ویندوز و آنتی ویروس ها، بدافزار را در فایلهای دیسک مجازی (VHD،VHDX و...) نادیده می گیرند

ویندوز و آنتی ویروس ها، بدافزار را در فایلهای دیسک مجازی (VHD،VHDX و...) نادیده می گیرند

سیستم عامل ویندوز و آنتی ویروس، دیسک Image های VHD و VHDX را مانند یک جعبه سیاه در نظر می گیرند. فایل های درون این ظروف تا زمانیکه image را mount نکنید و فایل ها را اجرا نکنید، اسکن نمی شوند.
VHD و نسخه جدیدتر آن VHDX، دیسک هایی هستند که زمانیکه در ویندوز باز می شوند مانند یک درایو فیزیکی نمایش داده می شوند.

سیستم عامل ویندوز و آنتی ویروس، دیسک Image های VHD و VHDX را مانند یک جعبه سیاه در نظر می گیرند. فایل های درون این ظروف تا زمانیکه image را mount نکنید و فایل ها را اجرا نکنید، اسکن نمی شوند.

VHD و نسخه جدیدتر آن VHDX، دیسک هایی هستند که زمانیکه در ویندوز باز می شوند مانند یک درایو فیزیکی نمایش داده می شوند.

مهاجمان می توانند بدافزار را درون این دیسک image ها مخفی کنند و قربانیان را فریب دهند تا این بدافزارها را از یک مکان آنلاین دریافت کنند تا دفاع اولیه ویندوز را دور بزنند.

ویل دورمن، تحلیلگر آسیب پذیری دریافته است که انجین های آنتی ویروس نیز به این دلیل که درون این فایل ها را چک نمی کنند

 فریب می خورند.

ویندوز با توجه به منشاء فایل ها سطوح مختلفی از اعتماد را به آنها اعطا می کند. به طور معمول، داده هایی که از یک مکان آنلاین دریافت می شوند، احتمالاً مخرب هستند و با احتیاط بیشتری اداره می شوند.

ویندوز فایل هایی که از اینترنت دانلود شده باشند را با برچسب MOTW (Mark of the web) علامت گذاری می کند تا بداند که به آنها دسترسی محدودی به منابع دستگاه بدهد. کاربران هشدارهایی درباره خطر احتمالی اجرای این فایل ها مشاهده خواهند کرد و به طور معمول برای اجرای این فایل ها نیاز به موافقت کاربر می باشد.

MOTW به همه فایل هایی که از اینترنت نشئات می گیرند، شامل فایل هایی که داخل ظروفی مانند فایل های آرشیو و Zip هستند نیز اعمال خواهد شد.

با این حال، این قضیه در مورد فایلهای VHD و VHDX که مانند یک فایل Zip عمل می کنند، صدق نمی کند.

برای دیدن آزمایش این مطالب به صورت تصویری، لینک زیر را مشاهده کنید:

https://www.youtube.com/embed/09GDJjBufdQ

هیچ واکنشی از سمت آنتی ویروس صورت نمی گیرد

انجین هیچ کدام از آنتی ویروس ها در سایت VirusTotal فایل VHD را به عنوان یک خطر بالقوه شناسایی نکردند.

دورمن می گوید، در یک محیط سازمانی تا زمانیکه این فایل ها به سیستم انتقال پیدا نکنند، اسکن On-access آنتی ویروس بر روی آنها صورت نمی گیرد و به صورت یک نقطه کور باقی خواهند ماند.

هنگام استفاده از یک تهدید واقعی نتایج تقریباً یکسان است. محقق امنیتی JTHL آزمایش مشابهی را با استفاده از انواع سرقت کننده اطلاعات Agent Tesla در یک VHD انجام داد و بدافزار شناسایی نشد.

حتی اگر این بدافزارها توسط MOTW تگ نخورند و با دوبار کلیک باز شوند، image های ISO و IMG توسط آنتی ویروس ها در VirusTotal متفاوت رفتار می کنند.

دورمن همین آزمایش EICAR را با این نوع از فایل های image انجام داد و یک هشدار از چندین محصول امنیتی دریافت کرد، البته میزان تشخیص هنوز هم پایین بود.

این محقق برای شرکتهایی که می خواهند دفاع خود را در برابر سناریوهای حمله بهبود ببخشند، توصیه هایی دارد:

  • در درگاه ایمیل های خود فایل های VHD، VHDX، ISO و IMG را بلاک کنید.
  • برنامه پیش فرض برای باز شدن این نوع از پسوندها را غیر فعال کنید تا به صورت خودکار با دوبار کلیک کردن باز نشوند.
  • فایل های VHD، VHDX، ISO و IMG را در درگاه وب محدود کنید، به خاطر داشته باشید که موقع دانلود، این فایل ها قانونی بنظر می آیند.

پیشگیری و محافظت

برای محافظت در برابر باج افزار، بسیار مهم است که عادات بد کامپیوتری کنار گذاشته شود و همچنین از یک آنتی ویروس امنیتی استفاده گردد. در وهله ی اول نیز میبایست یک بکاپ تست شده و قابل اتکا از اطلاعات خود داشته باشید که در موارد ضروری چون حملات باج افزار، بتوانید آن را restore نمایید.

همچنین به نکات و موارد امنیتی زیر نیز توجه فرمایید:

  • بکاپ، بکاپ، بکاپ
     
  • فایل های ضمیمه شده ی ناشناس در ایمیل یا هر درگاه ارتباطی را باز نکنید.
     
  • فایل های ضمیمه شده را با استفاده از آنتی ویروس هایی چون بیت دیفندر اسکن نمایید.
     
  • از نصب تمامی به روز رسانی های ویندوز به محض عرضه ی آنان مطمئن شوید! همچنین از به روز رسانی تمامی نرم افزار های خود اطمینان حاصل فرمایید. به خصوص نرم افزار هایی چون جاوا، فلش و ادوب ریدر. برنامه های قدیمی حاوی نقص های امنیتی هستند که مرتبا توسط مهاجمین سو استفاده میشوند.
     
  • از نصب نرم افزار های امنیتی و آنتی ویروس ها غافل نشوید. آنتی ویروس بیت دیفندر امکان مدیریت و محافظت کامل از شبکه و مجموعه ی شما را دارد. بیت دیفندر در دو زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی آماده ی محافظت از مجموعه ی شماست. زمانی که بیت دیفندر را ازنمایندگی بیت دیفندر خریداری نمایید از یکسال پشتیبانی بیت دیفندر توسط شرکت پانا فناور پارسیان بهره مند خواهید بود که با نیروی فنی متخصص توسط کمپانی بیت دیفندر به شما خدمات پشتیبانی خواهد داد. بیت دیفندر همچنین در تست معتبر لابراتوری مستقل av-comparatives.org نیز با شناسایی 100 درصد و شناسایی اشتباه صفر در فهرست برترین آنتی ویروس ها قرار دارد.
     
  • از گذرواژه های سخت استفاده کنید. و از یک رمز عبور برای تمامی حساب های خود استفاده نکنید.
     
  • اگر از سرویس های ریموت دسکتاپ استفاده میکنید از آن به صورت مستقیم به اینترنت استفاده نکنید و تنها از vpn استفاده کنید.

منبع: www.bleepingcomputer.com