ایتنا- محققان لابراتوار کسپرسکی یک درب پشتی را در یک محصول نرمافزاری مدیریت سرور که توسط صدها کسب و کار در سراسر جهان مورد استفاده قرار میگیرد، کشف کردند.
ShadowPad: بدافزاری که میتواند از درب پشتی به نرمافزاری که صدها سازمان از آن استفاده میکنند، نفوذ کند
22 شهريور 1396 ساعت 19:00
ایتنا- محققان لابراتوار کسپرسکی یک درب پشتی را در یک محصول نرمافزاری مدیریت سرور که توسط صدها کسب و کار در سراسر جهان مورد استفاده قرار میگیرد، کشف کردند.
در زمانی که نرمافزار فعال میشود، درب پشتی به مجرمان این اجازه را میدهد که ماژولهای مخرب را دانلود کنند و یا که داده های یک سازمان را به سرقت ببرند. لابراتوار کسپرسکی اخطارهای لازم را درباره ی NetSarang (عرضه کننده نرمافزار آلوده) به کاربران سراسر جهان داد و تاکید کرد که کدهای مخرب به سرعت از روی نرمافزار حذف شده است و بهروزرسانی برای کاربران این نرمافزار منتشر شده است.
به گزارش ایتنا از کسپرسکی آنلاین، ShadowPad یکی از بزرگترین حملات زنجیرهای در سراسر جهان است. این تهدید به سختی شناسایی شد و استراتژی قوی برای آن درنظر گرفته شده بود. ShadowPad میتوانست صدها سازمان در سراسر جهان را مورد هدف قرار بدهد و آنها را به روز سیاه بنشاند.
در ماه ژوئیه سال 2017، تیم تحقیقاتی و تحلیل جهانی لابراتوار کسپرسکی (GReAT) با یکی از پارتنرهای خود (موسسات مالی) رویکردی را بررسی کردند. متخصصان امنیتی سازمان در مورد DNS ( سرور نام دامنه) مشکوک که درخواستهای عجیبی را برای پردازش معاملات مالی ارسال می کرد، ابراز نگرانی کردند و تمرکز خود را بر روی این موضوع گذاشتند.
تحقیقات بیشتر در این باره نشان داد که منبع این درخواستها، نرمافزار مدیریت سرور بود که توسط یک کمپانی کاملا مشروع و قانونی ایجاد شده بود و مورد استفاده صدها کاربر در صنایع مختلف همانند خدمات مالی، آموزشی، مخابرات، تولید، انرژی و حمل و نقل قرار گرفته بود. نگران کننده ترین یافته های تیم امنیتی این بود که این درخواستها از جانب فروشندگان این نرمافزار نبود و آن ها می دانستند که طبق معمول مجرمان سایبری هستند که خود را پنهان کردهاند.
علاوه بر این تیم آنالیزگر لابراتوار کسپرسکی متوجه شدند که درخواستهای مشکوک در واقع نتیجهای از فعالیتهای یک ماژول مخرب در آخرین نسخه ی مشروع نرم افزار است. با نصب آپدیت نرم افزار آلوده، ماژول مخرب درخواست های DNS به دامنههای خاص (سرور command and control) با فرکانس یک بار در هر هشت ساعات ارسال می کرد. اما درخواستی که مصرانه ارسال میشد شامل اطلاعات اولیه در مورد سیستم قربانی نام کاربری، نام دامنه و نام هاست بود. در صورتی که مجرمان سیستم مورد حمله را جالب و کاربردی می دیدند، سرور رمان به آن پاسخ میداد و یک پلتفرم درب پشتی به طور کامل فعال میشد و به طور کاملا بیصدا به درون کامپیوتر حملهور میشد. پس از آن بر اساس فرمان مجرمان، پلتفرم قادر به دانلود و اجرای کدهای مخرب بیشتری خواهد بود.
پس از کشف این آسیبپذیری محققان امنیتی لابراتوار کسپرسکی فورا با NetSarang تماس گرفتند و موضوع را با آنها در میان گذاشتند. این کمپانی نیز به سرعت واکنش نشان داد و نسخه به روز شده نرمافزار را بدون کدهای مخرب منتشر ساخت.
طبق یافتههای لابراتوار کسپرسکی همچنان بسیاری از کسب و کارها هستند که آپدیت را انجام ندادهاند و این بی اهمیتی میتواند همانن یک بمب کارگذاشته شده اما فعال نشده عمل کند و یک مجموعه را به نابودی بکشاند.
محققان لابراتوار کسپرسکی تکنیکهای استفاده شده در این حمله را تجزیه و تحلیل کردند و به ای نتیجه رسیدند که برخی از این تکنیکها بسیار شبیه عملکرد مخرب گروههای PlugX و Winnti بوده که در حملات خود از آنها استفاده میکردند. این دو تیم یکی از گروههای جاسوسی چینی بود که شهرت بسیار زیادی را یافتند. با وجود این شباهاتها باز هم نمیتوان قضاوتی دقیق در مورد اینکه این گروه پشت این حمله بودهاند را داشت.
Igor Soumenkov کارشناس امنیتی در تیم تحقیق و تحلیل لابراتوار کسپرسکی میگوید:" ShadowPad نمونهای از حملات خطرناک و گسترده بود که موفق شد حملاتی زنجیرهای را در سراسر جهان به راه اندازد. با توجه به فراهم شدن فرصتها برای دسترسی و جمعآوری داده ها احتمال حملات بعدی و قویتر را برای ShadowPad می دهند. خوشبختانه NetSarang سریعا نسبت به این مشکل واکنش نشان داد و به لطف اطلاع رسانی کارشناسان امنیتی تیم ما آپدیت جدید نرمافزار مربوط را داد و از صدها حملات پر خطر در سراسر جهان جلوگیری کرد.
با این حال نه تنها این حمله بلکه تمامی حملات گذشته نشان میدهند که شرکتهای بزرگ و کسب و کارها باید به فکر راهحلهای پیشرفتهای که قادر به نظارت بر فعالیتهای شبکه و تشخیص فعالیت های مخرب هستند، باشند و بر آنها تکیه کنند. در این حمله شما متوجه شدید که مجرمان از درب پشتی به نرمافزار NetSarang حمله ور شدند و قادر به اجرای کدهای مخرب خود بودند. پس تمامی این اقدامات به صورت مخفی انجام می شود و در صورت نداشتن راهکار امنیتی به هیچ وجه امکان تشخیص آنها وجود نخواهد داشت.
شرح NetSarang
- مشاهده تمامی سیستمهای موجود در شبکه در قسمت دیگر سیستمها
- مدیریتی کامل بر روی شبکه
- کنترل نرمافزاری تمام قسمتهای مختلف کامپیوترهای متصل به شبکه
- مشاهده صفحه نمایش دیگر سیستمها
- توانایی کنترل اشتراک گذاری فایلها در سیستمها
- قابلیت برقراری ارتباط از طریق IP به کمک Address Bar
- پشتیبانی از پروتکلهای مختلف اینترنتی
- توانایی اتصال به وسیله TelNet
- قابلیت اتصال به پروتکلهای FTP برای انتقال فایل
- مناسب برای شبکههای کوچک خانگی و شبکههای بزرگ تجاری
- توانایی ساخت پروفایلهای مختلف برای سرور و کاربران
- امکان ساخت shortcut دسکتاپ برای دسترسی سریعتر
- قابلیت کنترل تمامی Clientهای موجود در محیط شبکه از سوی مدیر
- قابلیت کنترل تمامی سیستمها از سوی مدیریت و اعمال تغییرات دلخواه
- استفاده آسان هم برای مدیر و هم برای کلاینتها
- قابلیت به اشتراک گذاری فایلها از سوی کلاینتها و سرور
- قابلیت به اشتراک کذاری اینترنت در میان کلاینتها با تعیین حد و مرز استفاده
- شناسایی و سازگاری با پروتوکل های مختلف اینترنتی
- توانایی ارتباط با پروتوکل FTP به منظور ارسال فایلها بر روی سرور
- امنیت بالا در محیط شبکه
- قابلیت به اشتراک گذاری پرینتر و مدیریت چاپ اسناد
- سرعت بالا در برقراری ارتباط
- و ... ما نسخه جدید این نرمافزار را در 18 ژوئیه 2017 منتشر ساختیم که متاسفانه در این نسخه یک درب پشتی وچود داشت و از این رو مجرمان توانستند نرمافزار را اکسپلویت و به سیستم کاربران نفوذ کنند.
امنیت کاربران یکی از اصلیترین اولویتهای ما است و ما آن را در بلندمرتبه ترین درجات اهداف خود در نظر میگیریم و همیشه به آنها متعهد هستیم.
اما واقعیت اینجا است که مجرمان سایبری و گروهها و نهادهای مخرب از نرمافزارهای تجاری و البته کاملا رسمی و مشروع برای افزایش دستمزد خود استفاده می کنند و تنها همین موضوع برای آن ها اهمیت دارد. همانطور که مشاهده کردید NetSarang هم به همین ترتیب مورد حمله قرار گرفت و مجرمان نرم افزار محبوبی را یافتند و توانستند از آسیبپذیری که سهوا در این نرمافزار قرار داشت استفاده کنند و امنیت کسب و کارها را به خطر اندازند.
NetSarang نرمافزاری است که به فراهم کردن امنیت کاربرانش متعهد است و سیستمی قوی را به همین منظور برای برقراری امنیت در عملکرد و ارائه ی خدماتش در نظر گرفته است. این نرمافزار برای ارزیابی و بهبود امنیت تلاش خواهد کرد و برای مبارزه با مجرمان سایبری و بدست آوردن مجدد اعتماد کاربرانش وظیفه شناس خواهد بود.
تمام راهکارهای لابراتوار کسپرسکی بدافزار ShadowPad را با عنوان "Backdoor.Win32.ShadowPad.a" شناسایی و در مقابل آن از سیستم محافظت میکند.
لابراتوار کسپرسکی به کاربران توصیه میکند که NetSarang را به آخرین نسخه ی منتشر شده ارتقاء دهند تا نرم افزار از هرگونه کدهای مخرب حذف شود و ارسال درخواستهای DNS جایی در آن نداشته باشد. اکیدا پیشنهاد میشود که برای کسب و کار خود از یک راهکار امنیتی که بتواند فعالیتهای مخرب را تشخیص و آن ها را مسدود سازد، استفاده کنید.
کد مطلب: 50155