هاك دي ام ايه (DMA)

هاك دي ام ايه “DMA Hack” أو Direct Memory Access Hack هو نوع من الاختراق الذي يعتمد على الوصول المباشر إلى ذاكرة جهاز الكمبيوتر أو النظام دون المرور عبر وحدة المعالجة المركزية (CPU). الهدف الرئيسي من هذا النوع من الهجمات هو استخراج البيانات أو التلاعب بالعمليات الموجودة في الذاكرة.

تعريف دي ام ايه DMA: DMA أو الوصول المباشر إلى الذاكرة هو تقنية تُستخدم في أنظمة الكمبيوتر لتمكين الأجهزة الطرفية مثل بطاقات الشبكة أو وحدات التخزين من الوصول إلى الذاكرة الرئيسية بشكل مباشر دون الحاجة إلى تدخل وحدة المعالجة المركزية (CPU) لكل عملية نقل للبيانات. بهذه الطريقة، تتم عمليات النقل بسرعة أكبر وتقلل من العبء على المعالج.

كيف يعمل هاك دي ام ايه؟

في هذه الأنواع من الهجمات، يستغل المهاجم قدرة الأجهزة المتصلة على الوصول إلى ذاكرة النظام مباشرة باستخدام تقنية DMA. يمكن أن يتم الهجوم بعدة طرق، منها:

  1. التوصيل بجهاز يحتوي على منفذ يدعم DMA: الأجهزة التي تدعم بروتوكولات مثل Thunderbolt أو PCIe هي أمثلة على أجهزة توفر DMA. إذا تمكن المهاجم من الوصول الفيزيائي لجهازك وقام بتوصيل جهاز مخترق مثل محرك أقراص مزيف أو جهاز USB متقدم، فإنه يمكنه تنفيذ الهجوم عبر الوصول إلى الذاكرة مباشرة.
  2. التلاعب بذاكرة النظام: عند الوصول إلى ذاكرة النظام عبر DMA، يمكن للمهاجم قراءة البيانات الحساسة مثل كلمات المرور، مفاتيح التشفير، وغيرها من المعلومات المهمة المخزنة في الذاكرة.
  3. حقن التعليمات البرمجية في الذاكرة: باستخدام DMA، يمكن للمهاجم إدخال تعليمات برمجية ضارة في ذاكرة البرامج أو الأنظمة العاملة، مما يؤدي إلى السيطرة على العمليات الجارية.
  4. التخفي: من الصعب اكتشاف هذه الأنواع من الهجمات لأن عمليات الوصول إلى الذاكرة تتم خارج نطاق إشراف النظام الأساسي والبرمجيات المضادة للفيروسات.

شاهد ايضا https://evil.ae/الفيوزر-fuser/

متطلبات الهجوم:

  1. الوصول الفيزيائي: في أغلب الحالات، يتطلب الهجوم وصولًا فيزيائيًا إلى الجهاز. على سبيل المثال، يمكن للمهاجم إدخال جهاز يحتوي على القدرة على تنفيذ DMA في منفذ PCIe أو Thunderbolt في جهاز الكمبيوتر المستهدف.
  2. أجهزة تدعم DMA: غالبًا ما تُستغل الأجهزة التي تدعم تقنية DMA مثل الحواسيب المحمولة التي تحتوي على Thunderbolt أو USB-C، وكذلك الخوادم التي تحتوي على فتحات PCIe.

أمثلة على هجمات دي ام ايه الشهيرة:

  1. Thunderclap Attack (2019): هذا الهجوم استغل تقنية Thunderbolt لتنفيذ DMA عبر جهاز خارجي مرتبط. المهاجمون تمكنوا من تجاوز الحماية الأمنية والوصول إلى الذاكرة.
  2. PCILeech: هو أداة برمجية تم تطويرها لتنفيذ هجمات DMA باستخدام أجهزة PCIe خارجية. تمكن المهاجم من قراءة وكتابة ذاكرة الجهاز المستهدف.

الحماية من هجمات دي ام ايه:

  1. تعطيل منافذ DMA عندما لا تكون قيد الاستخدام: يمكن للمستخدمين أو المسؤولين تعطيل أو تقييد استخدام منافذ Thunderbolt وPCIe، خاصة في البيئات الحساسة.
  2. تشفير الذاكرة: يمكن للحلول الأمنية التي تعتمد على تقنيات تشفير الذاكرة أن تقلل من خطر تعرض البيانات الحساسة للاختراق.
  3. استخدام الأجهزة المؤمنة: الشركات المصنعة للأجهزة مثل Apple وMicrosoft بدأت في تقديم تقنيات لحماية الأجهزة من هجمات DMA مثل حماية DMA في وضع السكون (DMA guard).
  4. التحديثات الأمنية: يجب على المستخدمين التأكد من أن أجهزتهم تحتوي على آخر التحديثات الأمنية لتجنب التعرض لأي ثغرات يتم استغلالها عبر DMA.

كيف يتم التحايل على تقنيات الحماية التقليدية؟

  1. تجاوز أنظمة التشغيل:
    أحد الأسباب التي تجعل هجمات DMA فعالة هو أن المهاجمين يتجاوزون نظام التشغيل بالكامل. تقنيات الأمان التقليدية مثل مكافحة الفيروسات وجدران الحماية تعتمد على مراقبة السلوك البرمجي والتفاعلات مع نظام التشغيل، لكن هجمات DMA تتم خارج نطاق إشراف نظام التشغيل، مما يجعلها غير مرئية لهذه الأدوات.
  2. استخدام أجهزة خارجية:
    الهجمات تعتمد غالبًا على إدخال جهاز خارجي يحتوي على قدرات DMA مثل أجهزة USB، PCIe أو Thunderbolt المخترقة. المهاجمون قد يصممون أجهزة تبدو شرعية لكنها تحتوي على معدات مدمجة لقراءة وكتابة بيانات الذاكرة. هذه الأجهزة قد تكون مخفية بشكل جيد لتبدو غير مؤذية.
  3. الهجمات عن بُعد:
    على الرغم من أن معظم هجمات DMA تعتمد على الوصول الفيزيائي، هناك بعض التقنيات التي يمكن أن تتيح الهجوم عن بعد. على سبيل المثال، إذا كان الجهاز يحتوي على منفذ Thunderbolt ويمكن للمهاجم الوصول إلى الشبكة، فقد يتمكن من تشغيل الهجوم عبر الاتصال بالجهاز من خلال واجهة تدعم DMA.
  4. الهجمات على الأنظمة الافتراضية (Virtual Machines):
    الأنظمة الافتراضية تعتمد على مشاركة الموارد بين مضيفين افتراضيين، وهجمات DMA قد تكون وسيلة لاستهداف الأنظمة الافتراضية عن طريق الوصول إلى الذاكرة المشتركة بين المضيفين.

الأدوات المستخدمة في هجمات دي ام ايه

  1. PCILeech:
    هذه أداة معروفة لتنفيذ هجمات DMA، وهي تعمل من خلال توصيل جهاز PCIe بجهاز الكمبيوتر. PCILeech يمكن أن يقرأ ويكتب إلى ذاكرة النظام مباشرةً، مما يسمح بسرقة البيانات أو زرع تعليمات برمجية خبيثة.
  2. Inception:
    هي أداة هجوم DMA تُستخدم لتنفيذ عمليات تجاوز الأمان على أجهزة الكمبيوتر من خلال الوصول إلى الذاكرة الفعلية. تسمح الأداة بفك تشفير كلمات المرور وتجاوز شاشات تسجيل الدخول.
  3. Thunderbolt Exploits:
    استغلالات Thunderbolt تعتبر من أشهر أمثلة الهجمات باستخدام DMA. الأجهزة التي تدعم Thunderbolt تحتوي على إمكانيات الوصول المباشر إلى الذاكرة، وإذا تم استغلال هذه الإمكانيات، يمكن للمهاجم الوصول إلى المعلومات الحساسة في النظام.

تدابير إضافية للحماية من هجمات دي ام ايه:

  1. الاعتماد على “IOMMU”:
    وحدات إدارة الذاكرة IOMMU (Input-Output Memory Management Unit) تستخدم لتقييد قدرة الأجهزة على الوصول المباشر إلى ذاكرة النظام. هذه التقنية تقسم الذاكرة وتحدد نطاقات محددة فقط يمكن للأجهزة الخارجية الوصول إليها. العديد من الأنظمة الحديثة تعتمد على IOMMU كخط دفاع ضد هجمات DMA.
  2. تفعيل وضع الحماية المادي (Physical Security):
    في بيئات العمل الحساسة، يمكن اتخاذ تدابير فيزيائية للحماية من هجمات DMA. على سبيل المثال، عدم ترك الأجهزة غير مراقبة، واستخدام أقفال مادية على المنافذ (مثل Thunderbolt أو USB) لمنع أي جهاز غير مصرح به من الوصول إلى هذه المنافذ.
  3. استخدام التمهيد الآمن (Secure Boot):
    بعض الأنظمة تعتمد على تقنية التمهيد الآمن للتأكد من أن الجهاز لم يتعرض لأي تعديل أو اختراق قبل إقلاع النظام. هذه التقنية تمنع البرمجيات الخبيثة التي قد تحاول السيطرة على النظام في وقت الإقلاع باستخدام DMA.
  4. تطبيق سياسة “التحكم في الأجهزة”:
    يتم ذلك من خلال التحكم في الأجهزة المسموح لها بالتواصل مع الجهاز عن طريق منافذ مثل Thunderbolt وPCIe. يمكن للشركات اعتماد تقنيات إدارة الأجهزة لمنع الأجهزة غير المصرح بها من الوصول إلى النظام.

شاهد ايضا https://evil.ae/كي-ام-بوكس-kmbox/

المستقبل وهجمات دي ام ايه:

مع تزايد اعتماد الأنظمة الحديثة على تقنيات مثل Thunderbolt و PCIe، يبدو أن هجمات DMA ستبقى تهديدًا قويًا، خاصة في البيئات التي تتطلب سرعة كبيرة في نقل البيانات. لذلك، من الضروري تحسين تقنيات الحماية والتأكد من أن الأجهزة تدعم آليات الأمان الحديثة.

هجمات دي ام ايه DMA تشكل تهديدًا معقدًا لأنها تعتمد على التلاعب بالذاكرة الفعلية للنظام عبر الأجهزة الطرفية. على الرغم من تطور أساليب الأمان مثل IOMMU و Secure Boot، يبقى هناك تحدٍ كبير في منع الهجمات التي تعتمد على الوصول الفيزيائي إلى الجهاز.

© 2024 جميع الحقوق محفوظة Evil Store