روشی جدید که به مهاجمان اجازه می دهد تا آسیب پذیری ها را به Source Code تزریق کنند. (Trojan Source)

photo 2021 11 04 13 41 22


یک نوع جدید از آسیب‌پذیری توسط محققان امنیتی دانشگاه کمبریج شناسایی شده است که مهاجمان را قادر می‌سازد تا بدافزارها را وارد Source Code کنند.
این آسیب پذیری دستورالعمل تعریف شده توسط Source Code را نیز تغییر می دهد، و کد را در معرض طیف گسترده ای از تهدیدات سایبری قرار می دهد و شامل تهدیداتی می شود که به زنجیره تامین مربوط می شوند.


استانداردهای کدگذاری متن مورد سوء استفاده قرار گرفته است.


یکی از کارشناسان اعلام کرد که عوامل تهدید از ترفندی برای استفاده از کاراکترهای کنترل Unicode استفاده می کنند تا بتوانند به راحتی توکن ها را مجدداً کدگذاری کنند.
به صورت جداگانه، چندین روش دستکاری توسط مهاجمان برای رمزگذاری فایل های Source Code استفاده می شود تا کاربران  استدلال های متفاوتی را داشته باشند.


Homoglyph و حمله Duplex


روش حمله Duplex با نام CVE-2021-42574 شناسایی می شود، در این روش، مهاجمان با استفاده از کنترل های Unicode به هدف خود دست می یابند.
قابل ذکر است کنترل های دو طرفه Bidi مانند LRI و RLI کاراکترهای نامرئی هستند و این دو کاراکتر تنها نیستند.
علاوه بر این، مهاجمان از روش دیگری استفاده می کنند که حمله Homoglyph است و با نام CVE-2021-42694 شناسایی می شود. در این روش تهدید دو کاراکتر متفاوت وجود دارد که نمایش تصویری مرتبطی دارند.

ax2

 

این تکنیک ها بهره برداری از کد منبع را فعال می کنند:


کارشناسان امنیتی روش هایی را مطرح کردندکه امکان بهره برداری از Source Code را فراهم می کند که در زیر به آنها اشاره کرده ایم:
•    Early Returns  روش خاصی را ارائه می دهد بطوریکه در یک کامنت بتواند تابعی را تولید کند که زودتر از آنچه تعیین شده است، برگردد.
•    Commenting Out در واقع با قرار دادن کدهای مهم مانند یک شرط، نظارت انسانی را مختل می کند.
•    Stretched Strings ترتیب اجرای کد را معکوس می کند.

با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت

 

منب

منبع:

https://cybersecuritynews.com

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین