Microsoft bu il iyunun 24-də Windows 11 elanına görə son vaxtlar xəbərlərdə olub. Ancaq bunun insanlar arasında müzakirə mövzusu olmasının yeganə səbəbi bu deyil. Bu yaxınlarda aşkar edilmiş zərərli proqram məlumatı ilə birlikdə buraxdığı çoxsaylı yeniləmələr kimi bir neçə başqa səbəb də var.
Microsoft Təhlükəsizlik Müdaxilə Mərkəzi (MSRC) zərərli proqramı olan sürücünü qəbul etdiyini etiraf etdi. Çində əmr və idarəetmə (C2) serverləri ilə məlumat mübadiləsi aparan Rootkit Zərərli Proqramı. Görünür, bəzi zərərli aktyorlar Redmond nəhəngini oyun mühitlərini hədəf almaq üçün hazırlanmış Netfilter Sürücüsünü imzalamaq üçün aldadıblar. Sürücüdən pleyerin geolokasiyasını gizlətmək və istənilən bölgədən oynamaq üçün istifadə edilib.
Bu zərərli proqramın ilk nümunəsini Almaniyanın kibertəhlükəsizlik şirkəti G Data-nın zərərli proqram analitiki Karsten Hahn müəyyən edib. ""Windows Vista-dan bəri, nüvə rejimində işləyən hər hansı kodun, əməliyyat sisteminin sabitliyini təmin etmək üçün ictimai buraxılışdan əvvəl sınaqdan keçirilməsi və imzalanması tələb olunur." Hahn bildirdi. "Microsoft sertifikatı olmayan sürücüləri defolt olaraq quraşdırmaq mümkün deyil" deyə davam etdi.
Bu Zərərli Proqram Necə İşlədi?
MSRC izah etdi ki, zərərli niyyəti olan insanlar bu zərərli proqramdan digər oyunçuları istismar etmək və keyloggerdən istifadə edərək onların hesab məlumatlarını pozmaq üçün istifadə ediblər. Onlar həmçinin debet/kredit kartı məlumatı və e-poçt ünvanları da daxil olmaqla digər məlumatları sındıra bilərdilər.
Maraqlıdır ki, Netfilter istifadəçilərə paket filtrini aktivləşdirməyə və şəbəkəni tərcümə etməyə imkan verən qanuni proqram paketidir. ünvanlar. O, həmçinin yeni kök sertifikatlar əlavə edə, yeni proksi server qura və internet parametrlərini dəyişməyə kömək edə bilər.
İstifadəçilər bu proqramı sistemlərində quraşdırdıqdan sonra o, konfiqurasiya məlumatlarını almaq və C2 serverinə qoşuldu. yeniləmələr. Microsoft həmçinin izah etdi ki, hücumda istifadə olunan üsullar istismardan sonra baş verir, bu da onu göstərir ki, rəqib əvvəlcə inzibati imtiyazlar qazanmalı, sonra isə sistemin işə salınması zamanı sürücünü quraşdırmalıdır.
“Təhlükəsizlik mənzərəsi sürətlə inkişaf etməyə davam edir. təhlükə aktyorları geniş vektorlar üzrə mühitlərə giriş əldə etmək üçün yeni və innovativ üsullar tapırlar” MSRC bildirib.
Hahn zərərli proqram təminatının tapılmasında əsas hesab edilən şəxs idi, lakin sonradan digər zərərli proqram tədqiqatçıları da daxil olmaqla ona qoşuldular. Yohan n Aydınbas, Takahiro Haruyama və Florian Roth. O, Microsoft-un kod imzalama prosesindən narahat idi və Microsoft-un təsdiq etdiyi drayverlər dəstində gizlədilən başqa zərərli proqramların olub-olmamasına şübhə edirdi.
Zərərli Aktyorların Modus Operandisi
Microsoft-a məlumat verildikdən sonra o, hadisəni araşdırmaq və bir daha təkrarlanmaması üçün qabaqlayıcı tədbirlər görmək üçün bütün lazımi addımları atıb. Microsoft, oğurlanmış kod imzalama sertifikatlarının istifadə edildiyinə dair heç bir sübut olmadığını bildirdi. Bu zərərli proqram təminatının arxasında duran şəxslər sürücülərin Microsoft-un Serverlərinə qanuni şəkildə təqdim edilməsi prosesini izlədilər və həmçinin qanuni olaraq Microsoft imzalı binar sistemini əldə etdilər.
Microsoft sürücülərin üçüncü tərəf tərtibçisi tərəfindən hazırlandığını və təsdiq üçün təqdim edildiyini bildirdi. Windows Avadanlıq Uyğunluğu Proqramı. Bu hadisədən sonra Microsoft bu drayveri təqdim edən hesabı dayandırdı və bu hesab tərəfindən edilən bütün təqdimatları birinci növbədə nəzərdən keçirməyə başladı.
Əlavə olaraq, Microsoft tərəfdaşa giriş siyasətlərini, eləcə də onun təsdiqini təkmilləşdirəcəyini söylədi. və mühafizələri daha da gücləndirmək üçün imzalama prosesi.
Microsoft-un yekun nöqtələri, Rootkit Zərərli Proqramı ilə yüklənmiş Netfilter sürücüsünə daxil olmağı qəbul edirMicrosoft zərərli proqramın Çində oyun sektoruna hücum etmək üçün yaradıldığını iddia edir və görünür, işdir. yalnız bir neçə fərddən. Təşkilat və ya müəssisəni zərərli proqramla əlaqələndirən heç bir əlaqə yoxdur. Bununla belə, başa düşmək lazımdır ki, hər hansı bu cür yanıltıcı ikili fayllardan hər kəs geniş miqyaslı proqram təminatı
hücum başlatmaq üçün istifadə edə bilər. Keçmişdə bu cür hücumlar İranın nüvə proqramına hücum edən Stuxnet hücumu kimi asanlaşdırılıb. Bunun səbəbi, kodun imzalanması üçün istifadə edilən sertifikatların Realtek və JMicron-dan oğurlanması idi.
Microsoft Windows 11-i işə salmağa hazırlaşarkən, bu hadisə Microsoft-un əməliyyat sistemləri ilə təmin etdiyi təhlükəsizlik və təhlükəsizliklə bağlı şübhə yaradır. . Nə fikirləşirsən? Zəhmət olmasa aşağıdakı şərh bölməsində fikirlərinizi bölüşün. Bizi sosial mediada izləyin – .
oxumaq: 0
