بمب اتم

یک‌شنبه ۰۹ آبان ۱۳۹۵
Sharif-Cert, آپا, بدافزار, بمب اتم، آسیب‌پذیری
مرکز آپا شریف
SUT-APA-LOGO
چکیده:
به‌تازگی روش جدیدی برای تزریق کد مخرب به فرآیندهای قانونی پیدا شده است که بمب اتم نام دارد و به بدافزارها کمک می‌کند تا راه‌کار‌های امنیتی را بدون این‌که با ابزارهای ضدبدافزاری قابل تشخیص باشد، دور بزنند. طبق تعریف مایکروسافت جدول اتم یک جدول تعریف‌شده در سیستم است که وظیفه‌ی نگه‌داری از رشته و شناسه‌های آن‌ها را بر عهده دارد. هر برنامه می‌تواند رشته‌هایی را در این جدول ذخیره کند. به ازای هر رشته یک عدد ۱۶ رقمی دریافت می‌شود که اتم نامیده دارد و از این عدد برای دسترسی به آن رشته استفاده می‌شود. بمب اتم در تمامی نسخه‌های ویندوز وجود دارد و هنوز وصله‌ای برای این نقص ایجاد نشده است و از آن‌جا که این مشکل به دلیل اشکال در طراحی سیستم‌عامل ایجاد شده است برطرف کردن آن کار راحتی نیست مگر این‌که کل سیستم‌عامل دست‌کاری شود.

مقدمه

محققان به‌تازگی روش جدیدی برای تزریق کد مخرب به فرآیندهای قانونی پیدا کرده‌اند که به بدافزارها کمک می‌کند تا راه‌کار‌های امنیتی را دور بزنند. این فن‌آوری با نام بمب اتم شناخته شده است و با ابزارهای ضدبدافزاری قابل تشخیص نیست. بمب اتم بر روی جداول اتم که یک ویژگی از سیستم‌عامل ویندوز است، کار می‌کند.
طبق تعریف مایکروسافت جدول اتم یک جدول تعریف‌شده در سیستم است که وظیفه‌ی نگه‌داری از رشته و شناسه‌های آن‌ها را بر عهده دارد. هر برنامه می‌تواند رشته‌هایی را در این جدول ذخیره کند. به ازای هر رشته یک عدد ۱۶ رقمی دریافت می‌شود که اتم نامیده دارد و از این عدد برای دسترسی به آن رشته استفاده می‌شود.
جداول اتم به صورت مشترک بین تمام برنامه‌ها برای ذخیره کردن رشته‌ها، شی‌ها و دیگر انواع داده مورد استفاده قرار می‌گیرند و از آن‌جا که مشترک هستند بنابراین تمامی برنامه‌ها قادر به دسترسی، تغییر و وارد کردن داده در آن‌ها هستند.

سواستفاده از روش بمب اتم

با وجود مشکلی که در سیستم‌عامل ویندوز وجود دارد، بدافزارها می‌توانند جداول اتم را به منظور فریب برنامه‌های قانونی برای انجام کارهای مخرب تغییر دهند. بسیاری از سازمان‌ها لیستی از فرآیندهای مجاز را برای خود تعریف کرده‌اند، حال اگر مهاجم کد آلوده‌ای را به یکی از این فرآیندهای مجاز تزریق کند، آن محصول امن می‌تواند به راحتی راه‌کارهای امنیتی را دور بزند.
محققان عقیده دارند که روش بمب اتم می‌تواند به حملات مرد میانی در مرورگر که بیش‌تر توسط تروجان‌های بانکی استفاده می‌شوند، کمک کند. هم‌چنین بدافزار را قادر می‌کند که از صفحه‌ی نمایش کاربر عکس گرفته و به گذرواژه‌های رمزشده‌ی او دسترسی پیدا کند و یا هر کار دیگری که یک برنامه‌ی لیست سفید مجاز به انجام آن است را انجام دهد.

مقابله با روش بمب اتم

بمب اتم متعلق به خانواده‌ی روش‌های تزریق کدی که از قبل شناخته شده‌اند مانند تزریق SQL، XSS، hotpatching، code hooking است و بر روی همه‌ی نسخه‌های ویندوز وجود دارد. خبر بد این است که این یک نقص در طراحی است و یک آسیب‌پذیری به شمار نمی‌رود. به عبارت دیگر مایکروسافت بدون تغییر در کل عملکرد سیستم‌عامل قادر به وصله کردن این نقص نیست.