01 آذر 1403
دانشگاه خلیج فارس
English
غلامرضا احمدی
مرتبه علمی:
مربی
نشانی:
دانشکده مهندسی جم - گروه مهندسی کامپیوتر (جم )
تحصیلات:
کارشناسی ارشد / فناوری اطلاعات
تلفن:
07737646160
دانشکده:
دانشکده مهندسی جم
پست الکترونیکی:
grahmadi [at] pgu [dot] ac [dot] ir
صفحه نخست
فعالیتهای پژوهشی
مشخصات پژوهش
عنوان
بررسی حملات موسوم به BadTunnel
نوع پژوهش
مقالات در همایش ها
کلیدواژهها
Badtunnel attack, security, Microsoft Windows, Netbios
پژوهشگران
غلامرضا احمدی (نفر اول)
،
مرتضی جهان تیغ (نفر دوم)
چکیده
این مقاله روش جدیدی برای گذشتن از شبکه را معرفی میکند که با نام BadTunnel شناخته می شود. این روش نیازی ندارد که مهاجم روی همان شبکه باشد. حتی زمانی که دیوارآتشین و ابزارهای NAT در این میان وجود دارند این حمله میتواند موفقیت آمیز باشد. اگر مهاجم بتواند کاربر را متقاعد کند که یک صفحه را با استفاده از مرورگرهای Microsoft Edge یا internet explore مشاهده کند و یا یک سند office را باز کند , آنگاه میتواند : • خود را به عنوان یک پرینت یا فایل سرور معرفی کند (جا بزند). • sandbox اینترنت اکسپلورر را بدون EPM/AppContainer دور بزند. • ترافیک شبکه را سرقت کرده و نه تنها ترافیک http را بلکه ترافیک مربوط به اپدیت ویندوز و آپدیت Certificate Revocation List از طریق Microsoft Crypto Api را نیز می تواند سرقت کند. حملات BadTunnel برای تمامی نسخه های ویندوز کارا است. این حمله میتواند بر روی تمامی نسخه های internet explore و Microsoft edge اجرا شود. در حقیقت هرجایی که طرح URI یا مسیر UNC در فایل جاسازی شده باشد این حمله کارا است. برای مثال اگر مسیر URI و UNC یک فایل در یک لینک میانبر فایل جاسازی شده باشند (the Microsoft proprietary LNK / URL file) در لحظه ای که کاربر فایل را در مرورگر ویندوز مشاهده میکند حمله BadTunnel می تواند اتفاق می افتد. پس می تواند از طریق صفحات وب، ایمیل، فلش درایوها و دیگر مدیاها می تواند بکار گرفته شود.