با توجه به این‎که اکثر اوقات ویندوز یک سیستم‎عامل محبوب برای هدف قرار دادن است، محققان امنیتی و هکرها دائم این پلت‎فرم را بررسی می‎کنند تا استراتژی‎های پیشرفته‎ای را به منظور شکستن خطوط دفاعی مایکروسافت، کشف کنند.

ولی حالا سد دفاعی مایکروسافت قوی‎تر شده است، چون این شرکت چندین قابلیت پیشرفته به سیستم‎عامل ویندزو 10 خود به منظور جلوگیری از حملات، اضافه کرده است. با آن‎که هکرهای کنفرانس امسال بلک‎هت مجهز به تکنیک‎های پیچیده‎ای بودند، یک سکوت نشانه‎ی توافق جمعی به چشم می‎خورد که اکنون توسعه‎ی یک تکنیک موفق برای استفاده بر روی ویندوز 10 به مراتب سخت‎تر است. نفوذ به ویندوز از طریق یک آسیب‎پذیری داخل سیستمی در مقایسه با چند سال قبل، سخت‎تر است.

استفاده از ابزار داخلی ضد بدافزار

مایکروسافت ابزاری تحت نام اینترفیس اسکن ضد بدافزار (AMSI) توسعه داده است که می‎تواند اسکریپت‎های مخرب در حافظه را شناسایی کند. نیخال میتال، مشاور برنامه‎های آموزشی NoSoSecure  و فردی که تست‎های نفوذ را انجام می‎دهد به حضار شرکت کننده در جلسه‎ی بلک‎هت خود گفت که هر اپلیکیشنی می‎تواند باعث به فراخواندن این ابزار شود و هر گونه موتور ثبت شده‎ی ضد بدافزاری می‎تواند محتویات ثبت شده در AMSI را پردازش کند. آنتی‎ویروس‎های AVG و ویندزو دفندر در حال حاضر از AMSI استفاده می‎کنند و بایستی به زودی توسط شرکت‎های بیشتری مورد استفاده قرار گیرد.

میتال اعلام کرد “AMSI گامی بزرگ به سمت مسدود سازی حملات مبتنی بر اسکریپت در ویندوز است.”

مجرمان سایبری روز به روز بیشتر تکیه به استفاده از حملات مبتنی بر اسکریپت می‎کنند، به خصوص آن دسته از آن‎هایی که در PowerShell ویندوز اجرا می‎شود. امکان کشف حملات با استفاده از PowerShell برای سازمان‎ها سخت است، چون‎ به سختی می‎توان آن‎ها را از رفتار صحیح این کنسول تشخیص داد. امکان ریکاوری کردن نیز سخت است چون اسکریپت‎های پاورشِل را تنها می‎توان به منظور تحت تاثیر قرار دادن هرگونه از جنبه‎های سیستمی یا شبکه‎ای استفاده کرد. با توجه به این‎که عملا اکنون هر سیستم ویندوزی با PowerShell از پیش بارگذاری شده است، حملات مبتنی بر اسکریپت روز به روز بیشتر متداول می‎شوند.

در گذشته مجرمین شروع به استفاده از پاورشل و بارگذاری اسکریپت‎ها در حافظه کردند، ولی کمی طول کشید تا با آن‎ها برخورد شود. میتال گفت “تا همین چند سال قبل کسی به پاورشل اهمیتی نمی‎داد. اسکریپت‎های ما اصلا کشف نمی‎شدند. شرکت‎های دارا محصولات آنتی‎ویروس تنها در طول سه سال گذشته پذیرای آن شده‎اند.”

با آن‎که کشف اسکریپت‎های ذخیره شده بر روی هارد آسان است، جلوی اجرای اسکریپت‎های ذخیره شده بر روی حافظه را گرفتن، عمل ساده‎ای نیست. AMSI سعی دارد در سطح میزبان جلوی این اسکریپت‎ها را بگیرد، یعنی روش ورود آن‎ها، ذخیره شدن بر روی هارد، در حافظه یا اجرا به صورت تعاملی، مهم نیست و همین امر به گفته‎ی میتال باعث می‎شود AMSI تغییر بارزی در این روند ایجاد کند.

گرچه، AMSI نمی‎تواند به تنهایی نقش داشته باشد، از این جهت که مفید بودن آن وابسته به روش‎های امنیتی دیگری نیز است. حملات مبتنی بر اسکریپت بدون ایجاد گزارش خیلی سخت می‎توانند اجرا شود، بنابراین مهم است که ادمین‎های ویندوز به طور منظم گزارشات کنسول PowerShell خود را بررسی کنند.

AMSI کامل نیست، در کشف اسکریپت‎های مبهم یا اسکریپت‎های بارگذاری شده از مکان‎‎های غیر معمولی نظیر فضای اسمی (namespace) WMI، کلیدهای رجیستری و گزارش‎های رویدادها عملکرد چندان مفیدی ندارد. اسکریپت‎های پاور‎شِلی که بدون استفاده از فایل powershell.exe اجرا می‎شوند (ابزاری نظیر سرور سیاست شبکه) نیز می‎توانند باعث به اشتباه انداختن AMSI شوند. راه‎هایی برای دور زدن AMSI وجود دارد، نظیر تغییر امضای اسکریپت‎ها، استفاده از نسخه‎ی 2 پاور‎شِل یا غیرفعال کردن AMSI. با این‎ وجود، میتال هم‎چنان AMSI را “آینده‎ی ادمین ویندوز” می‎نامد.

حفاظت از اکتیو دایرکتوری

اکتیو دایرکتوری بنیاد مهمی برای ادمین ویندوز است و روز به روز به بخش مهم‎تری تبدیل می‎شود چون سازمان‎ها جریان‎های کاری خود را به سیستم ابری انتقال می‎دهند. دیگر از آن برای کنترل تعیین هویت و مدیریت شبکه‎های شرکتی درون سازمانی استفاده نمی‎شود، در نتیجه حالا اکتیو دایرکتوری (AD) می‎تواند کمک به شناسایی و تعیین هویت سیستم ابری Azure مایکروسافت کند.

به گفته‎ی شان متکالف، فردی که مدرک Microsoft Certified Master را برای اکتیو دایرکتوری دارد و بنیان‎گذار شرکت امنیتی Trimarc محسوب می‎شود به حضار شرکت کننده در کنفرانس بلک‎هت گفت که ادمین‎های ویندوز، کارشناسان امنیتی و هکرها همگی چشم‎اندازهای متفاوتی از AD دارند. ادمین بر آپ‎تایم سرور و کسب این اطمینان توجه دارد که AD پاسخ مناسبی در قبال کوئری‎ها (queries) از خود نشان ‎دهد. کارشناسان امنیتی مسائل عضویتی گروه Domain Admin را بررسی می‎کنند و حواسشان به آپدیت‎های نرم‎افزاری است. هکرها به بررسی وضعیت امنیت دستگاه می‎پردازند تا ضعفی پیدا و از آن استفاده کنند. هیچ‎کدام از این گروه‎ها طبق گفته‎ی متکالف تصویر کاملی در اختیار ندارد.

او در طول سخنان خود اشاره داشت که تمامی کاربران مورد تایید هویت قرار گرفته به قابلیت خواندن اکثریت، اگر نگوییم تمامی، آبجکت‎ها و صفات اکتیو دایرکتوری دسترسی دارند. طبق گفته‎ی متکالف یک حساب کاربری استاندارد می‎تواند کل دامنه‎ی اکتیو دایرکتوری را به علت حقوقی که به نادرستی در بحث تغییر دادن اهداف سیاست گروه متصل به دامنه و واحد سازمانی به دست آورده است، به خطر بیاندازد. از طریق مجوزهای سفارشی OU، یک فرد می‎تواند کاربران و گروه‎هایی که دسترسی‎های بالایی ندارند را مورد تغییر قرار دهد، یا می‎تواند تاریخچه‎ی SID، صفت آبجکت اکانت یک کاربر AD را به منظور به دست آوردن دسترسی‎های بالا بررسی کند.

متکالف به منظور کمک به شرکت‎ها برای اجتناب از مشکلات متداول استراتژی‎هایی را مطرح و آن را در محافظت از اطلاعات ورود ادمین و جداسازی منابع مهم، خلاصه می‎کند. آپدیت‎های نرم‎افزاری را جدی بگیرید، به خصوص بسته‎های امنیتی که آسیب‎پذیری‎های مربوط به اولویت‎ها را مد نظر قرار می‎دهند، و شبکه را تقسیم بندی کنید تا نفوذ هکرها سخت‎تر شود

کارشناسان امنیتی بایستی شناسایی کنند که چه کسی برای AD و برای محیط‎های مجازی میزبان دامین کنترلر‎های مجازی دارای حقوق ادمین است و هم‎چنین چه کسانی می‎توانند وارد دامین کنترلرها شوند. آن‎ها باید دامنه‎های اکتیو دایرکتوری، آبجکت AdminSDHolder و آبجکت‎های گروپ پالیسی (GPO) را به منظور بررسی مجوزهای سفارشی نادرست داده شده بررسی کنند و مطمئن شوند که هرگز ادمین‎های دامنه (ادمین‎های اکتیو دایرکتوری) با اطلاعات عبور حساس خود وارد سیستم‎های غیر معتبری نظیر ورک استیشن‎ها نشده‎اند. حقوق اکانت سرویس نیز بایستی محدود باشد.

متکالف اعلام کرد که حقوق اکتیودایرکتوری را به درستی اعمال کنید تا جلوی تعداد بسیاری از حملات متداول گرفته یا کمتر اثربخش ‎شوند.

مجازی‎سازی به منظور در بر گرفتن حملات

Rafal Wojtczuk  رئیس بخش امنیتی شرکت Bromium گفت: مایکروسافت به معرفی امنیت مبتنی بر مجازی‎سازی (VBS) پرداخته است، مجموعه‎ای از قابلیت‎های امنیتی که درون فناوری hypervisor (هایپر وایزر یا Hyper-V) ویندوز 10 قرار گرفته است. سطح حمله برای VBS متفاوت از سایر شکل‎های مجازی‎سازی است.

Wojtczuk گفت “VBS با وجود حوزه‎ی محدودی که دارد، مفید است چون می‎تواند جلوی حملات خاصی را بگیرد که بدون آن به سادگی اجرا می‎شوند.”

Hyper-V بر روی پارتیشن روت کنترل دارد و می‎تواند محدودیت‎های بیشتری را اجرا و خدمات امنی را فراهم کند. زمانی که VBS فعال می‎شود، Hyper-V یک دستگاه مجازی تخصصی با سطح بالایی از تراست (اعتماد) به منظور اجرای فرمان‎های امنیتی ایجاد می‎کند. بر خلاف سایر دستگاه‎های مجازی، این دستگاه پیشرفته از پارتیشن روت محافظت می‎شود. ویندوز 10 می‎تواند یکپارچگی (ادغام) کد باینری‎های حالت کاربری و اسکریپت‎ها را اجباری کند و VBS کد حالت کرنل را کنترل و مدیریت می‎کند. طراحی VBS به این منظور بوده است که اجازه به اجرای هر گونه کد ثبت نشده در شرایط و زمینه‎ی کرنل را ندهد، حتی اگر امنیت کرنل به خطر افتاده باشد. الزاما، کد مورد اعتماد در حال اجرا در دستگاه مجازی ویژه، در جداول صفحه‎ی توسعه‎ یافته ‎ (EPT) پارتیشن روت حقوق اجرایی را به دست آورده است تا کدهای ثبت شده‎ی ذخیره را فرا بخواند. از آن‎جایی این صفحه نمی‎تواند هم قابل اجرا و هم قابل رایت در یک زمان باشد، بدافزار نمی‎تواند به این طریق وارد حالت کرنل شود.

از آن‎جایی‎که کل این مفهوم تکیه بر توانایی ادامه دادن عملکرد خود، حتی اگر پارتیشن روت به خطر افتاده شده باشد، دارد، Wojtczuk به عنوان مثال به بررسی VPS از دیدگاه هکری پرداخت که به پارتیشن روت نفوذ کرده بود تا بررسی شود آیا هکر می‎تواند از بوت امن به منظور بارگذاری یک هایپر وایزر آلوده شده با تروجان عبور کند یا خیر.

Wojtczuk به عنوان نتیجه اعلام کرد که “موقعیت امنیتی VBS خوب به نظر می‎آبد و امنیت یک سیستم را بهبود می‎بخشد، البته یقینا نیاز به تلاش اضافی بسیار مهمی برای پیدا کردن یک آسیب‎پذیری مناسب برای دور زدن این لایه‎ی امنیتی است.”

اسناد فعلی در این زمینه اشاره به این دارند که به بوت امن (Secure Boot) نیاز است و ماژول پلت‎فرم مورد اعتماد (TPM) و VTd به صورت گزینشی به منظور فعال سازی VBS دیده می‎شوند ولی در واقع این‎طور نیست. ادمین‎ها باید هر دوی این موارد (VTd و TMP) را به منظور حفاظت از هایپر وایزر علیه یک پارتیشن روت به خطر افتاده شده، فعال داشته باشند. به سادگی فعال کردن قابلیت Credential Guard برای VBS کافی نیست. به منظور کسب اطمینان از این‎که مشخصات عبور در پارتیشن روت به وضوح نشان داده نمی‎شوند نیاز به یک پیکربندی اضافی است.

مایکروسافت تلاش زیادی کرده است که تا جای ممکن VBS را امن کند، ولی سطح حمله‎ی غیر معمول به گفته‎ی Wojtczuk هم‎چنان دلیل نگرانی است.

حفاظ امنیتی ارتفاع بیشتری دارد

نفوذ کنندگان، که شامل مجرمان، محققان و هکرهایی می‎شوند که ببیند چه کاری می‎توانند با ویندوز انجام دهند، درگیر یک رقص استادانه با مایکروسافت هستند. به محض این‎که نفوذ کننده راهی را برای دور زدن خطوط دفاعی ویندوز پیدا می‎کند، مایکروسافت حفره‎ی امنیتی را می‎بندد. با اجرای فناوری نوآورانه‎ی امنیتی به منظور سخت‎تر کردن حملات، مایکروسافت حمله‎کنندگان را مجبور می‎کند به منظور پیدا کردن راه نفوذ در تلاش بیشتری باشند. ویندوز 10 به لطف قابلیت‎های جدید که دارد امن‎ترین نسخه‎ی ویندوز تا به الان است.

عنصر جرم در حال تلاش است، و شلاق بدافزار علائمی را مبنی بر آهسته کردن سرعت خود نشان نمی‎دهد، ولی بایستی اشاره داشت که این روزها اکثریت حملاتی که صورت می‎گیرند نتیجه‎ی یک نقص امنیتی نرم‎افزاری، مهندسی اجتماعی یا پیکربندی اشتباه است. هیچ اپلیکیشنی نمی‎تواند به طور کامل عاری از باگ باشد، ولی زمانی که خطوط دفاعی داخلی موجود باعث می‎شود سوء استفاده از ضعف‎های موجود سخت‎تر باشد، حمله‎کنندگان با شکست روبرو می‎شوند. مایکروسافت در طول چند سال گذشته بسیار تلاش کرده است تا جلوی حملات به سیستم‎عامل خود را بگیرد و ویندوز 10 نافع مستقیم این تغییرات است.

با در نظر گرفتن این‎که مایکروسافت فناوری جدا‎سازی خود را در آپدیت سالانه‎ ویندوز 10 قوی‎تر کرده است، جاده‎ای که به سمت سوءاستفاده‎ی موفقیت آمیز از یک سیستم مدرن ویندوز ختم می‎شود حتی پر دست اندازتر به نظر می‎آید.

منبع: تک نیوز