Connect with us

מתקפות סייבר

סייברארק חושפת מתקפה המנצלת מנגנון הגנה של אינטל

מתקפות סייבר

מחקר סופוס - שני שלישים מארגוני הבריאות נפגעו מתוכנות כופר, שיא של ארבע שנים

מתקפות סייבר

זן חדש של תוכנות כופר מותאמות אישית תוקף עסקים קטנים ובינוניים ברחבי העולם

מתקפות סייבר

פורטינט משתפת פעולה עם חברות אבטחת מידע ישראליות בתחום ה-OT כדי להרחיב את ההגנה על תשתיות קריטיות

מתקפות סייבר

דוח סופוס - קבוצות כופר משתמשות בנתונים גנובים כדי להגביר את הלחץ על קורבנות שמסרבים לשלם

מתקפות סייבר

כך תיהנו מהמשחקים האולימפיים מבלי ליפול קורבן להונאות ומתקפות סייבר

מתקפות סייבר

מחקר של פורטינט: פושעי הסייבר מתכוננים מזה למעלה משנה לאולימפיאדה בפריז

מתקפות סייבר

Trend Micro חושפת יכולות חדשות לניהול סיכוני סייבר המאפשרות לצפות ולמנוע פרצות והתקפות

מתקפות סייבר

מחקר CYFOX – נחשפה גרסה חדשה ומסוכנת של Agent Tesla שמטרתה לגנוב מידע רגיש ממשתמשים

מתקפות סייבר

הפריצה ל- TeamViewer: מציגה את הסיכונים בתוכנות גישה מרחוק

מתקפות סייבר

סייברארק חושפת מתקפה המנצלת מנגנון הגנה של אינטל

פורסם

לפני 7 שנים

ב-

צוות מעבדות סייברארק יחשוף השבוע טכניקת מתקפה שגילה לאחרונה בשם BoundHook, המאפשרת לתוקפים לנצל את התכנון של מעבד אינטל MPX כדי לפעול בשיטת hooking (שינוי התנהגות של מערכת ההפעלה) על אפליקציות במוד-משתמש. זאת, כדי להריץ קוד מכל תהליך מבלי להתגלות על ידי תוכנות אנטי וירוס ואמצעי אבטחה אחרים במערכת ההפעלה Windows 10, ובמכשירים עם מערכת הפעלה Os 64-bit. זוהי הטכניקה השנייה שמעבדות סייברארק חושפות לאחרונה ואשר משמשת לתקיפת פונקציות ב-windows.

הטכניקה הראשונה שנחשפה נקראת GhostHook והיא עוקפת לגמרי את פעילותה של מיקרוסופט למניעת מתקפות ברמת ה- kernel (כגון   – PatchGuard שכבת הגנה של מיקרוסופט) ומשתמשת בגישת ה-hooking הזו כדי להשתלט על מכשירים בשכבת ה- kernel.

מה שמרתק בטכניקת המתקפה הזו, היא שהיא ממנפת את התכנון עצמו של שבב אינטל שנבנה בדיוק על מנת למנוע מתקפות כאלה – באמצעות שימוש ברכיב אינטל נגד עצמו. דווקא אותו פיתוח המשלב חומרה, הוא זה שמאפשר לעשות הוקינג בצורה שלא ניתנת לגילוי כרגע. כלומר: תוקפים שיעבדו בטכניקה זו יוכלו לעבוד מתחת לרדאר של מנגנוני ההגנה של מיקרוסופט ואינטל.

מערכת Windows 10 משתמשת באינטל כדי לאבטח אפליקציות באמצעות גילוי מקרים חריגים של boundary exception (שהינם נפוצים במהלך מתקפת buffer overflow) – BoundHook משתמש ב-boundary exception בתור האמצעי עצמו לספק לתוקפים שליטה על התקני Windows 10.

כתוצאה מכך, הטכניקה תאפשר לתוקפים להתקדם מבלי שיבחינו בהם בשום אמצעי אבטחה שהוא, כולל AV, תוכנות Firewall אישיות, HIPS, ומוצרים רבים חדשים לאבטחת נקודות קצה הדור הבא (next-gen).

Advertisement

BoundHook הוא מחקר חדש מתוך סידרה של דוחות מחקר שביצעו מעבדות סייברארק (CyberArk Labs), הבודקים טכניקות של מתקפות סייבר אשר קורות בסביבות של "אחרי-פריצה ראשונית" כלומר: מצבים שבהם תוקף כבר פרץ לנקודת קצה בארגון.  ההתמקדות של מעבדות סייברארק על טכניקות כאלה נובעת מהצורך להגביר את מודעות התעשייה להנחת העבודה, שתוקפים בעלי מוטיבציה יכולים, וגם יצליחו לעקוף את פתרונות אבטחת נקודת הקצה. ברגע שתוקף הצליח להשיג דריסת רגל, כל מה שיקרה כתוצאה מכך הינו קריטי לאבטחה של כל ארגון – תוקפים מכוונים לחשבונות פריבילגיים ואדמיניסטרטיביים, ומנצלים אותם לרעה, כיוון שחשבונות אלה מעניקים להם כוח עצום כגורמי פנים (insiders) אמינים ברשת.

Related Topics:
Continue Reading