يعد rootkit أحد أخطر أنواع البرامج الضارة التي يمكن أن تصيب جهاز الكمبيوتر الخاص بك. في يوليو 2022 ، اكتشفت Kaspersky مجموعة rootkit التي تستهدف على وجه التحديد البرامج الثابتة UEFI للوحات الأم Gigabyte و Asus مع مجموعة شرائح Intel H81. يمكن أن يمثل هذا الجذور الخفية ، المسمى CosmicStrand ، تهديدًا خطيرًا لجهاز الكمبيوتر الخاص بك نظرًا لأن الجهات الفاعلة في Advanced Persistent Threats (ATP) هم مطوروها.

يشتهر هؤلاء بخلق تهديدات مميتة للوصول إلى أجهزة الكمبيوتر والشبكات والتحكم فيها. من المثير للدهشة أن الحد الأقصى من هجمات CosmicStrand قد حدث لمواطنين محليين في الصين وروسيا وفيتنام وإيران بدلاً من منظمات الأعمال.

ما هو CosmicStrand وماذا يفعل؟

CosmicStrand هو ملف الجذور الخفية التي تمنح المهاجمين سيطرة كاملة على جهاز الكمبيوتر الخاص بك دون أن تعرف أي شيء. يظل غير مكتشف بأي نوع من إجراءات الأمان التقليدية بعد تثبيته خلسة على برنامج UEFI الثابت لجهاز Windows الخاص بك.

بصرف النظر عن ذلك ، فإن rootkit CosmicStrand لديه القدرة على البقاء مخفيًا على جهاز الضحية حتى بعد إعادة تثبيت نظام التشغيل Windows أو إصلاحه. هذه القدرة تجعل الأمر خطيرًا جدًا ولا يمكنك الاستخفاف به.

instagram viewer

يسمح برنامج rootkit للمهاجم بفعل أي شيء يريده على جهاز الكمبيوتر الخاص بك ، بما في ذلك سرقة المعلومات الحساسة ، وتثبيت برامج ضارة أخرى ، وحتى الاستيلاء على النظام بأكمله.

كيف يتم تثبيت CosmicStrand على أجهزة الكمبيوتر؟

وفقا للباحث في كاسبيرسكي، تمكن المتسللون من تثبيت CosmicStrand على البرامج الثابتة للضحية من خلال إجراء تعديلات على برنامج تشغيل CSMCORE DXE. يجبر هذا التعديل السائق على تشغيل سلسلة من الأكواد عند بدء تشغيل النظام والتي تؤدي إلى تنزيل وتثبيت مكون CosmicStrand.

من خلال فحص صور البرامج الثابتة المصابة ، اكتشف الباحثون أن المهاجمين أجروا تعديلات في CSMCORE برنامج تشغيل DXE عن طريق الوصول المسبق إلى كمبيوتر الضحية والكتابة فوق البرامج الثابتة لتقديم الآلية بتشر. أداة التصحيح التلقائي هذه مسؤولة عن إعادة توجيه نقطة دخول برنامج تشغيل CSMCORE DXE إلى التعليمات البرمجية الضارة المخزنة في ملف RELOC القابل للتنفيذ.

كيف يمكنك حماية نظامك من CosmicStrand والجذور الخفية الأخرى؟

أفضل طريقة لحماية نظامك من CosmicStrand والجذور الخفية الأخرى هي تثبيت حل أمان قوي يمكنه اكتشاف وإزالة هذه التهديدات.

يجب عليك أيضًا تحديث نظام التشغيل الخاص بك وجميع البرامج بأحدث تصحيحات الأمان. سيساعد هذا في سد أي ثغرات يمكن للمهاجمين استخدامها للوصول إلى نظامك. يجب إجراء تحديثات البرامج الثابتة وجميع التحديثات الأساسية الأخرى من خلال مصادر رسمية موثوقة.

من الضروري أيضًا إنشاء نسخ احتياطية منتظمة لبياناتك حتى تتمكن من استعادة نظامك في حالة إصابته بجذور الخفية أو أي برامج ضارة أخرى.

بخلاف ذلك ، سيكون من الأفضل أن تمارس أيضًا إجراءات الأمان الأساسية مثل عدم النقر فوق روابط غير معروفة أو المرفقات ، وعدم تنزيل برامج أو محتوى مقرصن من مواقع ويب غير جديرة بالثقة ، وعدم مشاركة معلوماتك الشخصية مع أي شخص. هذا سيساعدك حماية نفسك من هجمات الهندسة الاجتماعية.

هل يجب أن تقلق بشأن ComicStrand؟

اعتبارًا من أغسطس 2022 ، هناك حالات قليلة جدًا من هجمات الجذور الخفية ComicStrand. ومع ذلك ، نظرًا لتطور الجذور الخفية وقدرتها على البقاء مخفيًا ، فقد نشهد المزيد من الهجمات في المستقبل. أيضًا ، حتى الآن ، فقط اللوحات الأم المحددة من Gigabyte و Asus مدرجة في القائمة المستهدفة لـ ComicStrand ، ولكن من المحتمل أن تكون الشركات المصنعة للوحات الأم الأخرى في خطر أيضًا.

إذا كان لديك لوحة أم Gigabyte أو Asus مع مجموعة شرائح Intel H81 ، فمن الضروري التحقق مما إذا كان نظامك مصابًا وإذا اكتشفت الجذور الخفية ، فاتخذ خطوات لإزالته. يجب عليك أيضًا تثبيت حل أمان موثوق به لحماية نظامك من مثل هذه التهديدات في المستقبل.

في حين أن الجذور الخفية ComicStrand لا تمثل تهديدًا واسع النطاق ، فمن الضروري أن تكون على دراية بها وأن تتخذ خطوات لحماية نظامك.