• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
25 سپتامبر 2021

محققان امنیت سایبری تکنیک جدیدی را که عامل تهدید به صورت عمدی برای جلوگیری از تشخیص و شناسایی به کمک امضا‌های نادرست دیجیتالی payload‌های بدافزار خود استفاده کرده است، فاش کرده‌اند.

نیل مهتا از گروه تجزیه و تحلیل تهدیدات گوگل در گزارشی که روز پنجشنبه منتشر شد، اعلام کرد: “مهاجمان امضا‌های کد ناقصی را ایجاد کرده‌اند که توسط ویندوز معتبر تلقی می‌شوند اما نمی‌توانند با کد OpenSSL که در تعدادی از محصولات اسکن امنیتی استفاده می‌شود، رمزگشایی یا بررسی شوند”.

مشخص گردیده است که این مکانیسم جدید توسط گروه بدنامی از نرم‌افزار‌های ناخواسته معروف به OpenSUpdater مورد استفاده قرار می‌گیرد، که برای بارگیری و نصب سایر برنامه‌های مشکوک در سیستم‌های آسیب دیده استفاده می‌شود. بیشتر اهداف این کمپین کاربرانی هستند که در ایالات متحده قرار دارند و مستعد دانلود نسخه‌های کرک شده بازی‌ها و سایر نرم‌افزار‌های نامشخص و نامطمئن هستند.

این یافته‌ها از مجموعه‌ای از نمونه‌های OpenSUpdater نشات می‌گیرد که حداقل از اواسط ماه آگوست در VirusTotal بارگذاری شده‌اند.

در حالی که مهاجمان در گذشته برای جاسوسی از ابزار‌های تبلیغاتی مزاحم و سایر نرم‌افزار‌های ناخواسته در شناسایی ابزار‌های مخرب یا جاسازی کد حمله در اجزای نرم‌افزاری معتبر و دارای امضای دیجیتالی با آلوده کردن زنجیره تأمین نرم‌افزار، به گواهی‌های دیجیتالی غیرقانونی تکیه کرده‌اند، OpenSUpdater به دلیل توانایی استفاده عمدی از امضای ناقص برای عبور از سد دفاعی، برجسته است.
takian.ir google warns of new way hackers can make malware undetectable on windows 2
بدافزار‌ها در ویندوز قابل تشخیص نیستند
بدافزار‌های طراحی شده با یک گواهی نامعتبر X. ۵۰۹ امضا شده و به گونه‌ای ویرایش شده‌اند که المان “parametrs” در زمینه SignatureAlgorithm شامل نشانگر پایان محتوا (EOC) به جای برچسب NULL است. اگرچه اینگونه رمزگذاری‌ها توسط محصولاتی که از OpenSSL برای بازیابی اطلاعات امضا استفاده می‌کنند، نامعتبر است، اما بررسی‌های سیستم‌های ویندوز اجازه می‌دهد فایل بدون هیچگونه هشدار امنیتی اجرا شود.

جلوگیری از نشت اطلاعات
مهتا افزود: “این اولین بار است که TAG مهاجمانی را که از این تکنیک برای فرار از تشخیص و شناسایی استفاده می‌کنند، مشاهده می‌کند و در عین حال امضای دیجیتالی معتبر روی فایل‌های PE را حفظ می‌نماید”.

این محقق همچنین اضافه کرد: “امضا‌های کد بر روی قسمت‌های اجرایی ویندوز، ضمانتهایی را در مورد یکپارچگی یک فایل اجرایی امضا شده و همچنین اطلاعاتی در مورد هویت امضاکننده، ارائه می‌دهد. مهاجمانی که قادرند هویت خود را در امضا کتمان و پنهان کنند، بدون اینکه بر تمامیت و کلیت امضا تأثیر بگذارد، می‌توانند برای مدتی طولانی از امکان تشخیص جلوگیری کرده و طول عمر گواهینامه‌های دارای امضای کد خود را به منظور آلوده کردن سیستم‌های بیشتر، افزایش داده و تمدید نمایند″.

22 سپتامبر 2021

موجی از حملات بدافزار که به تازگی کشف شده است با استفاده از تاکتیک‌های مختلف برای به بردگی درآوردن دستگاه‌های حساس و مشخصاً با سطح اعتبار ادمین برای بهره کشی از آن‌ها در یک شبکه با هدف استخراج غیرقانونی رمزارز، مشاهده شده است.

لری کشدالر، محقق امنیتی Akamai، در مقاله‌ای که روز یکشنبه منتشر شد، گفت: “تاکتیک اصلی این بدافزار گسترش با استفاده از سیستم‌های آسیب‌پذیر و اعتبارنامه‌های ضعیف ادمین است. پس از آلوده شدن، این سیستم‌ها برای استخراج رمزارز استفاده می‌شوند”.

این بدافزار مبتنی PHP، با اسم رمز “Capoae” (مخفف “Сканирование”، کلمه روسی “اسکن”)، گفته می‌شود که از طریق یک افزونه backdoor به افزونه وردپرس به نام “download-monitor” که پس از تحمیل موفقیت‌آمیز اعتبارنامه ادمین به وردپرس نصب می‌گردد، در دستگاه میزبان مستقر می‌شود. این حملات همچنین شامل استقرار یک فایل باینری مبتنی بر زبان برنامه‌نویسی Go با قابلیت رمزگشایی است که payload‌ های مبهم با استفاده از افزونه حاوی تروجان برای درخواست GET از یک دامنه تحت کنترل مهاجم بازیابی می‌شوند.

به نقل از هکرنیوز، همچنین یک ویژگی دیگر نیز برای رمزگشایی و اجرای payload‌ های اضافی وجود دارد و از طریق فایل باینری Golang که از چندین نقص اجرای کد از راه دور در Oracle WebLogic Server (CVE-۲۰۲۰-۱۴۸۸۲) ،NoneCms (CVE-۲۰۱۸-۲۰۰۶۲) و Jenkins ( CVE-۲۰۱۹-۱۰۰۳۰۲۹ و CVE-۲۰۱۹-۱۰۰۳۰۳۰) رنج می‌برد، بهره گرفته تا بتواند راه خود را به سیستم‌هایی که SSH را اجرا می‌کنند پیدا کرده و در نهایت نرم‌افزار استخراج XMRig را نصب و راه‌اندازی نماید.

جلوگیری از حملات باج‌افزار
علاوه بر این، زنجیره حمله به دلیل ترفند‌های خاص خود برای ماندگاری در دستگاه‌ها، که شامل انتخاب یک مسیر سیستمی با ظاهر قانونی در دیسک است که احتمالاً باینری سیستم در آن یافت می‌شود و همچنین ایجاد یک نام فایل تصادفی شش کاراکتری که بعداً برای کپی کردن باج‌افزار در محلی جدید در سیستم و قبل از حذف بدافزار و هنگام اجرا استفاده می‌گردد، شناخته می‌شود.

کشدالر گفت: “استفاده کمپین Capoae از آسیب‌پذیری‌ها و تاکتیک‌های متعدد نشان می‌دهد که این اپراتور‌ها به چه میزان قصد دارند تا جایی که ممکن است بر روی بسیاری از دستگاه‌ها برای رسیدن له مقصود خود تکیه کنند. خبر خوب این است که همان تکنیک‌هایی که ما به اکثر سازمان‌ها توصیه می‌کنیم تا سیستم‌ها و شبکه‌ها را ایمن نگه دارند، هنوز در این مورد قابل اعمال است”.

کشدالر افزود: “از اعتبارنامه‌های ضعیف یا پیش فرض برای سرور‌ها یا برنامه‌های کاربردی استفاده نکنید. همچنین اطمینان حاصل کنید که برنامه‌های کاربردیتان را با جدیدترین پچ‌های امنیتی به روز نگه می‌دارید و هر از گاهی آن‌ها را بررسی می‌کنید. به علاوه مراقب مصرف بیش از حد معمول منابع سیستم، فرایند‌های عجیب و غریب غیرمنتظره، فرایند‌های ساختگی مشکوک و لاگ‌های ورودی دسترسی مشکوک باشید. دقت، شناسایی و توجه به این موارد، به شما کمک می‌کند تا به طور بالقوه دستگاه‌های آسیب دیده را شناسایی کنید″.