• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
19 سپتامبر 2021
هدفگیری ساب سیستم ویندوز برای لینوکس توسط بدافزاری جدید با توانایی مصون ماندن شناسایی

تعدادی از نمونه‌های مخرب برای ساب سیستم ویندوز برای لینوکس (WSL) با هدف به خطر انداختن دستگاه‌های ویندوزی ایجاد شده است و روش زیرکانه‌ای را نشان می‌دهد که برای اپراتور‌ها این امکان را فراهم می‌کند تا از شناسایی مصون بمانند و حتی با وجود تجهیزات ضد بدافزار محبوب و شناخته شده، امکان تشخیص را خنثی کنند.

به مثال “Distinct tradecraft” اولین نمونه‌ای است که نشان می‌دهد یک عامل تهدید‌کننده از WSL برای نصب payload‌ های بعدی سواستفاده کرده است.

به نقل از هکر نیوز، محققان Lumen Black Lotus Labs در گزارشی که روز پنجشنبه منتشر کردند، گفتند: “این فایل‌ها به عنوان لودر‌هایی که payload ‍ی را که در نمونه جاسازی شده یا از سرور راه دور بازیابی شده بود و سپس با استفاده از تماس‌های API ویندوز به یک فرآیند در حال اجرا تزریق می‌شد، عمل می‌کنند”.

ساب سیستم ویندوز برای لینوکس، که در آگوست ۲۰۱۶ راه‌اندازی شد، یک لایه سازگاری است که برای اجرای اجزای دوتایی لینوکس (در قالب ELF) بطور بومی بر روی پلتفرم ویندوز بدون‌ آورهِد ماشین مجازی سنتی یا راه‌اندازی دوال بوت طراحی شده است.

قدیمی‌ترین موارد طراحی شده به ۳ ماه می‌سال ۲۰۲۱ برمی گردد که مجموعه‌ای از فایل‌های باینری لینوکس، هر دو تا سه هفته یکبار تا ۲۲ آگوست ۲۰۲۱ بارگذاری شده‌اند. نه تنها این نمونه‌ها در پایتون ۳ نوشته شده و با PyInstaller به ELF اجرایی تبدیل می‌شوند، بلکه فایل‌ها همچنین برای بارگیری کد shell را از یک سرور command-and-control از راه دور و با استفاده از PowerShell برای انجام فعالیت‌های بعدی در میزبان آلوده استفاده می‌شوند.

این payload ثانویه “shellcode” به یک فرآیند در حال اجرا ویندوز با استفاده از API Windows تزریق می‌شود که Lumen آن را “اجرای فایل باینری ELF در Windows” توصیف می‌کند، اما قبل از آن نمونه در راستی خاتمه دادن به فعالیت محصولات مشکوک آنتی ویروس و ابزار‌های تجزیه و تحلیل در دستگاه تلاش می‌نماید. علاوه بر این، با استفاده از لایبرری‌های استاندارد پایتون، برخی از گونه‌های دیگر را در ویندوز و لینوکس قابل پیوند و ارتباط می‌کند.

محققان می‌گویند: “تا کنون ما تعداد محدودی از نمونه‌ها را تنها با یک آدرس IP قابل رویت عمومی شناسایی کرده‌ایم، که نشان می‌دهد این فعالیت از نظر دامنه و گستره بسیار محدود است و یا به طور بالقوه هنوز در حال توسعه است. همچنان که مرز‌های مجزای بین سیستم عامل‌ها همچنان مبهم‌تر و کمتر می‌شوند، عاملان تهدید از سطوح حمله‌های جدید استفاده خواهند کرد″.

takian

27 جولای 2021

یک بدافزار مخرب استخراج رمزارز کراس پلتفرم معروف، همچنان با هدف قرار دادن آسیب پذیری های قدیمی و تکیه بر آنها، ضمن بسط دادن همزمان انواع مکانیسم های توزیع و ارتقای تکنیک های خود برای به حداکثر رساندن اثربخشی کمپین هایش، به ضربه زدن به سیستم عامل های ویندوز و لینوکس ادامه می دهد.

مایکروسافت در مقاله فنی که هفته پیش منتشر شد، اعلام کرد: “LemonDuck، یک بدافزار فعال به روز شده و نیرومند است که اساساً به خاطر اقداماتش در راستای استخراج رمزارز و بات نت شناخته می شود. این بدافزاز با اتخاذ رفتارهای پیچیده تر و افزایش عملیات های خود، همان مسیر قبل را در پیش گرفته و دنبال میکند. امروزه، فراتر از استفاده از منابع برای فعالیت های سنتی بات ها و استخراج رمز ارز، LemonDuck اطلاعات را سرقت می کند، کنترلر های امنیتی را حذف می کند، از طریق ایمیل گسترش یافته و پخش میشود، به صورت جانبی حرکت می کند و در نهایت ابزارهای بیشتری را برای فعالیت های مبتنی بر کنترل اپراتور مستقر مینماید”.

این بدافزار به دلیل توانایی انتشار سریع در شبکه آلوده برای تسهیل سرقت اطلاعات و تبدیل دستگاه ها به بات های استخراج رمزارز به وسیله هدایت منابع محاسباتی خود به سمت استخراج غیرقانونی رمزارز، مشهور است. قابل ذکر است که LemonDuck به عنوان یک لودر برای حملات بعدی عمل می کند که شامل سرقت اعتبارنامه ها و نصب ایمپلنت هایی برای مراحل بعد است که می توانند به عنوان دروازه ورودی برای انواع تهدیدات مخرب، از جمله باج افزار باشند.

فعالیت های LemonDuck برای اولین بار و قبل از شروع به استفاده از ترندهایی با مضمون COVID-19 در حملات ایمیل سال ۲۰۲۰ و حتی نقایص سرور Exchange ProxyLogon که اخیراً به آن پرداخته شده است تا دسترسی به سیستم های پچ نشده را پیدا کند، در ماه می سال ۲۰۱۹ در چین مشاهده گردیده است. تاکتیک قابل توجه دیگر آن نیز، توانایی پاک کردن سایر مهاجمان از یک دستگاه آسیب دیده با خلاص شدن از شر بدافزارهای مخرب و جلوگیری از هرگونه آلودگی جدید به وسیله پچ کردن آسیب پذیری هاییست که برای دسترسی مشابه استفاده میشده است.

حملات شامل بدافزار LemonDuck در بخشهای اصلی تولید و IoT متمرکز بوده است. همچنین کشورهایی از جمله ایالات متحده آمریکا، روسیه، چین، آلمان، انگلیس، هند، کره، کانادا، فرانسه و ویتنام نیز بیشترین برخوردها و درگیری ها را با این بدافزار داشته اند.

افزون بر این، مایکروسافت از فعالیت بدافزار دومی که بر LemonDuck برای دستیابی به اهداف جداگانه تکیه می کند، پرده برداشت. شرکت مایکروسافت اسم رمز این بدافزاز را “LemonCat” گذاشته است. گفته می شود که زیرساخت حمله همراه با نوع “Cat” در ژانویه ۲۰۲۱ ظهور کرده است و در نهایت منجر به استفاده از آن در حملات سواستفاده از آسیب پذیری های هدف قرار دادن Microsoft Exchange Server شده است. نفوذهای بعدی با استفاده از دامنه های Cat منجر به نصب backdoor، سرقت اعتبارنامه ها و داده ها و استقرار بدافزار شده است که غالباً یک تروجان ویندوز به نام Ramnit است.

مایکروسافت بیان داشت: “این واقعیت که از زیرساخت Cat برای فعالیت های خطرناک تر استفاده می شود، آلودگی های مخرب را از طریق زیرساخت Duck کم نمی کند. در عوض، این اطلاعات زمینه مهمی را برای درک بهتر این تهدید اضافه می کند: همان مجموعه از ابزارها، دسترسی ها و روش ها را مجددا می توان در فواصل زمانی پویا برای تأثیر بیشتر و بهتر، استفاده کرد”.

1 مه 2021
یک بدافزار لینوکس تازه کشف‌شده با قابلیت درِ پشتی، سال‌هاست که به مهاجمان اجازه می‌دهد اطلاعات حساس دستگاه‌های آسیب‌دیده را جمع‌آوری و استخراج کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، درِ پشتی که توسط محققان آزمایشگاه تحقیقات امنیت شبکه Qihoo ۳۶۰ (۳۶۰ Netlab) به RotaJakiro نام‌گذاری شده است، توسط VirusTotal قابل‌شناسایی نیست، اگرچه یک نمونه برای نخستین‌بار در سال ۲۰۱۸ بارگذاری شده بود.
https://www.virustotal.com/gui/file/a۱۸bec۹۰b۲b۶۱۸۵۳۶۲eeb۶۷c۵۱۶c۸۲dd۳۴cd۸f۶a۷۴۲۳۸۷۵۹۲۱۵۷۲e۹۷ae۱۶۶۸b۰/details

RotaJakiroبه‌گونه‌ای طراحی شده که تا آنجا که ممکن است به‌صورت پنهانی کار می‌کند، کانال‌های ارتباطی خود را با استفاده از فشرده‌سازی ZLIB و رمزگذاری AES ، XOR ، ROTATE رمزگذاری می‌کند.

همچنین تمام تلاش خود را انجام می‌دهد تا تحلیل گران بدافزار آن را فارنزیک نکنند زیرا اطلاعات منابع موجود در نمونه مشاهده شده توسط سیستم BotMon ۳۶۰ Netlab با استفاده از الگوریتم AES رمزگذاری شده است.

در سطح عملیاتی، RotaJakiro ابتدا با استفاده از خط‌مشی‌های مختلف اجرا برای حساب‌های مختلف، تعیین می‌کند که کاربر Root یا غیرRoot باشد، سپس منابع حساس مربوطه را با استفاده از AES & ROTATE رمزگشایی می‌کند تا برای ماندگاری، محافظت از پردازش، استفاده از یک instance و در نهایت ارتباط با C۲ بمنظور اجرای دستورات صادر شده توسط C۲ استفاده شود.

مهاجمان می‌توانند از RotaJakiro برای نفوذ در اطلاعات سیستم و داده‌های حساس، مدیریت پلاگین‌ها و فایل‌ها و اجرای پلاگین‌های مختلف در دستگاه‌های ۶۴ بیتی لینوکس که در معرض خطر هستند، استفاده کنند.

با این حال، ۳۶۰ Netlab هنوز به نیت واقعی سازندگان بدافزار برای ابزار مخرب خود پی نبرده است، زیرا این کار با افزونه‌هایی که روی سیستم‌های آلوده نصب می‌کند، قابل‌مشاهده نیست.

محققان افزودند: RotaJakiro در کل از ۱۲ عملکرد پشتیبانی می‌کند، سه مورد مربوط به اجرای افزونه‌های خاص است. متأسفانه، هیچ‌گونه دید نسبت به این افزونه‌ها وجود ندارد و بنابراین هدف واقعی آن مشخص نیست.

از سال ۲۰۱۸ که اولین نمونه RotaJakiro روی VirusTotal قرار گرفت، ۳۶۰ Netlab چهار نمونه مختلف را که بین ماه می ۲۰۱۸ تا ژانویه ۲۰۲۱ بارگذاری شده بودند( اینجا )یافت که هیچ آلودگی روی آنها توسط آنتی‌ویروس‌ها شناسایی نشده است.

سرورهای C&C که درگذشته توسط بدافزار مورد استفاده قرار گرفته‌اند دامنه‌هایی دارند که ۶ سال پیش در دسامبر ۲۰۱۵ ثبت شده‌اند.
محققان ۳۶۰ Netlab همچنین لینک‌هایی را به بات‌نت Torii IoT کشف کردند که اولین‌بار توسط متخصص بدافزار Vesselin Bontchev مشاهده شد و توسط تیم اطلاعات تهدید Avast در سپتامبر ۲۰۱۸ مورد تجزیه و تحلیل قرار گرفت.

این دو نوع بدافزار RotaJakiro و Torii پس از استقرار در سیستم‌های در معرض خطر، از روش‌های ساخت مشابه و ثابت‌هایی که توسط هر دو توسعه‌دهنده استفاده شده، بهره می‌برند.

RotaJakiro و Torii همچنین دارای چندین شباهت عملکردی هستند، ازجمله استفاده از الگوریتم‌های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک پایدار قدیمی و ترافیک شبکه ساختاریافته.

مرجع : مرکز مدیریت راهبردی افتا