم بتفعيل جدار صد ضد عمليات الوصول، ومن ثم تعمل على تنفيذ الأوامر /bin/busybox satori أو "/bin/busybox SATORI فقط.
أما الصيغة الثانية فإنها محاطة بطبقة حماية وتمويه من أجل تفادي كشفها من قبل عمليات الكشف الثابتة. وفي الوقت نفسه، قامت الجهة المهاجمة بإضافة كلمة السر aquario ضمن دليل كلمات المرور (الشكل رقم "2")، لكي تستخدمها دائماً للدخول من أول محاولة لها، كما أن كلمة السر aquario تعتبر كلمة السر الافتراضية لأجهزة الراوتر الرائجة في دول أمريكا الجنوبية، وهو ما يشير إلى أن الجهة المهاجمة بدأت بالتغلب على البرامج المؤتمتة في أمريكا الجنوبية.
في حين قامت الصيغة الثالثة من البرمجية باستغلال ثغرتين أمنيتين لتنفيذ النص البرمجي عن بعد، بما في ذلك ثغرة اليوم-الصفر الأمنية (CVE-2017-17215)، وهو وجه الشبه الذي يربطها ببعض عينات الصيغة الثانية، فهما تحملان نفس الأوامر المدرجة.
النتيجة
تظهر برمجية ساتوري الخبيثة أن برمجيات إنترنت الأشياء الخبيثة تتطور باستمرار على نطاق واسع، فهي تبدأ من الهجمات العنيفة لكشف كلمات السر، وصولاً إلى هجمات استغلال الثغرات الأمنية.
كما أن شيفرة المصدر المفتوح لبرمجية ميراي الخبيثة وفّر لمصممي برمجيات إنترنت الأشياء الخبيثة نقطة انطلاق جيدة نحو تطوير صيغ جديدة، الأمر الذي قد يصبح من التوجهات السائدة إذا ما واصل مصممو برمجيات إنترنت الأشياء الخبيثة اعتمادهم على استغلال المزيد من الثغرات الأمنية المعروفة، أو اكتشاف ثغرات اليوم-الصفر الأمنية لمهاجمة أجهزة إنترنت الأشياء.
تجدر الإشارة إلى أن شركة بالو ألتو نتوركس قامت بإصدار التصحيح رقم (37896) لأنظمة كشف ومنع الاختراق الخاص بثغرة اليوم-الصفر التي تستغله برمجية ساتوري الخبيثة. كما تمكنت شركة وايلدفاير أيضاً من تدارك نقاط الكشف عن عينات برمجية ساتوري الخبيثة، في حين قامت شركة سي تو إس بتصنيفها ضمن البرمجيات الخبيثة. وبإمكان عملاء حل AutoFocus التحقق من هذا النشاط عبر الوسم: Satori.

انقر هنا لقراءة الخبر من مصدره.