مرکز تماس: 42922-021
صدای مشتری: 88844430-021
پست الکترونیک: info‌@‌mef‌tah‌.c‌om
اخبار/مقالات

ورود هکرها در حالت امن ویندوز ۱۰

آزمایشگاه CyberArk به‌تازگی موفق به شناسایی تهدیدی شده که آن را ریسک پیرامون حالت امن ویندوز نامیده است. این تهدید نه تنها سیستم‌عامل‌های دسکتاپ، بلکه سیستم‌عامل‌های سرور را نیز تهدید می‌کند. هنگامی‌که هکرها موفق شوند از محیط بوت ایمن عبور کرده و به مجوزهای محلی مدیران روی یک کامپیوتر مجهز به سیستم‌عامل ویندوز دست پیدا کنند، می‌توانند ویژگی بوت ایمن از راه دور را فعال سازند.

دوران نعیم، کارشناس امنیتی آزمایشگاه CyberArk، پژوهشگری است که این مکانیزم حمله را شناسایی کرده است؛ حمله‌ای که به هکرها اجازه می‌دهد از حالت امن ویندوز ۱۰ برای به سرقت بردن جزئیات مربوط به لاگین استفاده کنند. هکرهای راه دور بر مبنای این مکانیزم حمله ابتدا باید به کامپیوتر قربانی دسترسی داشته باشند. در ادامه باید کامپیوتر قربانی را در حالت بوت ایمن راه‌اندازی کنند. سیستمی که در حالت بوت ایمن راه‌اندازی می‌شود، از کنترل‌های امنیتی کمتری در این محیط استفاده می‌کند. پس از آنکه سیستم در حالت بوت ایمن راه‌اندازی شد، هکرها می‌توانند جزئیات مربوط به لاگین را به سرقت ببرند و از تکنیک‌های دیگری همچون pass-the-hash برای نفوذ به دیگر ماشین‌های تحت شبکه استفاده کنند.

برای آنکه بتوان از ضعف موجود در Safe Mode نهایت استفاده را کرد، هکرها باید سه مرحله را با موفقیت به سرانجام برسانند:

۱- تنظیمات سیستم را تغییر دهند تا در مدت‌زمان بوت بعدی سیستم‌عامل را به سمت بوت ایمن هدایت کنند.

۲- ابزارهای حمله را به‌منظور بارگذاری در بوت ایمن پیکربندی کنند.

۳- در راه‌اندازی بعدی ماشین را مجبور کنند تا اکسپلویت را اجرا کند.

در حالی‌که در ظاهر چنین به نظر می‌رسد که پیاده‌سازی این مراحل کار مشکلی خواهد بود، اما در عمل به‌سادگی انجام می‌شود و کاربر به‌هیچ‌وجه متوجه نکته مشکوکی نخواهد شد. برای آنکه یک ماشین ویندوزی را مجبور کنید در راه‌اندازی بعدی به محیط بوت ایمن وارد شود، باید از ابزار BCDEdit برای پیکربندی تنظیمات راه‌اندازی در حالت Minimal Safe Boot استفاده کنید. زمانی‌که این تغییر اعمال شد، در فرایند راه‌‌اندازی بعدی تنها درایورها و سرویس‌های متعلق به ویندوز اجرا خواهند شد و همچنین سیستم این قابلیت را نخواهد داشت تا به اینترنت متصل شود. در گام بعد هکر باید ابزار خود را به گونه‌ای آماده کند که در حالت بوت ایمن اجرا شود.

به دو روش این کار انجام می‌شود؛ هکر می‌تواند یک سرویس مخرب را که به‌منظور بارگذاری در حالت بوت ایمن پیکربندی شده است، استفاده کند یا می‌تواند از یک Com object مخرب استفاده کند. در این تکنیک یک شی COM مخرب که explorer.exe آن را بارگذاری می‌کند، در سیستم نصب می‌شود. این شی اجازه می‌دهد کد هکر هر زمان که explorer.exe نیازمند بارگذاری مؤلفه‌هایی است، فراخوانی شود. زمانی که هکرها از این سد عبور کنند و موفق شوند دسترسی مدیریتی محلی به سیستم ویندوزی را به دست آوردند، در ادامه می‌توانند ویژگی بوت ایمن از راه دور را با دستکاری چند ویژگی امنیتی نقطه پایانی فعال کنند. در حالت بوت ایمن، هکرها می‌توانند آزادانه ابزارهای مدنظر خود را اجرا کنند و در حالی که ناشناس هستند، سراغ سامانه‌های متصل بروند. در حالی که مایکروسافت از ماژول امن مجازی مایکروسافت در سیستم‌عامل ویندوز ۱۰ استفاده می‌کند، باز هم پیاده‌سازی چنین حمله‌ای در ویندوز ۱۰ امکان‌پذیر است؛ به دلیل اینکه در حالت بوت ایمن ماژول امن مجازی مایکروسافت اجرا نمی‌شود. این ماژول به‌منظور محدود کردن توانایی هکرها برای بهره‌مندی از ابزارها و به سرقت بردن گذرواژه‌های درهم (passwords hashes) طراحی شده است.

 

نعیم در این باره گفته است: «گزارشی که شرکت FireEye در سال گذشته میلادی منتشر کرد، نشان داد که بسیاری از سازمان‌ها قربانی حملات فیشینگ هدف‌دار شده‌اند. در نتیجه هکرها به‌سادگی می‌توانند حداقل به یک سامانه مجهز به سیستم‌عامل ویندوز در هر سازمانی دست پیدا کنند. این مکانیزم حمله بسیار انعطاف‌پذیر است. به دلیل اینکه الگوی ضبط اطلاعات اعتباری و انتقال پس از آن می‌تواند چندین بار از سوی هکرها به مرحله اجرا درآید. این کار به‌منظور حصول اطمینان از دریافت درست و دقیق اطلاعات انجام می‌شود.» در این مکانیزم حمله، هکرها می‌توانند به انتظار بنشینند تا قربانی سیستم خود را یک‌بار راه‌اندازی کند یا می‌توانند پیغام هشداری به قربانی نشان دهند و او را متقاعد کنند سیستم خود را مجدداً راه‌اندازی کند.

در آزمایش‌هایی که به همین منظور انجام شد، ابزار محبوب پس‌ از بهره‌برداری موسوم به Mimikatz، استفاده شد. این آزمایش نشان داد زمانی‌که سیستمی به حالت بوت ایمن وارد می‌شود، آنتی‌ویروس‌های مایکروسافت، ترندمیکرو، مک‌آفی و آویرا در آن غیرفعال هستند، در نتیجه امکان شناسایی این ابزار وجود ندارد. نعیم به مدیران توصیه کرده است جزئیات مربوط به مجوزهای اعتباری حساب‌ها را برای مختل کردن حملات pass-the-hash به مرحله اجرا بگذارند. همچنین برای مدیران محلی حداقل سطوح اختیارات را تعیین کنند و از ابزارهای امنیتی که در حالت بوت ایمن اجرا می‌شوند، برای پیشگیری از بروز چنین حملاتی استفاده کنند.

برچسب ها:
٧
اخبارIT
١٠
فروش سرورHP
۴
ویندوز 10
٢٩
ویندوز
٢
امنیت ویندوز 10
٢۵
هک
۶١
امنیت
۶۵
امنیت اطلاعات
٧٣
امنیت شبکه
۵١
افزایش امنیت شبکه
١
افزایش امنیت ویندوز
١
CyberArk
٣
کارشناس امنیت شبکه
٢
پیشگیری از حمله به شبکه
٢
جلوگیری از حمله به شبکه
۴١
مجله فناوری
۴٣
اخبار فناوری اطلاعات
۶٩
فروش سرور
۵۶
خرید سرور
۵٣
قیمت سرور
۴٢
قیمت تجهیزات شبکه
۴٢
فروش تجهیزات شبکه
۴۶
خرید تجهیزات شبکه
١
آموزش
٢۶
آموزش شبکه
١٧
آموزش فناوری اطلاعات
۵٠
آموزش امنیت شبکه
۶
دوره های آموزشی شبکه
۶
تکنولوژی شبکه
١
شناسایی تهدید
١
حالت امن ویندوز
١
بوت ایمن
١
بوت ایمن از راه دور
١
فعال سازی بوت ایمن از راه دور
١
Safe Mode
١
pass-the-hash
٣
نفوذ به شبکه
۴٢
ابزارهای حمله به شبکه
١
اکسپلویت
١
Exploit
١
Minimal Safe Boot
١
BCDEdit
١
پیکربندی تنظیمات شبکه
١
پیکربندی تنظیمات ویندوز
١
پیکربندی تنظیمات سیستم عامل
١
اتصال به اینترنت
٢۴
سرویس‌ ویندوز
١
COM
١
explorer.exe
١
دسترسی مدیریتی محلی به سیستم
١
ویژگی امنیتی نقطه پایانی
١
حالت ناشناس
٣٠
مایکروسافت
٢
Microsoft
١
Win 10
۵
WINDOWS
١
windows 10
١
firewall
١
فایر وال
۵
فایروال
١
ماژول امن مجازی
١
ماژول ایمن سازی
١
شبکه امن
١
passwords hashes
١
جلوگیری از هک
١
مقابله با هکر
١
FireEye
۴
حملات فیشینگ
٢
phishing
١
مکانیزم حمله انعطاف‌پذیر
۴٩
حمله سایبری
١
Mimikatz
١
آزمایش امنیت شبکه
١
آنتی‌ویروس‌ مایکروسافت
١
ترندمیکرو
١
مک‌آفی
١
آویرا
١
مک آفی
١
مجوز اعتباری حساب‌
١
مختل کردن حملات شبکه
١
سطح اختیار در شبکه
١
ابزارهای امنیتی
۲۵ اردیبهشت ۱۳۹۷     بازدید: ٧۴۵     دسته بندی: اخبار عمومی
درج دیدگاه
- برای درج دیدگاه میتوانید بصورت مهمان نظر بگذارید یا عضو شوید یا وارد شوید.
نام: *
آدرس ایمیل:
متن دیدگاه: *
ارسال
از نو
۶٩
فروش سرور
۵۶
خرید سرور
۵٣
قیمت سرور
۵١
افزایش امنیت شبکه
۵٠
آموزش امنیت شبکه
۴٩
حمله سایبری
۴٨
افزایش امنیت سایبری
۴٨
امنیت سیستم
۴٧
الزامات امنیت سایبری
۴٧
رخنه‌های امنیتی
۴٧
حفره‌های امنیتی
۴٧
رخنه‌های امنیت سایبری
۴۶
حفره‌های امنیت سایبری
۴۶
خرید تجهیزات شبکه
۴۵
دوره های امنیت شبکه
۴۵
شناسایی حملات امنیتی
۴۵
مشکلات امنیت سایبری
۴۵
دفاع در برابر مخاطرات امنیتی
۴۴
حمله‌های سایبری
۴۴
بهینه‌سازی امنیت سایبری
۴۴
حفره‌ امنیتی
۴۴
آزمون امنیتی
۴۴
دفع حملات امنیتی
۴۴
حمله هکری
۴۴
قطع خدمات ناشی از حمله سایبری
۴۴
الگوهای امنیتی
۴٣
تست امنیت
۴٣
امنیت وب
۴٣
سوء استفاده از اشکالات امنیتی
۴٣
اخبار فناوری اطلاعات
تمامی حقوق برای شرکت مفتاح رایانه افزار (سهامی خاص) محفوظ میباشد.
کاربر مهمان
پشتیبان آفلاین
ثبت نام
ورود
ایمیل/موبایل:
رمز عبور:
قبلاً در سایت عضو نشده اید؟
رمز عبور خود را فراموش کردید؟

برقراری ارتباط با پشتیبان آنلاین، در ساعات کاری مهیاست. اما اکنون میتوانید تیکت ایجاد کنید یا جهت ارسال ایمیل به مفتاح فرم زیر را پر کنید؛ ما در اسرع وقت پاسخ میدهیم.

نام کامل:
آدرس ایمیل:
متن پیام:
5 پیام جدید!
خانه خدمات مرکز دانش دوره های آموزشی سامانه پرسش و پاسخ فرهنگ واژگان تخصصی اخبار و مقالات چندرسانه‌ای ویدئو ها دانلود ها درباره ما همکاری با ما فرصت های شغلی تماس با ما ناحیه کاربری تیکت های پشتیبانی ایجاد تیکت تنظیمات کاربری
رسانه مفتاح
مرکز دانش